Active Directory Windows-2008 Microsoft

Curso 6824A - Indice

Módulo 1: Implementación de Servicios de dominio de Active Directory

Este módulo analiza los requisitos previos de hardware y software para implementar AD DS, como asítambién el proceso para instalarlo. Asimismo, define qué es un controlador de dominio de sólo lectura(RODC) y cómo se instala.

Módulo 2: Configuración del Servicio de nombres de dominio para Servicios de dominio de Active Directory

Este módulo describe la configuración de DNS específica para AD DS.

Módulo 3: Configuración de objetos y confianzas de Active Directory

Este módulo analiza cómo implementar y configurar objetos y confianzas de AD DS.

Módulo 4: Configuración de Sitios de servicios de dominio y replicación de Active Directory

Este módulo describe cómo crear y configurar sitios para administrar la replicación.

Módulo 5: Creación y configuración de la Directiva de grupo

Este módulo describe cómo funcionan, cómo se crean y cómo se aplican los Objetos de directiva degrupo (GPO).

Módulo 6: Configuración de entornos de usuario usando la Directiva de grupo

Este módulo analiza cómo establecer la configuración del escritorio del usuario mediante la Directiva degrupo.

Módulo 7: Implementación de la seguridad usando la Directiva de grupo

Este módulo describe cómo establecer los valores de seguridad y aplicarlos usando Objetos dedirectiva de grupo.

Módulo 8: Implementación de un plan de supervisión de Servicios de dominio de Active Directory

Este módulo describe cómo supervisar infraestructura y servicios de AD DS.

Módulo 9: Implementación de un plan de mantenimiento de Servicios de dominio de Active Directory

Este módulo analiza cómo realizar el mantenimiento, la copia de seguridad y la recuperación deservidores y objetos de Active Directory.

Módulo 10: Solución de problemas de Active Directory, DNS y replicación

Este módulo describe cómo solucionar problemas relacionados con AD DS, DNS y replicación

Módulo 11: Solución de problemas de Directiva de grupo

Este módulo describe cómo solucionar problemas relacionados con Directivas de grupo.

Módulo 12: Implementación de una infraestructura de Servicios de dominio de Active Directory®

Este módulo implica un día entero de laboratorio. Se presentan escenarios para facilitar el aprendizajede la solución desde el comienzo hasta el final.

© Copyright 2009, Microsoft Corporation. All rights reserved. Legal Notices

Modulo 1 : Implementación de Servicios de dominio de Active Directory

Implementación de Servicios de dominio de Active Directory

Lección 1: Instalación de Servicios de dominio de Active DirectoryLección 2: Implementación de controladores de dominio de sólo lecturaLección 3: Configuración de funciones de controladores de dominio de AD DSLaboratorio: Implementación de los controladores de dominio de sólo lectura y administración delas funciones de controladores de dominio

Servicios de dominio de Active Directory (AD DS) se instala como una función del servidor en el sistema operativo

Windows Server®°2008. Existen varias opciones para elegir al instalar AD DS y ejecutar el Asistente para instalaciónde Servicios de dominio de Active Directory. Se debe elegir si se desea crear un nuevo dominio o agregarle uncontrolador de dominio a uno existente. Asimismo, cuenta con la opción de instalar AD DS en un servidor con ServerCore de Windows Server 2008 o instalar los controladores de dominio de sólo lectura. Después de implementar loscontroladores de dominio, también se deben administrar funciones especiales de controladores de dominio, como porejemplo el catálogo global y los maestros de operaciones.

Leccion 1 : Instalación de Servicios de dominio de Active Directory

Lección 1:

Instalación de Servicios de dominio de Active Directory

Windows Server 2008 brinda diversas maneras de instalar y configurar AD DS. Esta lección describe la instalaciónestándar de AD DS y también algunas de las demás opciones que se encuentran disponibles al realizar la instalación.

Requisitos para instalar AD DS

Requisitos para instalar AD DS

Puntos clave

Para instalar AD DS, el servidor debe cumplir con los siguientes requisitos:

El sistema operativo Windows Server 2008 debe estar instalado. AD DS solamente puede instalarse en lossiguientes sistemas operativos:

El sistema operativo Windows Server® 2008 Standard

El sistema operativo Windows Server® 2008 Enterprise

El sistema operativo Windows Server® 2008 Datacenter

Material de lectura adicional

Ayuda para Servicios de dominio de Active Directory: Instalación de Servicios de dominio de Active Directory

Artículo de Microsoft TechNet: Requisitos para instalar AD DS

¿Cuáles son los niveles funcionales de dominio y de bosque?

¿Cuáles son los niveles funcionales de dominio y de bosque?

Puntos clave

En Windows Server 2008, la funcionalidad de bosque y de dominio brinda una forma de habilitar funciones de todo elbosque o del dominio de Active Directory en su entorno de red. Los diferentes niveles de funcionalidad de bosque ydominio están disponibles; dependerán del nivel funcional de dominio y bosque.


Ayuda para Servicios de dominio de Active Directory: Establecer el nivel funcional de dominio o bosque1.

Artículo de Microsoft TechNet: Apéndice de las características de nivel funcional2.

Proceso de instalación de AD DS

Proceso de instalación de AD DS

Puntos clave

Para configurar un controlador de dominio de Windows Server 2008, se debe instalar la función del servidor de AD DSy ejecutar el Asistente para instalación de Servicios de dominio de Active Directory. Para hacerlo, se debe usar uno delos siguientes procesos:

Instalar la función del servidor usando el Administrador de servidores y luego ejecutar el asistente parainstalación ejecutando DCPromo o el asistente para instalación desde el Administrador de servidores.

Ejecutar DCPromo desde el comando Ejecutar o un símbolo del sistema. De este modo, se instalará la funcióndel servidor de AD DS y luego se iniciará el Asistente para instalación.



Artículo de Microsoft TechNet: Instalación de un nuevo bosque de Windows Server 2008 y Escenarios parainstalar AD DS

Opciones avanzadas para instalar AD DS

Opciones avanzadas para instalar AD DS

Puntos clave

Algunas de las páginas del Asistente para instalación de Servicios de dominio de Active Directory aparecen solamentesi se selecciona la casilla Usar la instalación en modo avanzado en la página principal del asistente o al ejecutarDCPromo con el parámetro de línea de comandos /adv. Si no ejecuta el Asistente para instalación en modo avanzado,el asistente usará las opciones predeterminadas que se aplican a la mayoría de las configuraciones.sçsi

Pregunta: ¿Cuándo usaría el modo de opciones avanzadas en su organización?


Ayuda para Servicios de dominio de Active Directory: Usar la instalación en modo avanzado

Artículo de Microsoft TechNet: Novedades de la instalación y desinstalación de AD DS

Instalación de AD DS desde un medio

Instalación de AD DS desde un medio

Puntos clave

Antes de que se puedan usar medios de copia de seguridad como la fuente para instalar un controlador de dominio,use Ntdsutil.exe para crear los medios de instalación.

Ntdsutil.exe puede crear cuatro tipos de medios de instalación diferentes.

Pregunta: ¿Qué tipos de medios de instalación usará en su organización?


Artículo de Microsoft TechNet: Instalación de AD DS desde un medio

Demostración: Comprobación de la instalación de AD DS

Demostración: Comprobación de la instalación de AD DS

Pregunta: ¿Qué pasos llevaría a cabo si se diera cuenta de que no se pudo realizar la instalación del controlador dedominio?


Artículo de Microsoft TechNet: Comprobación de una instalación de AD DS

Actualización a AD DS de Windows Server 2008

Actualización a AD DS de Windows Server 2008

Puntos clave

Para instalar un controlador de dominio nuevo de Windows Server 2008 en un dominio existente de Windows 2000Server o Windows Server 2003, lleve a cabo los siguientes pasos:

Si el controlador de dominio es el primero de Windows Server 2008 en el bosque, se debe preparar el bosquepara Windows Server 2008 al ampliar el esquema en el maestro de operaciones de esquema. Para ampliar elesquema, ejecute adprep /forestprep. La herramienta adprep está ubicada en los medios de instalación deWindows Server 2008.

Si el controlador de dominio es el primero de Windows Server 2008 en un dominio de Windows 2000 Server,se debe preparar el dominio al ejecutar adprep /domainprep /gpprep en el maestro de infraestructura. Elparámetro de línea de comandos gpprep agrega una entrada de control de acceso heredable (ACE) a losObjetos de directiva de grupo (GPO) que se encuentran ubicados en la carpeta compartida SYSVOL y lasincroniza entre los controladores en el dominio.

Si el controlador de dominio es el primero de Windows Server 2008 en un dominio de Windows Server 2003,se debe preparar el dominio al ejecutar adprep /domainprep /gpprep en el maestro de infraestructura.

Después de instalar un controlador de dominio grabable, se puede instalar un RODC en el bosque de WindowsServer 2003. Antes de realizar el paso anterior, se debe preparar el bosque al ejecutar adprep /rodcprep. Sepuede ejecutar adprep /rodcprep en cualquier equipo en el bosque. Si el RODC será un servidor de catálogoglobal, luego se debe ejecutar adprep /domainprep en todos los dominios en el bosque, sin importar si eldominio ejecuta un controlador de dominio de Windows Server 2008. Al ejecutar adprep /domainprep entodos los dominios, el RODC puede replicar datos del catálogo global a partir de todos los dominios en elbosque y luego puede anunciarse como un servidor de catálogo global.



Artículo de Microsoft TechNet: Instalación de un nuevo bosque de Windows Server 2008

Artículo de Microsoft TechNet: Escenarios para instalar AD DS

Instalación de AD DS en un equipo con Server Core

Instalación de AD DS en un equipo con Server Core

Puntos clave

Para instalar AD DS en un equipo Windows Server 2008 con Server Core, se debe usar una instalación desatendida.Server Core de Windows Server 2008 no proporciona una interfaz gráfica de usuario (GUI) por lo tanto no se puedeejecutar el Asistente para instalación de Servicios de dominio de Active Directory.

Para realizar una instalación desatendida de AD DS, use un archivo de respuesta y la siguiente sintaxis con el comandoDcpromo:

Dcpromo /answer[:nombre de archivo], donde nombre de archivo representa el nombre del archivo de respuesta.


Artículo de Microsoft TechNet: Instalación de un nuevo bosque de Windows Server 2008, Apéndice deparámetros para la instalación desatendida

Discusión: Configuración común para AD DS

Discusión: Configuración común para AD DS

Puntos clave

Después de instalar un controlador de dominio, tal vez se necesite llevar a cabo tareas adicionales en su entorno.Puede tener acceso a listas de comprobación para las siguientes configuraciones comunes para AD DS en elAdministrador de servidores, en Recursos y Soporte.


Ayuda para AD DS: Configuraciones comunes para Servicios de dominio de Active Directory

Leccion 2 : Implementación de controladores de dominio de sólo lectura

Lección 2:

Implementación de controladores de dominio de sólo lectura

Una de las nuevas funciones importantes en Windows Server 2008 es la opción de usar los controladores de dominiode sólo lectura (RODC). Los RODC brindan toda la funcionalidad que los clientes necesitan como así tambiénseguridad adicional para los controladores de dominio implementados en las sucursales. Al configurar los RODC, sepuede especificar qué contraseñas de cuenta de usuario se almacenarán en la memoria caché del servidor yconfigurar los permisos administrativos delegados para el controlador de dominio. Esta lección describe cómo instalary configurar los RODC.

¿Qué es un controlador de dominio de solo lectura?

¿Qué es un controlador de dominio de solo lectura?

Puntos clave

Un RODC es un nuevo tipo de controlador de dominio compatible con Windows Server 2008. Un RODC hospedaparticiones de sólo lectura de la base de datos de AD DS. Es decir que nunca se podrán realizar cambios en la copiade la base de datos almacenada por el RODC y toda la replicación de AD DS usa una conexión unidireccional desdeun controlador de dominio que cuenta con una copia de base de datos grabable hasta el RODC.


Artículo de Microsoft TechNet: AD DS: Controladores de dominio de sólo lectura

Características de los controladores de dominio de sólo lectura

Características de los controladores de dominio de sólo lectura

Puntos clave

Vea la lista en la diapositiva.



Artículo de Microsoft TechNet: Step-by-Step Guide for Read-Only Domain Controller in Windows Server 2008 Beta 3(Guía paso a paso para el controlador de dominio de sólo lectura en Windows Server 2008 Beta 3)

Preparación de la instalación del RODC

Preparación de la instalación del RODC

Puntos clave

Antes de que se pueda instalar un RODC, se debe preparar el entorno de AD DS llevando a cabo los siguientespasos:

Configurar el nivel funcional de dominio y bosque

Planear la disponibilidad del controlador de dominio de Windows Server 2008.

Preparar el bosque y el dominio.


Ayuda para AD DS: Delegar la administración e instalación del controlador de dominio de sólo lectura


Artículo de Microsoft TechNet: Step-by-Step Guide for Read-Only Domain Controller in Windows Server 2008Beta 3 (Guía paso a paso para el controlador de dominio de sólo lectura en Windows Server 2008 Beta 3)

Instalación del RODC

Instalación del RODC

Puntos clave

La instalación del RODC es prácticamente idéntica a la instalación de AD DS en un controlador de dominio con unacopia grabable de la base de datos. No obstante, existen algunos pasos adicionales.



Artículo de Microsoft TechNet: Step-by-Step Guide for Read-Only Domain Controller in Windows Server 2008Beta 3 (Guía paso a paso para el controlador de dominio de sólo lectura en Windows Server 2008 Beta 3)

Delegación de la instalación del RODC

Delegación de la instalación del RODC

Puntos clave

Se puede delegar la instalación de un RODC realizando una instalación que consta de dos etapas.

Pregunta: ¿Cuáles son los beneficios de delegar la instalación de un RODC?




Artículo de Microsoft TechNet: Guía paso a paso para controladores de dominio de sólo lectura

¿Qué son las directivas de replicación de contraseñas?

¿Qué son las directivas de replicación de contraseñas?

Puntos clave

Cuando se implementa un RODC, se puede configurar una Directiva de replicación de contraseñas para el RODC.Dicha directiva funciona como una lista de control de acceso (ACL) que determina si se permite que un RODCalmacene una contraseña en la memoria caché.

La Directiva de replicación de contraseñas enumera las cuentas que usted explícitamente permite que se almacenenen la memoria caché y las que no. Las contraseñas para las cuentas no se encuentran realmente almacenadas en lamemoria caché en el RODC hasta que la cuenta del usuario o del equipo haya sido autenticada por primera vezmediante el RODC.


Ayuda en línea para AD DS: Specify password Replication Policy (Especificar la Directiva de replicación decontraseñas)

Demostración: Configuración de la separación de la función deadministrador y las directivas de replicación de contraseñas

Demostración: Configuración de la separación de la función de administrador y las directivas dereplicación de contraseñas

Preguntas:

¿Cuál sería una forma alternativa de configurar la separación de la función de Administrador y las Directivas dereplicación de contraseña?

Su organización ha implementado dos RODC. ¿Cómo configuraría la Directiva de replicación de contraseñas sideseara que las credenciales para todas las cuentas de usuario y de equipo exceptuando las de administradores yejecutivos sean almacenadas en la memoria caché en ambos RODC?


Ayuda para AD DS: Specify Password Replication Policy (Especificar la Directiva de replicación decontraseñas)

Leccion 3 : Configuración de funciones de controladores de dominio deAD DS

Lección 3:

Configuración de funciones de controladores de dominio de AD DS

Todos los controladores de dominio en un dominio son fundamentalmente iguales, es decir que todos contienen losmismos datos y brindan los mismos servicios. Sin embargo, también se pueden asignar funciones especiales acontroladores de dominio para brindar servicios adicionales o abordar escenarios donde solamente un únicocontrolador de dominio debería ofrecer servicios en cualquier momento. Esta lección describe cómo configurar yadministrar servidores de catálogo global y maestros de operaciones.

¿Qué son los servidores de catálogo global?

¿Qué son los servidores de catálogo global?

Puntos clave

El catálogo global es una réplica de sólo lectura parcial de todas las particiones de directorio de dominio en un bosque.El catálogo global es una réplica parcial ya que incluye solamente un conjunto de atributos limitado para cada uno delos objetos del bosque. Al incluir solamente los atributos que se buscan con más frecuencia, la base de datos de unservidor de catálogo global único puede representar a cada objeto en todos los dominios en el bosque.

El servidor de catálogo global es un controlador de dominio que también hospeda al catálogo global. AD DS configuraautomáticamente el primer controlador de dominio en el bosque como un servidor de catálogo global. Se puedeagregar funcionalidad de catálogo global a otros controladores de dominio o cambiar la ubicación predeterminada delcatálogo global a otro controlador de dominio.


Artículo de Microsoft TechNet: Domain Controller Roles (Funciones de controladores de dominio)

Modificación del catálogo global

Modificación del catálogo global

Puntos clave

A veces, quizás desee personalizar el servidor de catálogo global para incluir atributos adicionales. De formapredeterminada, para cada uno de los objetos en el bosque, el servidor de catálogo global contiene los atributos máscomunes de un objeto. Las aplicaciones y los usuarios pueden consultar tales atributos. Por ejemplo, se puede hallarun usuario por el nombre, apellido, dirección de correo electrónico u otras propiedades comunes.


Artículo de Microsoft TechNet: Domain Controller Roles (Funciones de controladores de dominio)

Demostración: Configuración de servidores de catálogo global

Demostración: Configuración de servidores de catálogo global

Preguntas:

¿Qué tipos de errores o experiencias de usuario lo llevaría a investigar si sería necesario configurar otro servidor comoun servidor de catálogo global?

¿Cuáles son las razones por las que elegiría replicar un atributo al catálogo global?


Artículo de Microsoft TechNet: Agregar un atributo al catálogo global

¿Qué son las funciones de maestro de operaciones?

¿Qué son las funciones de maestro de operaciones?

Puntos clave

Active Directory está diseñado como un sistema de replicación con varios maestros. No obstante, para ciertasoperaciones de directorio, solamente se requiere un único servidor autoritativo. Los controladores de dominio quedesempeñan funciones específicas se denominan maestros de operaciones. Los controladores de dominio quedesempeñan funciones de maestro de operaciones son designados para desempeñar tareas específicas paragarantizar consistencia y para terminar con las posibles entradas que presenten problemas en la base de datos deActive Directory.


Artículo de Microsoft TechNet: Agregar un atributo al catálogo global

Artículo de Microsoft TechNet: Administrar funciones de maestro de operaciones

Demostración: Administración de funciones de maestro de operaciones

Demostración: Administración de funciones de maestro de operaciones

Preguntas:

¿En qué circunstancia necesitaría asumir una función de maestro de operaciones de inmediato en vez de esperar unashoras para que se repare un controlador de dominio que actualmente desempeña la función?

Está implementando el primer controlador de dominio en un nuevo dominio que consistirá en un nuevo árbol dedominios en el bosque WoodgroveBank.com. ¿Qué funciones de maestro de operaciones desempeñará este servidorde manera predeterminada?


Artículo de Microsoft TechNet: Administrar funciones del maestro de operaciones

Cómo funciona el servicio Windows Time

Cómo funciona el servicio Windows Time

Puntos clave

El servicio Horario de Windows, también denominado W32Time, sincroniza la hora y la fecha para todos los equiposque se ejecutan en una red de Windows Server 2008. El servicio Horario de Windows usa el Protocolo de tiempo deredes (NTP) para garantizar configuraciones horarias de gran precisión por toda la red. Del mismo modo, se puedenintegrar fuentes horarias externas al servicio Horario de Windows.


Artículo de Microsoft TechNet: Windows Time Service Technical Reference (Referencia técnica del servicioHorario de Windows)

Artículo de Microsoft TechNet: Configuring a time source for the forest (Configurar una fuente horaria para elbosque)

Leccion 4 : Laboratorio: Implementación de los controladores de dominiode sólo lectura y administración de las funciones de controladores de

dominio

Laboratorio: Implementación de los controladores de dominio de sólolectura y administración de las funciones de controladores de dominio

Escenario

El Woodgrove Bank ha comenzado la implementación de Windows Server 2008. La organización ha implementadovarios controladores de dominio en su sede corporativa y se prepara para implementar controladores de dominio endiversas sucursales. El administrador de la empresa creó un diseño que requiere que se implementen controladoresde dominio de sólo lectura en servidores con Windows Server 2008 en todas las sucursales. Su tarea implicaimplementar un controlador de dominio en una sucursal que cumpla con los requisitos ya mencionados.

Ejercicio 1: Evaluación de la preparación del bosque y del servidor parainstalar un RODC

Ejercicio 1: Evaluación de la preparación del bosque y del servidor para instalar un RODC

En este ejercicio, se evaluará la preparación del bosque y del servidor para instalar un RODC. Se preparará también elbosque para la instalación. Además, se examinará la configuración de un servidor con Server Core para garantizar quecumpla con los requisitos previos para la instalación del RODC.

Nota: Debido a las limitaciones del entorno del laboratorio virtual, instalará el RODC en el mismo sitio que en el de loscontroladores de dominio existentes. En un entorno de producción, llevaría a cabo los mismos pasos incluso si elRODC se encontrara en un sitio diferente.

Las principales tareas se realizarán como se detalla a continuación:

Iniciar las maquinas virtuales y luego iniciar sesión.1.

Comprobar que los niveles funcionales de bosque y de dominio sean compatibles con la implementación de unRODC.

2.

Comprobar la disponibilidad de un controlador de dominio grabable con Windows Server 2008.3.

Configurar los valores de la cuenta de equipo para el RODC.4.

Tarea 1: Iniciar las maquinas virtuales y luego iniciar sesión.

En el equipo host, haga clic en Inicio, elija Todos los programas, seleccione Microsoft Learning y luego, hagaclic en 6824A. Se inicia Iniciador de laboratorio.

1.

En Iniciador de laboratorio, junto a 6824A-NYC-DC1, haga clic en Iniciar.2.


En Iniciador de laboratorio, junto a 6824A-NYC-SVR1, haga clic en Iniciar.4.

Inicie sesión en NYC- DC1 y NYC-DC2 como Administrador, usando la contraseña Pa$$w0rd.5.

Inicie sesión en NYC-SVR1 como AdminLocal, usando la contraseña Pa$$w0rd.6.

Minimice la ventana Iniciador de laboratorio.7.

Tarea 2: Comprobar que los niveles funcionales de bosque y de dominio sean compatibles con la implementación de un RODC.

En NYC-DC1, abra Usuarios y equipos de Active Directory.1.

Vea las propiedades de WoodgroveBank.com y compruebe que tanto el nivel funcional del dominio como eldel bosque se encuentren establecidos como Windows Server 2003.

2.

Tarea 3: Comprobar la disponibilidad de un controlador de dominio grabable con Windows Server 2008.

En Usuarios y equipos de Active Directory, compruebe las propiedades para NYC-DC1.1.

Compruebe que el nombre del sistema operativo sea Windows Server 2008 Enterprise.2.

Tarea 4: Configurar los valores de la cuenta de equipo para el RODC.

En NYC-SVR1, abra el Administrador del servicio.1.

Haga clic en Cambiar propiedades del sistema y en la ficha Nombre de equipo, cambie el nombre delequipo a TOR-DC1.

2.

Reinicie el equipo.3.

Resultado: Al finalizar este ejercicio habrá comprobado que el dominio y el equipo están listos para instalar un RODC.

Ejercicio 1: Respuestas claves (pasos detallados)

Ejercicio 2: Instalación y configuración de un RODC

Ejercicio 2: Instalación y configuración de un RODC

En este ejercicio, se instalará la función del servidor del RODC en el equipo con Windows Server 2008. Para llevar acabo tal proceso, se realizará una preparación preliminar en la cuenta de equipo que el RODC usará. Como parte dedicha preparación preliminar, se configurará un grupo administrativo con permisos para instalar el controlador dedominio. Una vez finalizada la instalación, se comprobará que la instalación haya finalizado correctamente. Además seconfigurarán directivas de replicación de contraseñas para usuarios que inicien sesión en el controlador de dominio.


Realizar la preparación preliminar en la cuenta de equipo para el RODC.1.

Iniciar sesión en TOR-DC1 como Administrador.2.

Instalar el RODC usando la cuenta existente. Usar WoodgroveBank\Axel como la cuenta con las credencialespara llevar a cabo la instalación.

3.

Comprobar la instalación correcta del controlador de dominio.4.

Configurar una directiva de replicación de contraseñas que permita que las credenciales se almacenen en lamemoria caché para todas las cuentas de usuarios en Toronto.

5.

Tarea 1: Realizar la preparación preliminar de la cuenta de equipo para el RODC.


Haga clic con el botón secundario en la unidad de organización de los controladores de dominio y en Crearpreviamente una cuenta de controlador de dominio de sólo lectura.

2.

Complete el Asistente para instalación de los servicios de dominio de Active Directory usando las siguientesselecciones:

3.

Usar la instalación de modo avanzado1.

Usar las credenciales actuales.2.

Nombre de equipo: TOR-DC13.

Sitio predeterminado4.

Instalar solamente las opciones de DNS y RODC5.

Delegar permiso a Axel Delgado para instalar el RODC.6.

Tarea 2: Iniciar sesión en TOR-DC1 como AdminLocal

Inicie sesión como AdminLocal usando la contraseña Pa$$w0rd.

Tarea 3: Instalar el RODC usando la cuenta existente. Use WoodgroveBank\Axel como la cuenta con las credenciales para llevar acabo la instalación.

En TOR-DC1, abra un símbolo de sistema y escriba dcpromo /UseExistingAccount:Attach y luego presioneENTRAR:

1.

Complete el Asistente para instalación de Servicios de dominio de Active Directory usando las siguientesselecciones:mama

2.

Usar la instalación en modo avanzado1.

Escriba Axel como la credencial alternativa2.

Use TOR-DC1 como el nombre del equipo3.

Use NYC-DC1.WoodgroveBank.com como el controlador de dominio de origen4.

Acepte la ubicación predeterminada para la base de datos, archivos de registro y archivos de SYSVOL.5.

Use Pa$$w0rd como la Contraseña de administrador del modo de restauración de servicios de directorio6.

Reiniciar el equipo una vez que finaliza la instalación.3.

Tarea 4: Comprobar la instalación correcta del controlador de dominio.

Después de que TOR-DC1 se reinicia, inicie sesión como Axel con la contraseña Pa$$w0rd.1.

En el Administrador del servidor, compruebe que la función del servidor de Servicios de dominio de ActiveService esté instalada.

2.

Compruebe que todos los servicios requeridos se estén ejecutando.3.

En Usuarios y equipos de Active Directive, compruebe que TOR-DC1 se encuentra en la unidadorganizativa de los controladores de dominio.

4.

Compruebe que no cuente con el permiso para agregar o quitar objetos de dominio.5.

En Sitios y servicios de Active Directory, compruebe que TOR-DC1 aparezca en la lista de servidores parael Default-First-Site-Name.

6.

Compruebe las NTDS Settings para TOR-DC1. Confirme que se hayan creado los objetos de conexión.7.

Compruebe las NTDS Settings para NYC-DC1. Confirme que no se hayan creado objetos de conexión para lareplicación con TOR-DC1.

8.

Abra el Visor de eventos. En el registro de Servicio de directorio, busque y vea un mensaje con unidentificador del suceso de 1128. Dicho identificador comprueba que se haya creado un objeto de conexión dereplicación entre NYC-DC1 y TOR-DC1.

9.

Tarea 5: Configurar una directiva de replicación de contraseñas que permita que las credenciales se almacenen en la memoriacaché para todas las cuentas de usuario en Toronto.

En NYC-DC1, en Usuarios y equipos de Active Directory, ingrese al cuadro de diálogo Propiedades deTOR-DC1.

1.

Agregue todos los grupos de Toronto a la directiva de replicación de contraseñas.2.

Resultado: Al finalizar este ejercicio, se habrá instalado un RODC y configurado la directiva de replicación decontraseñas de RODC para el RODC.


Ejercicio 3: Configuración de funciones de controladores de dominio deAD DS

Ejercicio 3: Configuración de funciones de controladores de dominio de AD DS

En este ejercicio, se configurará el RODC instalado en el ejercicio anterior como un servidor de catálogo global.Además se asignarán funciones de maestro de operaciones a un controlador de dominio adicional en el dominio.


Usar Sitios y servicios de Active Directory para configurar TOR-DC1 como un servidor de catálogo global.1.

Configurar NYC-DC2 como el maestro de infraestructura y el maestro de nomenclatura de dominios para eldominio WoodgroveBank.com.

2.

Agregar el atributo Departamento al catálogo global.3.

Cerrar todos las máquinas virtuales y descartar los discos para deshacer.4.

Tarea 1: Usar Sitios y servicios de Active Directory para configurar TOR-DC1 como un servidor de catálogo global.

En NYC-DC1, en Sitios y servicios de Active Directory, localice la cuenta de equipo TOR-DC1.1.

Ingrese a NTDS Settings y seleccione la casilla Catálogo global.2.

Tarea 2: Configurar NYC-DC2 como el maestro de infraestructura y el maestro de nomenclatura de dominios para el dominioWoodgroveBank.com.

En NYC-DC1, en Usuarios y equipos de Active Directory, cambie el foco de la consola aNYC-DC2.WoodgroveBank.com y luego haga clic en Aceptar.

1.

Haga clic con el botón secundario en WoodgroveBank.com y luego en Maestro de operaciones. Transfierala función de maestro de infraestructura a NYC-DC2.WoodgroveBank.com.

2.

En NYC-DC2, abra Dominios y confianzas de Active Directory. Ingrese a las configuraciones de Maestrode operaciones y transfiera la función de maestro de operaciones de nombres de dominio a NYC-DC2.

3.

Tarea 3: Agregar el atributo Departamento al catálogo global

En NYC-DC1, use regsvr32 schmmgmt.dll para registrar el complemento de Esquema de Active Directory.1.

Cree una nueva consola de Administración de Microsoft (MMC) y agregue el complemento de Esquema deActive Directory.

2.

En el Esquema de Active Directory, ingrese al atributo Department y configure el atributo para replicar alCatálogo global.

3.

Tarea 4: Cerrar todas las máquinas virtuales y descartar todos los cambios.

Por cada equipo virtual que se encuentre en funcionamiento, cierre la ventana de Control remoto de la máquinavirtual.

1.

En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios. Haga clic en Aceptar.2.

Cierre el Iniciador de laboratorio 6824A.3.

Resultado: Una vez finalizado el ejercicio, se habrá configurado un servidor de catálogo global y configurado las funcionesde controladores de dominio de AD DS.


Revisión del laboratorio


Preguntas de revisión

Se implementará un controlador de dominio en una sucursal. La sucursal no cuenta con una sala de servidoresaltamente segura por lo tanto le preocupa la seguridad del servidor. ¿Qué dos características de WindowsServer 2008 se pueden aprovechar para mejorar la seguridad de la implementación del controlador dedominio?

1.

Se debe crear un nuevo dominio al instalar un controlador de dominio en su infraestructura de Active Directory.Se revisará la lista de inventario de servidores disponibles para este propósito. ¿Cuáles de los siguientesequipos pueden usarse como un controlador de dominio?

2.

Windows Server 2008 Edición Web, sistema de archivos NTFS, 1 gigabyte (GB) de espacio disponible en eldisco duro, TCP/IP.

1.

Windows Server 2008 Edición Enterprise, sistema de archivos NTFS, 500 megabytes (MB) de espaciodisponible en el disco duro, TCP/IP.

2.

Windows Server 2008 Server Core Edición Enterprise, sistema de archivos NTFS, 1GB de espacio disponibleen el disco duro, TCP/IP.

3.

Windows Server 2008 Edición Standard, sistema de archivos NTFS, 500 MB de espacio disponible en el discoduro, TCP/IP.

4.

Se implementará un RODC en una sucursal. Se necesita asegurar que todos los usuarios en la sucursal puedanautenticar incluso si la conexión WAN desde la sucursal no está disponible. ¿Podrán hacerlo solamente losusuarios que generalmente inician sesión en la sucursal? ¿Cómo se configuraría la directiva de replicación decontraseñas?

3.

Se necesita instalar un controlador de dominio usando la instalación desde la opción de medios. ¿Qué pasosse deberán tomar para completar este proceso?

4.

¿Se implementarán RODC en su entorno de AD DS? Describa el escenario de implementación.5.

Se implementará un controlador de dominio en una sucursal. La sucursal cuenta con una conexión WAN con lacasa matriz que cuenta con muy poco ancho de banda disponible y no es muy confiable. ¿Se deberá configurarel controlador de dominio de la sucursal como un servidor de catálogo global?

6.

Se implementará un controlador de dominio en una sucursal. La sucursal no cuenta con una sala de servidoresaltamente segura por lo tanto le preocupa la seguridad del servidor. ¿Qué dos características de WindowsServer 2008 se pueden aprovechar para mejorar la seguridad de la implementación del controlador dedominio?

7.

Observaciones

Tenga en cuenta las siguientes observaciones cuando se implementan los RODC y se administran las funciones decontroladores de dominio:

Se puede instalar la función del servidor de AD DS en todas las ediciones de Windows Server 2008exceptuando la edición Windows Server 2008 Web Server Edition.

Se debe tener en cuenta la instalación de un RODC en un equipo con Server Core de Windows Server 2008para brindar seguridad adicional a su entorno de dominio.

Para instalar AD DS en un equipo con Server Core, se debe usar una instalación desatendida.

Se deben planear con cautela las directivas de replicación de contraseñas en su organización. Si se permiteque las credenciales se almacenen en una memoria caché para la mayoría de las cuentas en su dominio,aumentará el impacto a su organización si el RODC ha sido vulnerado. En caso contrario, aumentará el impactoa la sucursal si el vínculo de WAN con la casa matriz no se encuentra disponible.

En la mayoría de los casos, implementar un servidor de catálogo global en un sitio mejorará la experiencia deinicio de sesión para los usuarios. No obstante, implementar un catálogo global en una sucursal remota tambiénaumenta la red usada para la replicación.

Las funciones de maestro de operaciones brindan importantes servicios en una red pero por lo general éstosno son de mayor prioridad temporal. Generalmente, si se produce un error en un controlador de dominio quedesempeña una función de maestro de administrador, no resulta necesario que inmediatamente otrocontrolador de dominio asuma la función si se produce un error en el servidor puede repararse en pocas horas.

Modulo 2 : Configuración del Servicio de nombres de dominio paraServicios de dominio de Active Directory

Módulo 2

Configuración del Servicio de nombres de dominio para Servicios dedominio de Active Directory

El Sistema de nombre de dominio (DNS) es un componente de los Servicios de dominio de Active Directory® (AD DS)

para Windows Server® 2008. Al comprender la relación entre estas aplicaciones, se pueden resolver problemas de ADDS y aumentar la seguridad, mientras se brindan a los clientes todas las funciones del DNS.

Lección 1: Descripción general de la integración de Servicios de dominio de Active Directory y DNSLección 2: Configuración de las zonas integradas de AD DSLección 3: Configuración de zonas DNS de sólo lecturaLaboratorio: Configuración de la integración de AD DS y DNS

Leccion 1 : Descripción general de la integración de Servicios de dominiode Active Directory y DNS

Lección 1:

Descripción general de la integración de Servicios de dominio de ActiveDirectory y DNS

Windows Server 2008 requiere que haya una infraestructura DNS antes de instalar AD DS. Comprender cómo seintegran DNS y AD DS y de qué manera los equipos cliente usan DNS durante el inicio de sesión ayudará a resolverinconvenientes relacionados con DNS, como problemas de inicio de sesión del cliente.

Integración de los Servicios de dominio de Active Directory y espacio denombres DNS

Integración de los Servicios de dominio de Active Directory y espacio de nombres DNS

Puntos clave

En los espacios de nombres DNS, los dominios y equipos están representados mediante registros de recursos; y enlos espacios de nombres de Active Directory, están representados por objetos de Active Directory. Todos losdominios de Active Directory deben poseer sus correspondientes dominios DNS con nombres de dominio idénticos.Los clientes usan DNS para resolver nombres de host para direcciones IP a fin de buscar controladores de dominio yotros equipos que brindan servicios AD DS y otros servicios de red.

Active Directory requiere DNS; pero no requiere ningún tipo de servidor DNS particular. Por lo tanto, puede habervarios tipos de servidores DNS distintos.

Pregunta: ¿Cuál es la relación entre los nombres de dominio de Active Directory y los nombres de zona DNS?

Material de lectura adicional:

Integración de Active Directory

Integración de DNS

¿Qué son los Registros localizadores de recursos de servicios?

¿Qué son los Registros localizadores de recursos de servicios?

Puntos clave

A fin de que AD DS funcione correctamente, los equipos cliente deben poder localizar servidores que brindenservicios específicos; como solicitudes de autenticación de inicio de sesión, y servicios Telnet o de protocolo de iniciode sesión [Session Initiated Protocol, SIP] Los clientes de AD DS y los controladores de dominio usan Registros derecursos de servicios (SRV) para determinar las direcciones IP de los equipos que brindan estos servicios. Lasaplicaciones site-aware de AD DS, como Microsoft® Exchange, también usan registros de recursos SRV.

Pregunta: En el siguiente ejemplo de dos registros de recursos SRV: ¿Qué registro usará un cliente que consultasobre un servicio SIP?

_sip._tcp.example.com. 86400 IN SRV 10 60 5060 Lcs1.contoso.com.



Administración de registros de recursos

RFC 2782 – Un registro de recursos DNS para especificar la ubicación de servicios (DNS SRV)

Demostración: Registros SRV registrados por controladores de dominio deAD DS

Demostración: Registros SRV registrados por controladores de dominio de AD DS

Preguntas:

¿Cuál es el beneficio de replicar la zona mscdcs a todo el bosque?

¿Cómo podría privilegiarse un registro de recursos SRV sobre otro?

Cómo se usan los Registros localizadores de recursos de servicios

Cómo se usan los Registros localizadores de recursos de servicios

Puntos clave

Los equipos cliente de dominio usan la interfaz de programación de aplicaciones de localización (API) para localizar uncontrolador de dominio consultando el DNS. Si los registros de recursos SRV no se encuentran disponibles paraidentificar los controladores de dominio, es posible que no se pueda iniciar sesión. Todos los equipos, incluso lasestaciones de trabajo como los sistemas operativos Windows® XP Professional y Windows Vista®, y los servidores,como los sistemas operativos Windows Server®°2003 y Windows Server 2008, usan el mismo proceso para localizarcontroladores de dominio.


Cómo se encuentran los controladores de dominio en Windows XP

Domain Controller Location Process (Proceso de localización de controladores de dominio)

Integración de registros de localizadores de servicios y sitios AD DS

Integración de registros de localizadores de servicios y sitios AD DS

Puntos clave

Durante una búsqueda de controlador de dominio, el Localizador intenta hallar un controlador de dominio en el sitiomás cercano al cliente. El controlador de dominio usa la información almacenada en Active Directory para determinar elsitio más cercano. En la mayoría de los casos, el controlador de dominio que primero responda al cliente será el quese encuentre en el mismo sitio que éste. No obstante, en aquellos casos en que se haya modificado la ubicación físicadel equipo o el controlador de dominio del sitio local no esté disponible, existe un proceso para hallar otro controladorde dominio.

Durante el inicio del Net Logon, el servicio de Net Logon de todos los controladores de dominio enumera los objetosdel sitio en el Contenedor de configuración. Net Logon usa información del sitio para generar una estructura enmemoria que se usa para asignar direcciones IP a nombres de sitios.


Finding a Domain Controller in the Closest Site (Encontrar un controlador de dominio en el sitio más cercano)

Leccion 2 : Configuración de las zonas integradas de AD DS

Lección 2:

Configuración de las zonas integradas de AD DS

Integrar las zonas AD DS y DNS puede simplificar la administración de DNS al replicar la información de zona DNScomo parte de la replicación de Active Directory. También brinda beneficios como actualizaciones dinámicas seguras ycaducidad y reorganización de registros de recursos obsoletos.

¿Qué son las zonas integradas de AD DS?

¿Qué son las zonas integradas de AD DS?

Puntos clave

Una ventaja de integrar DNS y AD DS es la posibilidad de integrar zonas DNS en una base de datos de ActiveDirectory. Una zona es una parte del espacio de nombres de dominio que posee una agrupación lógica de registros derecursos; lo que permite la transferencia de zonas de dichos registros para que funcionen como una unidad.


Integración de Active Directory

¿Qué son las particiones de aplicación en AD DS?

¿Qué son las particiones de aplicación en AD DS?

Puntos clave

Existen tres particiones principales que contienen información AD DS.

La partición de esquema, que replica la información del esquema a todo el bosque.La partición de configuración, que replica la información sobre la estructura física a todo el bosque.La partición de dominio, que replica la información de dominio a todos los controladores de dominio de undeterminado dominio.


Replicación de zonas DNS en Active Directory

Opciones para configurar las particiones de aplicación de DNS

Opciones para configurar las particiones de aplicación de DNS

Puntos clave

Es posible modificar el ámbito de replicación DNS en cualquier momento mediante la Consola de administración DNSde Microsoft (MMC) o la herramienta de línea de comandos DNSCMD. Si se usa MMC DNS, existen las siguientesopciones de replicación:

A todos los servidores DNS del bosque.

A todos los servidores DNS del dominio. (Esta es la ubicación de almacenamiento predeterminada).

A todos los controladores de dominio del dominio. (Esta es la partición de información de dominio).

A todos los controladores de dominio que sirven de host a una partición de aplicación particular.


Replicación de zonas DNS en Active Directory

Cómo funcionan las actualizaciones dinámicas

Cómo funcionan las actualizaciones dinámicas

Puntos clave

Las actualizaciones dinámicas permiten que los equipos cliente de DNS registren y actualicen dinámicamente susregistros de recursos con un servidor DNS cada vez que haya cambios. Esto disminuye la necesidad de administrarregistros de zona manualmente; en especial para clientes que mueven o cambian las ubicaciones con frecuencia yusan Protocolo de configuración dinámica de host (DHCP) para obtener direcciones IP.


Actualización dinámica

Cómo funcionan las actualizaciones dinámicas seguras de DNS

Cómo funcionan las actualizaciones dinámicas seguras de DNS

Puntos clave

Las actualizaciones dinámicas seguras funcionan igual que las actualizaciones dinámicas excepto: que el servidor denombre autoritativo acepte sólo actualizaciones de clientes y servidores autenticados y unidos al dominio ActiveDirectory en el que se encuentra el servidor DNS.

Como puede observarse en la diapositiva, el cliente primero intenta realizar una actualización no segura. Si se produceun error al intentarlo, el cliente luego intenta negociar una actualización segura. Si el cliente ha recibido la autenticaciónde AD DS, la actualización tendrá éxito.

Pregunta: ¿Cuáles son los beneficios de usar zonas DNS integradas de Active Directory?

Demostración: Configuración de las zonas integradas de AD DS

Demostración: Configuración de las zonas integradas de AD DS

Preguntas:

¿Cómo podría evitarse que un equipo se registrara en la base de datos de DNS?

¿Cuáles serían las implicancias de no permitir las actualizaciones dinámicas?

Al usar actualizaciones dinámicas seguras, ¿cómo puede controlarse qué clientes están autorizados a actualizar losregistros DNS?

Cómo funciona la carga de zonas en segundo plano

Cómo funciona la carga de zonas en segundo plano

Puntos clave

Las organizaciones muy grandes que poseen zonas extremadamente grandes para almacenar sus datos DNS en ADDS, suelen darse cuenta de que el reinicio de un servidor DNS puede demorar una hora o más, mientras se recuperanlos datos DNS del servicio de directorio. Como consecuencia, el servidor DNS efectivamente no se encuentradisponible para satisfacer las solicitudes del cliente durante el tiempo que demora en cargar las zonas basadas en ADDS.


Función del servidor DNS

Leccion 3 : Configuración de zonas DNS de sólo lectura

Lección 3:

Configuración de zonas DNS de sólo lectura

Es posible brindar seguridad adicional configurando zonas DNS de sólo lectura ya que sólo un administrador puedecambiar este tipo de zonas. Aunque el personal no autorizado no puede modificar registros del controlador de dominiode sólo lectura (RODC), los clientes cuentan con todas las funciones de la resolución de nombres de Active Directory.

¿Qué son las zonas DNS de sólo lectura?

¿Qué son las zonas DNS de sólo lectura?

Puntos clave

Al instalar un RODC para Windows Server 2008, se presentan las opciones de instalación del servidor DNS. La opciónpredeterminada es instalar un formulario principal de sólo lectura de servidor DNS localmente en el RODC, que replicala zona integrada de AD existente para el dominio especificado y agrega la dirección IP local como servidor DNSpreferido en la configuración TCP/IP local. Esto garantiza que el servidor DNS que opera en el RODC posea una copiade sólo lectura completa de todas las zonas DNS.



Cómo funciona el DNS de sólo lectura

Cómo funciona el DNS de sólo lectura

Puntos clave

Cuando un equipo se transforma en un RODC, replica una copia completa de sólo lectura de todas las particiones deldirectorio de aplicaciones que usa el DNS, incluyendo la partición de dominio, ForestDNSZones y DomainDNSZones.Esto garantiza que el servidor DNS que opera en el RODC posea una copia de sólo lectura completa de todas laszonas DNS almacenadas en un controlador de dominio central en esas particiones de directorio. El administrador de unRODC puede visualizar el contenido de una zona principal de sólo lectura. Sin embargo, el administrador puedemodificar el contenido cambiando la zona de un servidor DNS con una copia grabable de la base de datos de DNS.

Pregunta: ¿Cómo aumenta la seguridad el RODC?



Discusión: Comparación de opciones de DNS para sucursales

Discusión: Comparación de opciones de DNS para sucursales

Puntos clave

Responda las preguntas en un debate en clase.


Cómo funcionan las consultas DNS

Laboratorio: Configuración de la integración de AD DS y DNS

Laboratorio: Configuración de la integración de AD DS y DNS

Escenario

El Woodgrove Bank es una empresa que tiene oficinas en muchas ciudades del mundo. Woodgrove Bank tienerelaciones comerciales con otras dos empresas: Fabrikam Inc. y Contoso Inc. Woodgrove Bank ha adquirido copiasde los archivos de zona DNS de dichas s compañías. Todos los empleados del bosque Woodgrove Bank necesitantener acceso a los registros DNS de Contoso Inc. Sólo los empleados del dominio Woodgrove Bank necesitan teneracceso a los archivos DNS de Fabrikam Inc. La sucursal de Woodgrove Bank posee un controlador de dominio desólo lectura. Dicho controlador de dominio se configurará para admitir tanto el servicio del servidor DNS como latotalidad de las zonas DNS de todo el bosque y de todo el dominio. El administrador de la empresa ha creado undocumento de diseño para la configuración DNS. El diseño incluye la configuración de: las zonas integradas de ADDS, las actualizaciones dinámicas de DNS y las zonas DNS de sólo lectura.

Ejercicio 1: Configuración de zonas integradas de Active Directory

Ejercicio 1: Configuración de zonas integradas de Active Directory

En este ejercicio, se configurarán las zonas DNS del entorno Woodgrove Bank de manera tal que cumplan losrequisitos de diseño. Se comprobarán los registros de recursos SRV que hayan registrado todos los controladores dedominio y se creará un nuevo registro de recursos SRV que sea compatible con el protocolo Telnet. También semodificarán las zonas DNS a fin de examinar la diferencia entre zonas integradas de Active Directory y zonas estándar,y se configurarán actualizaciones dinámicas y el ámbito de replicación. Luego se usará la consola de administración deedición de ADSI para visualizar los registros de DNS almacenados en la partición de dominio.


Iniciar el controlador de dominio e inicie la sesión como Administrador.1.

Examinar los registros de recursos SRV.2.

Crear un nuevo registro de recursos SRV que sea compatible con el protocolo Telnet NYC-SRV2.3.

Crear dos zonas nuevas basadas en los archivos de zona de Fabrikam y Contoso.4.

Configurar las dos zonas nuevas de manera tal que sean integradas de Active Directory y asegúrese de que nose permitan actualizaciones dinámicas.

5.

Configurar el ámbito de replicación de la zona Contoso de manera tal que abarque todo el bosque, y la zonaFabrikam para que abarque todo el dominio.

6.

Usar ADSI Edit.exe para visualizar zonas DNS integradas de Active Directory.7.

Tarea 1: Iniciar NYC-DC1 e iniciar la sesión como Administrador

Inicie NYC-DC1 e inicie la sesión como Administrador con la contraseña Pa$$w0rd.

Tarea 2: Examinar los registros de recursos SRV

Abra la consola Administrador de DNS, expanda las Zonas de búsqueda directa y luego haga clic en_msdcs.woodgrovebank.com.

1.

Expanda la carpeta GC -> _TCP.2.

Expanda la carpeta DC -> _TCP.3.

Abra Propiedades de _msdcs.woodgrovebank.com.4.

Cierre la página Propiedades.5.

Tarea 3: Crear un nuevo registro de recursos SRV que sea compatible con el protocolo Telnet en NYC-SRV2

Haga clic con el botón secundario en la zona _msdsc.woodgrovebank.com y luego haga clic en Registrosnuevos.

1.

Seleccione el tipo de registro Registro de servicio (SRV) y haga clic en Crear registro.2.

En el campo Servicios, seleccione _telnet en la lista desplegable. En el campo Host que ofrece esteservicio, escriba NYC-SRV2.woodgrovebank.com, haga clic en Aceptar y luego en Realizado.

3.

Tarea 4: Crear dos zonas nuevas basadas en los archivos de zona de Fabrikam y Contoso

Use el Explorador de Windows para copiar los archivos Contoso.com.dns y Fabrikam.com.dns de D:\6824\Allfiles\Mod02\Labfiles a C:\Windows\System32\DNS. Deje abierta la ventana del Explorador de Windows.

1.

Use la consola Administrador de DNS para crear una nueva zona principal estándar llamada Contoso.comusando el archivo existente Contoso.com.dns.

2.

Cree una nueva zona principal estándar llamada Fabrikam.com usando el archivo existente Fabrikam.com.dns.3.

Tarea 5: Configurar las zonas de Contoso y Fabrikam de manera tal que sean integradas de Active Directory y asegurarse de que

no se permitan actualizaciones dinámicas.

Abra la página de propiedades de Contoso.com.1.

Cambie el tipo de zona de manera tal que se almacene en Servicios de dominio de Active Directory.2.

Regrese a la ventana del Explorador de Windows. Observe que el archivo de zona Contoso.com.dns ya nose encuentra en la carpeta DNS. Ahora está almacenado en Servicios de dominio de Active Directory.

3.

Regrese a la página de propiedades de la zona Woodgrovebank.com y configure las Actualizacionesdinámicas en Ninguna.

4.

Repita los pasos 1 a 4 para la zona Fabrikam.com.5.

Tarea 6: Configurar el ámbito de replicación de la zona Contoso de manera tal que abarque todo el bosque, y la zona Fabrikam paraque abarque todo el dominio

Abra la página de propiedades de Contoso.com.1.

Cambie el ámbito de replicación de manera tal que sea Para todos los servidores DNS en este bosque.2.

Abra la página de propiedades de Fabrikam.com.3.

Asegúrese de que la configuración del ámbito de replicación de la zona Fabrikam sea Para todos losservidores DNS en este dominio.

4.

Tarea 7: Usar ADSI Edit.exe para ver zonas DNS integradas de Active Directory

Desde el comando Ejecutar, inicie adsiedit.msc.1.

Haga clic con el botón secundario en Editor ADSI y luego en Conectar a….2.

En la sección Punto de conexión, haga clic en Seleccione o escriba un nombre distintivo o un contextode nomenclatura.

3.

Escriba DC=DomainDNSZones,DC=WoodgroveBank,DC=Com y haga clic en Aceptar.4.

Expanda el contexto de nomenclatura, expanda CN=MicrosoftDNS, haga clic en DC=Woodgrovebank.com yluego examine los registros.

5.

Haga doble clic en el registro de NYC-DC1.6.

Cierre todas las páginas de propiedades y la consola de Administración ADSI.7.

Resultado: Al final de este ejercicio, habrá creado zonas DNS integradas de Active Directory


Ejercicio 2: Configuración de zonas DNS de sólo lectura

Ejercicio 2: Configuración de zonas DNS de sólo lectura

En este laboratorio, configurará una zona DNS de sólo lectura en un RODC y comprobará actualizaciones dinámicas yadministrativas.

Las principales tareas consisten en configurar zonas DNS de sólo lectura en el RODC que sean compatibles conFabrikam.


Iniciar el controlador de dominio de sólo lectura e iniciar la sesión como Administrador.1.

Instalar el servicio de Servidor DNS2.

Configurar el servidor DNS para que sea compatible con la totalidad de las zonas de todo el dominio y de todoel bosque.

3.

Cerrar todas las máquinas virtuales y descartar todos los cambios.4.

Tarea 1: Iniciar el controlador de dominio de sólo lectura e iniciar la sesión como Administrador

Inicie el controlador de dominio de sólo lectura e inicie la sesión como Administrador con la contraseñaPa$$w0rd.

Tarea 2: Instalar el servicio de Servidor DNS

Use Start /w ocsetup DNS-Server-Core-Role para instalar la función del servidor DNS.

Nota: El nombre de la función del servidor distingue mayúsculas de minúsculas.

Tarea 3: Configurar el servidor DNS para que sea compatible con la totalidad de las zonas de todo el dominio y de todo el bosque.

Desde el Símbolo del sistema, escriba el siguiente comando:Dnscmd /enlistdirectorypartitionDomainDnsZones.woodgrovebank.com

1.

A continuación escriba el siguiente comando:Dnscmd /enlistdirectorypartitionForestDnsZones.woodgrovebank.com

2.

Cambie a NYC-DC1 y luego abra la consola de administración DNS.3.

Agregue el equipo MIA-RODC a la consola DNS y asegúrese de que aparezcan todas las zonas DNS.4.

Nota: El nombre de la función del servidor distingue mayúsculas de minúsculas.

Tarea 4: Cerrar todas las máquinas virtuales y descartar los cambios

Resultado: Al finalizar este ejercicio, habrá configurado el servidor DNS de manera tal que sea compatible con latotalidad de las zonas de todo el dominio y de todo el bosque.


Revision del laboratorio



¿Cómo determina el equipo de un cliente en qué sitio se encuentra?1.

Enumere al menos tres beneficios de las zonas integradas de Active Directory.2.

En el siguiente ejemplo de dos registros de recursos SRV: ¿Qué registro usará un cliente que consulta sobreun servicio SIP?

3.



¿Qué permisos se necesitan para crear particiones del directorio de aplicaciones DNS?4.

¿Qué utilidades están disponibles para crear particiones de aplicación?5.

¿Cuál es el estado predeterminado de las actualizaciones dinámicas de una zona integrada de ActiveDirectory?

6.

¿Cuál es el estado predeterminado de las actualizaciones dinámicas de una zona principal estándar?7.

¿Qué grupos tienen permiso para realizar actualizaciones dinámicas?8.

Observaciones

Al configurar la integración AD DS y DNS, recuerde que:

Dado que tanto los clientes de Windows Server 2008 como de Active Directory dependen de DNS, el primerpaso para la solución de problemas de Active Directory suele ser solucionar los problemas de DNS.

Los registros de localizadores de servicios son críticos para el correcto funcionamiento de Active Directory.

Los registros de localizadores de servicios deben estar disponibles en todo momento.

Windows Server 2008 puede operar con cualquier servidor DNS compatible; pero las zonas integradas deActive Directory brindan características y seguridad adicional.

Las zonas integradas de Active Directory pueden replicarse a todo el bosque o todo el dominio, o acontroladores de dominio específicos a través de particiones de aplicación personalizadas.

Los registros DNS internos deben ser independientes de los registros DNS públicos.

Las actualizaciones dinámicas aligeran la sobrecarga administrativa que implica el mantenimiento de la base dedatos de la zona DNS.

Las actualizaciones dinámicas pueden ser exclusivas de Usuarios autenticados.

La carga de zonas de segundo plano reduce el tiempo de demora de los servidores DNS en estar disponiblestras un reinicio.

Se pueden usar DNS de sólo lectura junto con controladores de dominio de sólo lectura para brindar seguridadsin dejar de ofrecer las funciones solicitadas por el cliente.

Modulo 3 : Configuración de objetos y confianzas de Active Directory

Módulo 3

Configuración de objetos y confianzas de Active Directory

Luego de la implementación inicial de Servicios de dominio de Active Directory® (AD DS), las tareas más frecuentesque realiza un administrador de AD DS son la configuración y la administración de los objetos de AD DS. En la mayoríade las organizaciones, cada empleado recibe una cuenta de usuario que será agregada a uno o varios grupos en losAD DS. Las cuentas de usuario y de grupo permiten el acceso a los recursos de red basados en Windows Server,tales como los sitios web, los buzones de correo y las carpetas compartidas.

Este módulo describe el modo de realizar varias de estas tareas administrativas y las opciones disponibles paradelegarlas o automatizarlas. Además, este módulo describe cómo configurar y administrar las confianzas de ActiveDirectory.

Lección 1: Configuración de los objetos de Active DirectoryLección 2: Estrategias para el uso de gruposLección 3: Automatización de la administración de objetos de AD DSLaboratorio A: Configuración de objetos de Active DirectoryLección 4: Delegación del acceso administrativo a los objetos de AD DSLección 5: Configuración de las confianzas de AD DSLaboratorio B: Configuración de la delegación y las confianzas de Active Directory

Leccion 1: Configuración de los objetos de Active Directory

Lección 1:

Configuración de objetos de Active Directory

Luego de la implementación inicial de Servicios de dominio de Active Directory® (AD DS), las tareas más frecuentesque realiza un administrador de AD DS son la configuración y la administración de los objetos de AD DS. En la mayoríade las organizaciones, cada empleado recibe una cuenta de usuario que será agregada a uno o varios grupos en losAD DS. Las cuentas de usuario y de grupo permiten el acceso a los recursos de red basados en Windows Server,tales como los sitios web, los buzones de correo y las carpetas compartidas.

Este módulo describe el modo de realizar varias de estas tareas administrativas y las opciones disponibles paradelegarlas o automatizarlas. Además, este módulo describe cómo configurar y administrar las confianzas de ActiveDirectory.

Tipos de objetos de AD DS

Tipos de objetos de AD DS

Puntos clave

Es posible crear varios objetos diferentes en Active Directory.


Ayuda para usuarios y equipos de Active Directory

Demostración: Configuración de las cuentas de usuario de AD DS

Demostración: Configuración de las cuentas de usuario de AD DS

Preguntas:

¿Cómo pueden crearse varios objetos de usuario con la misma configuración para atributos tales como Departamentoy Ubicación de la oficina?

¿En qué circunstancias es conveniente deshabilitar una cuenta de usuario en lugar de eliminarla?

Tipos de grupo de AD DS

Tipos de grupo de AD DS

Puntos clave

AD DS es compatible con dos tipos de grupo.



Ámbitos de grupo de AD DS

Ámbitos de grupo de AD DS

Puntos clave

Windows Server 2008 es compatible con los ámbitos de grupo que se muestran en la diapositiva.


Ayuda para usuarios y equipos de Active Directory: Administración de grupos

Grupos predeterminados de AD DS

Grupos predeterminados de AD DS

Puntos clave

Windows Server 2008 brinda numerosos grupos integrados que se crean automáticamente al instalar un dominio deActive Directory. Los grupos integrados pueden usarse para administrar el acceso a los recursos compartidos y paradelegar las funciones administrativas específicas de Active Directory. Por ejemplo, es posible colocar la cuenta deusuario de un administrador de AD DS en un grupo de Operadores de cuenta a fin de que el administrador pueda crearcuentas y grupos de usuario.


Grupos predeterminados de Microsoft Technet

Identidades especiales de AD DS

Identidades especiales de AD DS

Puntos clave

Los servidores con Windows Server 2008 incluyen varias identidades especiales, conocidas generalmente comogrupos especiales o identidades especiales. Estas identidades se presentan de modo adicional a los grupos en loscontenedores de usuarios e integrados.


Artículo de Microsoft Technet: Identidades especiales de los archivos

Discusión: Uso de identidades especiales y grupos predeterminados

Discusión: Uso de identidades especiales y grupos predeterminados

Escenario

Woodgrove ve Bank posee más de 100 servidores alrededor del mundo. Es necesario determinar si se pueden usargrupos predeterminados o si se pueden crear grupos y luego asignar derechos o permisos específicos de usuario alos grupos para realizar las siguientes Tareas administrativas.

Se pueden asignar grupos predeterminados, identidades especiales o crear nuevos grupos para las siguientes tareas.Escriba el nombre del grupo predeterminado que posea los derechos de usuario más restrictivos a fin de realizar lassiguientes acciones o determinar si puede crearse un nuevo grupo:

Hacer una copia de seguridad y restaurar los controladores de dominio1.

Hacer una copia de seguridad de los archivos de los servidores miembro, sin restaurarlos2.

Crear grupos en la unidad organizativa Ventas3.

Conceder el acceso a una carpeta compartida a la que todos los empleados del Woodgrove Bank deben teneracceso. Los empleados se encuentran en dos dominios diferentes en el mismo bosque

4.

Conceder permisos administrativos a un usuario que ha iniciado sesión en un equipo cliente sin garantizar elacceso a los demás equipos. Los permisos deben aplicarse a todos los usuarios que inicien sesión en unequipo cliente en la organización

5.

Brindar acceso a los empleados de soporte técnico para controlar el escritorio de manera remota6.

Brindar acceso administrativo a todos los equipos en el dominio completo7.

Brindar acceso a una carpeta compartida denominada Datos en un servidor denominado DEN-SRV18.

Administrar la cola de impresión de una impresora determinada del servidor de impresión9.

Establecer la configuración de red en un servidor miembro10.

Demostración: Configuración de las cuentas de grupo de AD DS

Demostración: Configuración de las cuentas de grupo de AD DS

Preguntas:

¿Cuáles son las opciones disponibles para cambiar el ámbito y el tipo de un grupo de AD DS?

¿Cuáles son los beneficios de asignar administradores de grupo? ¿Establecería esta configuración en suorganización?


Ayuda para usuarios y equipos de Active Directory: Administración de grupos

Demostración: Configuración de objetos adicionales de AD DS

Demostración: Configuración de objetos adicionales de AD DS

Preguntas:

¿Cuáles son las razones para crear unidades organizativas?

¿Cuáles son los beneficios y limitaciones de usar objetos de la impresora y objetos de la carpeta compartida en ADDS?



Lección 2: Estrategias para el uso de grupos

Lección 2:

Estrategias para el uso de grupos

Los grupos de AD DS se usan para simplificar la administración de AD DS al asignar acceso a los recursos. En lugarde asignar acceso a los recursos usando las cuentas de usuario, resulta más eficaz agregar usuarios a los grupos yluego asignar acceso a los grupos. Sin embargo, debido a la gran variedad de opciones de grupo y opciones deimplementación de AD DS, es posible usar diversas estrategias para configurar grupos.

Opciones para asignar acceso a los recursos

Opciones para asignar acceso a los recursos

Puntos clave

Una de las razones principales para crear usuarios y grupos en AD DS es que los usuarios obtengan acceso a losrecursos compartidos, tales como las carpetas compartidas, los sitios de Windows SharePoint® Services u otrasaplicaciones.


Artículo de Microsoft Technet: Selecting a Resource Authorization Method (Seleccionar un Método deautorización de

Usar grupos de cuentas para asignar acceso a los recursos

Usar grupos de cuentas para asignar acceso a los recursos

Puntos clave

Al usar grupos de cuentas solamente para asignar acceso a los recursos, primero deben agregarse todas las cuentasde usuario a los grupos y luego, asignar al grupo un conjunto de permisos de acceso. Por ejemplo, un administradorpuede colocar todas las cuentas de usuarios contables en un grupo global denominado /GG-Todos los contadores yluego, asignarle a este grupo permisos de acceso a un recurso compartido. En un entorno de dominio único, esposible usar grupos de dominio locales, globales o universales para asignar acceso a los recursos.


Artículo de Microsoft Technet: AG/ACL Method (Método AG/ACL)

Discusión: Uso de grupos en un entorno de dominio único y de dominiosmúltiples

Discusión: Uso de grupos en un entorno de dominio único y de dominios múltiples

Lea los escenarios y realice un plan para configurar los grupos y asignar acceso a los recursos en cada escenario.

Ejemplo 1

Contoso, Ltd posee un dominio único que se encuentra en París, Francia. Los gerentes de Contoso, Ltd necesitanobtener acceso a la base de datos Inventario para realizar su trabajo.

Pregunta: ¿Cómo se puede garantizar el acceso de los gerentes a la base de datos Inventario?

Ejemplo 2

Contoso, Ltd determinó que todo el personal de la división Contabilidad debe tener acceso total a los datos contables.Además, los ejecutivos de Contoso, Ltd deben tener la posibilidad de visualizar los datos. Contoso, Ltd desea crearuna estructura de grupo para la división Contabilidad en su totalidad, que también abarque los departamentos Cuentaspor pagar y Cuentas por cobrar.

Pregunta: ¿Cómo se puede garantizar el acceso requerido a los gerentes y que haya un mínimo de administración?

Ejemplo 3

Contoso, Ltd se expandió para incluir operaciones en América del Sur y Asia y actualmente posee tres dominios: eldominio Contoso.com, el dominio Asia.contoso.com y el dominio SA.contoso.com. Es necesario garantizar el acceso,mediante todos los dominios, de los administradores de TI a la carpeta compartida Herramientas_Admin el dominioContoso. Además, es necesario asegurar el acceso de los administradores de TI a otros recursos en el futuro.

Pregunta: ¿Cómo puede lograrse el resultado deseado con el menor esfuerzo administrativo posible?

Lección 3: Automatización de la administración de objetos de AD DS

Lección 3:

Automatización de la administración de objetos de AD DS

En la mayoría de los casos, es posible crear y configurar los objetos de AD DS por separado. Sin embargo, enalgunos casos, quizá sea necesario crear o modificar la configuración de varios objetos simultáneamente. Por ejemplo,si la organización contrata a un grupo numeroso de nuevos empleados, es posible que desee automatizar el procesode configuración de las cuentas nuevas. Si su organización cambia de ubicación, es posible que desee automatizar latarea de asignar nuevas direcciones y números telefónicos a todos los usuarios. Esta lección describe cómoadministrar varios objetos de AD DS.

Herramientas para automatizar la administración de objetos de AD DS

Herramientas para automatizar la administración de objetos de AD DS

Puntos clave

Windows Server 2008 ofrece herramientas que pueden usarse para crear o modificar múltiples cuentas de usuario demanera automática en AD DS. Algunas de estas herramientas requieren del uso de un archivo de texto que incluyeinformación acerca de las cuentas de usuario que desean crearse. Además, pueden crearse scripts de Windows®PowerShell para agregar objetos o realizar cambios en los objetos de Active Directory.

Configuración de objetos de AD DS usando las herramientas de la línea decomandos

Configuración de objetos de AD DS usando las herramientas de la línea de comandos

Puntos clave

Usar estas herramientas de la línea de comandos para configurar los objetos de AD DS.

Administración de objetos de usuario con LDIFDE

Administración de objetos de usuario con LDIFDE

Puntos clave

Es posible usar la herramienta de la línea de comandos Ldifde para crear y realizar cambios en varias cuentas. Alaplicar la herramienta Ldifde, se usará un archivo de texto separado por línea para brindar la información de entrada delcomando.


Artículo de Microsoft Technet: LDIFDE

Administración de objetos de usuario con CSVDE

Administración de objetos de usuario con CSVDE

Puntos clave

Es posible usar la herramienta de la línea de comandos Csvde para crear múltiples cuentas en AD DS; sin embargo,sólo es posible usar la herramienta Csvde para crear cuentas, no para modificarlas.


Artículo de Microsoft Technet: CSVDE

¿Qué es Windows Powershell?

¿Qué es Windows Powershell?

Puntos clave

Windows PowerShell es una tecnología de automatización extensible y línea de comandos que los programadores ylos administradores pueden usar para automatizar las tareas en un entorno de Windows. Windows PowerShell usa unconjunto de pequeños cdmlets que realizan cada uno una tarea específica, aunque también es posible combinarlos enmúltiples cdmlets para realizar tareas administrativas complejas.


Soporte técnico de Microsoft: Windows PowerShell 1.0 Documentation Pack

Cmdlets de Windows PowerShell

Cmdlets de Windows PowerShell

Puntos clave

Aprender a usar Windows PowerShell es fácil gracias a la aplicación de los Cmdlets. La segmentación es consistenteen todos los cmdlets.


Windows PowerShell 1.0 Documentation Pack

Demostración: Configuración de objetos de Active Directory usandoWindows PowerShell

Demostración: Configuración de objetos de Active Directory usando Windows PowerShell

Preguntas:

¿Cuáles son las ventajas y desventajas de modificar los objetos de Active Directory usando los scripts de WindowsPowerShell?

¿De qué manera puede hacerse frente a las desventajas?


Blog de Windows PowerShell

Artículo de Microsoft Technet: Automatizacion con Windows PowerShell

Laboratorio A: Configuración de objetos de Active Directory

Laboratorio A: Configuración de objetos de Active Directory

Escenario

Woodgrove Bank cuenta con varios requisitos para administrar los objetos de Active Directory. Con frecuencia, laorganización contrata a internos que deben contar con permisos limitados y cuyas cuentas deben expirarautomáticamente cuando el internado haya finalizado. Las cuentas de usuario deben establecerse con unaconfiguración estándar que incluya valores como la configuración del perfil de usuario y las unidades asignadas parasus carpetas particulares. La organización, además, requiere grupos de AD DS que serán usados para asignarpermisos a una gran variedad de recursos de red. La organización desearía automatizar las tareas de administraciónde usuario y de grupo tanto como sea posible.

Ejercicio 1: Configuración de objetos de AD DS

Ejercicio 1: Configuración de objetos de AD DS

En este ejercicio, se instalarán las herramientas de administración de Active Directory en un equipo con WindowsVista®. Luego, estas herramientas serán usadas para configurar diversos objetos de AD DS en base a la informaciónque brinde el departamento de Recursos Humanos (RR.HH.). Estas tareas incluyen la creación de nuevas cuentas deusuario y la modificación de cuentas de usuario ya existentes.

El departamento de RR.HH. ha solicitado los siguientes cambios en AD DS:

Crear nuevas cuentas de usuario para Kerim Hanif y Jun Cao. Las dos cuentas de usuario deben crearse en launidad organizativa Admin. TI.

Modificar la cuenta de usuario de Dana Birkby.


Iniciar las máquinas virtuales y luego iniciar sesión.1.

Crear nuevas cuentas de usuario.2.

Modificar las cuentas de usuario existentes3.

Tarea 1: Iniciar las máquinas virtuales y luego iniciar sesión

En la máquina host, haga clic en Inicio, diríjase a Todos los programas, seleccione Microsoft Learning yluego, haga clic en 6824A. Se inicia Iniciador de laboratorio.

1.


En Iniciador de laboratorio, junto a 6824A-NYC-CL1, haga clic en Iniciar.3.

Inicie sesión en NYC- DC1 como Administrador, usando la contraseña Pa$$w0rd.4.

Inicie sesión en NYC- CL1 como Administrador, usando la contraseña Pa$$w0rd.5.

Minimice la ventana Iniciador de laboratorio. Encienda 6824A-NYC-DC1 y luego, inicie sesión comoAdministrador usando la contraseña Pa$$w0rd.

6.

Tarea 2: Crear nuevas cuentas de usuario


En la unidad organizativa AdminsTI, cree un nuevo usuario con los siguientes parámetros:2.

Nombre: Kerim

Apellido: Hanif

Nombre completo: Kerim Hanif

Nombre de inicio de sesión de usuario: Kerim

Contraseña: Pa$$w0rd

Desactive la casilla El usuario debe cambiar la contraseña al iniciar una sesión de nuevo

En NYC-DC1, use la herramienta de la línea de comandos Dsadd para crear una nueva cuenta de usuario a JunCao. La sintaxis del comando dsadd es:

3.

dsadd user "cn=Jun Cao,ou=adminsti,dc=WoodgroveBank,dc=com" -samid Jun -pwd Pa$$w0rd –descAdministrador

Tarea 3: Modificar las cuentas de usuario existentes

En NYC-DC1, cree una nueva carpeta en la unidad D llamada HomeDirs. Comparta la carpeta y luego,configure los Usuarios del dominio con los permisos del Colaborador.

1.

En la carpeta HomeDirs, cree una nueva carpeta llamada Marketing.2.

En Usuarios y equipos de Active Directory, busque la cuenta de Dana Birkby y luego, modifique laspropiedades de usuario de la siguiente manera:

3.

En la ficha General, configure:1.

Número de teléfono: 555-555-0100

Oficina: Casa matriz

Correo electrónico: [email protected]

En la ficha Marcado, configure:2.

Permiso de acceso a redes: Permitir Acceso

En la ficha Cuenta, configure:3.

Horas de inicio de sesión: Configure las horas de inicio de sesión permitidas entre las 8 a.m. y las 5 p.m. yluego, haga clic en Aceptar.

En la ficha Perfil, configure:4.

Carpeta particular: Asigne la unidad H a:

\\NYC- DC1\HomeDirs\Marketing\%username%

En el Explorador de Windows, diríjase a D:\HomeDirs\Marketing. Asegúrese de que se haya creado unacarpeta denominada Dana en la carpeta.

4.

En NYC-CL1, cierre sesión y luego inicie sesión como Dana usando la contraseña Pa$$w0rd. Confirme que launidad H: ha sido correctamente asignada y que Dana tiene permiso para crear archivos en su carpetaparticular.

5.

Resultado: Al finalizar este ejercicio, habrá configurado los objetos de Active Directory.


Ejercicio 2: Implementación de una estrategia de grupo de AD DS

Ejercicio 2: Implementación de una estrategia de grupo de AD DS

En este ejercicio, se revisarán los requisitos para la creación de grupos en Woodgrove Bank. Además, podrá crear losgrupos solicitados y configurar la anidación de grupo.


Encienda la máquina virtual 6824A-LON-DC1 y luego inicie sesión como Administrador.1.

Revise la documentación de requisitos del grupo y cree una estrategia de implementación grupal.2.

Analice la estrategia de implementación grupal.3.

Cree los grupos necesarios para la estrategia de implementación grupal.4.

Anide los grupos necesarios para la estrategia de implementación grupal.5.

Cierre 6824A-LON-DC2 y elimine todos los cambios.6.

Tarea 1: Iniciar la máquina virtual 6824A-LON-DC1 y luego, iniciar sesión como Administrador

En Iniciador de laboratorio, junto a 6824A-LON-DC1, haga clic en Iniciar.1.

Inicie sesión en LON- DC1 como Administrador usando la contraseña Pa$$w0rd.2.


Tarea 2: Revisar la documentación de requisitos del grupo y crear una estrategia de implementación grupal

Woodgrove Bank debe configurar el acceso a las carpetas compartidas para los ejecutivos de la organización. Laorganización implementó una carpeta compartida en NYC-DC1 llamada DatosEjec. La siguiente tabla enumera lascarpetas incluidas en la carpeta DatosEjec y sus finalidades:

Carpeta Contenido

DatosEjec \Casamatriz

\Sucursal

\Corp

DatosEjec\InformesdelaOficinaCentral Incluye información confidencial relacionada con lasoperaciones de la oficina central y el personal. Losejecutivos de la oficina central y de las sucursales NYCdeben poder obtener e ingresar información en estacarpeta.

DatosEjec\InformesdeSucursal Incluye información confidencial relacionada con lasoperaciones de las sucursales y el personal. Se hacreado una carpeta exclusiva para cada sucursal. Losejecutivos de la oficina central deben tener acceso delectura a todas las carpetas de las sucursales. Losgerentes de las sucursales deben tener acceso total atodas las carpetas de su sucursal.

DatosEjec\Corp Contiene información relacionada con las operaciones deWoodgrove Bank. Todos los ejecutivos y gerentes desucursales deben ejercer control total sobre los archivos

Carpeta Contenido

de esta carpeta.

El equipo ejecutivo de Woodgrove Bank se distribuye de la siguiente manera:

Los ejecutivos pueden encontrarse en cualquier lugar. Los ejecutivos se encuentran en América del Norte,Europa y Asia.

Cada sucursal cuenta con uno o varios gerentes de sucursal. Las sucursales se encuentran en Miami, NuevaYork, Toronto, Londres y Tokio.

El grupo de planeación de AD DS ha establecido el siguiente esquema de nomenclaturas para los grupos de AD DS:

Código de ubicación de tres caracteres: NYC, TOR, MIA, LON y TOK

Para los grupos que contienen cuentas de varios dominios, utilice el código de ubicación WGB.

Para los grupos que no cuentan con una ubicación específica, incluya el nombre de dominio en el nombre delgrupo.

Para los grupos de cuentas, use el nombre del departamento: Gerentes de sucursal, Ejecutivos. A continuaciónse colocará el tipo de grupo: GG, UG.

Para los grupos de recursos, use el nombre del recurso: EJ_CMInformes, EJ_LON_InformesSucursal,EJ_Corp. A continuación se incluye el nivel de acceso: FC, RO.

Determine qué grupos globales desea crear:1.

Determine la agrupación lógica de los usuarios de la organización. No tenga en cuenta los permisos querequieren los usuarios, solamente los grupos de usuarios.

Establezca un nombre de grupo para cada grupo de usuarios. Anote sus decisiones en la tabla dePlaneamiento de grupo global que se muestra a continuación.

Determine qué grupos locales desea crear:2.

Determine qué permisos se necesitan en cada recurso. No tenga en cuenta quién solicita el permiso, solamenteconsidere el permiso en sí.

Establezca un nombre de grupo para cada tipo de permiso. Anote sus decisiones en la tabla de Planeamientode grupo local que se muestra a continuación.

Determine qué grupos necesita anidar. Registre la configuración de anidación de grupos en la tabla dePlaneamiento de Anidación de grupos que aparece a continuación.

3.

Determine cómo desearía configurar los permisos de nivel de recursos compartidos en la carpeta DatosEjec.4.

Tabla de Planeamiento del grupo global

Grupo organizativo Nombre del grupo

Tabla de Planeación de grupo local

Recurso Requisitos de acceso Nombres de grupo

Recurso Requisitos de acceso Nombres de grupo

DatosEjec\InformesCasaMatriz

DatosEjec\InformesSucursal\NYC

DatosEjec\InformesSucursal\Toronto

DatosEjec\InformesSucursal\Miami

DatosEjec\InformesSucursal\London

DatosEjec\InformesSucursal\Tokyo

DatosEjec\Corp

Tabla de Planeamiento de anidación de grupos

Nombre del grupo local de dominio Grupos anidados

Tarea 3: Analizar la estrategia de implementación grupal

Tarea 4: Crear los grupos necesarios para la estrategia de implementación grupal

Nota: Para simplificar el proceso de implementación, es posible que algunos de los grupos requeridos yahayan sido creados. Además, se han configurado los grupos requeridos únicamente paraWoodgroveBank.com y EMEA.WoodgroveBank.com.

En NYC-DC1, desde Usuarios y equipos de Active Directory, compruebe que se hayan creado todos losgrupos globales requeridos para la asignación de permisos.

1.

En LON-DC1, desde Usuarios y equipos de Active Directory, compruebe que se hayan creado todos losgrupos globales requeridos para la asignación de permisos.

2.

En NYC-DC1, cree los grupos universales requeridos en base a la estrategia de implementación grupal. Creelos grupos universales desde la unidad organizativa Ejecutivos.

3.

Cree los grupos locales de dominio requeridos en base a la estrategia de implementación grupal.4.

Tarea 5: Anidar los grupos necesarios para la estrategia de implementación grupal

En NYC-DC1, anide los grupos requeridos para cumplir con la estrategia de implementación grupal.

Tarea 6: Cerrar 6824A-LON-DC1 y eliminar todos los cambios

Cierre la ventana Control remoto para máquina virtual 6824A-LON-DC1.1.

En el cuadro Close, seleccione Cerrar el equipo y descartar los cambios. Haga clic en Aceptar.2.

Resultado: Al finalizar este ejercicio, habrá implementado una estrategia de implementación grupal.


Ejercicio 3: Automatización de la Administración de los objetos de AD DS

Ejercicio 3: Automatización de la Administración de los objetos de AD DS

Woodgrove Bank abrirá una nueva sucursal en Houston. El departamento de RR.HH. lebrinda un archivo que contiene a todos los nuevos usuarios que han sido contratados para lasucursal de Houston. Es necesario importar las cuentas de usuarios a AD DS y luego, activary asignar contraseñas a todas las cuentas.

Además, es necesario modificar las propiedades de usuario para los usuarios de Houstonactualizando la información de la ciudad.

Woodgrove Bank también planea inaugurar un departamento de Investigación y Desarrolloen la ciudad de Nueva York (NYC). Se necesita crear una nueva unidad organizativa para eldepartamento de Investigación y Desarrollo (R&D) en el dominio de Woodgrove Bank eimportar y configurar las nuevas cuentas de usuario en AD DS.


Modifique y use el archivo ImportarUsuarios.csv para importar un grupo de usuarios aAD DS.

1.

Modifique y ejecute el script ActivarUsuarios.vbs para activar las cuentas de usuarioimportadas y asignar una contraseña para cada cuenta.

2.

Modifique y use el archivo ModificarUsuarios.ldf para prepararse para modificar laspropiedades de un grupo de usuarios en AD DS.

3.

Modifique y ejecute el script CrearUsuarios.ps1 para agregar nuevos usuarios en ADDS.

4.

Tarea 1: Modificar y usar el archivo ImportarUsuarios.csv para importar un grupo deusuarios a AD DS

En NYC-DC1, vaya hasta D:\6824\Allfiles\Mod03\Labfiles y abra ImportUsers.csvusando el bloc de notas. Analice la información del encabezado requerida para crearunidades organizativas y cuentas de usuario.

1.

Copie y pegue el contenido del archivo ImportUsers.txt en el archivoImportarUsuarios.csv, comenzando desde la segunda línea. Guarde el archivo comoC:\importar.csv.

2.

En el símbolo del sistema, escriba CSVDE –I –F C:\importar.csv y luego presioneENTRAR.

3.

En Usuarios y equipos de Active Directory, compruebe que se haya creado launidad organizativa de Houston y cinco unidades organizativas secundarias, ademásde que se hayan creado varias cuentas de usuario en cada unidad organizativa.

4.

Tarea 2: Modificar y ejecutar el script ActivarUsuario.vbs para activar las cuentas deusuario importadas y asignar una contraseña para cada cuenta

En NYC-DC1, diríjase a D:\Mod03\6824\Labfiles y edite Activateusers.vbs.1.

Modifique el valor del contenedor en la segunda línea de la siguiente manera:2.

OU=BranchManagers, OU =Houston,DC=WoodgroveBank,DC=com.

Modifique los valores del contenedor en las líneas adicionales al final del script paraincluir las siguientes unidades organizativas y luego, guarde el archivo:

3.

OU= CustomerService, OU =Houston,DC=WoodgroveBank,DC=com

OU = Executives, OU =Houston,DC=WoodgroveBank,DC=com

OU = Investments,OU=Houston,DC=WoodgroveBank,DC=com

OU = ITAdmins,OU=Houston,DC=WoodgroveBank,DC=com

Guarde el archivo como c:\ActivarUsuarios.vbs y haga doble clic enc:\ActivarUsuarios.vbs.

4.

En Usuarios y equipos de Active Directory, vaya hasta la unidad organizativaHouston y luego, confirme que estén activadas las cuentas de usuario en todas lasunidades organizativas secundarias.

5.

Tarea 3: Modificar y usar el archivo ModificarUsuarios.ldf para prepararse paramodificar las propiedades de un grupo de usuarios en AD DS

En NYC-DC1, exporte todas las cuentas de usuario en las unidades organizativassecundarias de Houston usando LDIFDE –f c:\Modificarusuarios.ldf –d"OU=Houston,DC=WoodgroveBank,DC=com" –r "objectClass=user" –lphysicalDeliveryOfficeName.

1.

Edite el archivo C:\Modificarusuario.ldf.2.

En el menú Editar, use la opción Reemplazar para reemplazar todas las instancias dechangetype: add por changetype: modify.

3.

Después de cada línea de tipo de modificación, agregue las siguientes líneas:4.

replace: physicalDeliveryOfficeName

physicalDeliveryOfficeName: Houston

Al final de la entrada para cada usuario, agregue un guión (–) seguido de una línea enblanco.

5.

Guarde el archivo como C:\ Modificarusuarios.ldf.6.

En el símbolo del sistema, escriba ldifde –I –f c:\ Modificarusuarios.ldf y luegopresione ENTRAR.

7.

En Usuarios y equipos de Active Directory, compruebe que el atributo Oficina paralas cuentas de usuario en Houston haya sido actualizado con la ubicación de Houston.

8.

Tarea 4: Modificar y ejecutar el script CrearUsuariosMúltiples.ps1 para agregar nuevosusuarios a AD DS

En NYC-DC1, diríjase a D:\6824\Allfiles\Mod03\Labfiles y editeCreateMultipleUsers.ps1.

1.

En dos lugares, modifique ADOUName por R&D.2.

Cambie la Ruta de acceso al archivo CSV a D:\6824\Allfiles\Mod03\Labfiles\Createusers.csv y luego guarde los cambios en el archivo.

3.

Inicie Windows PowerShell y en el símbolo PS, escriba Set-executionPolicyunrestricted y presione Entrar (para ejecutar un script que no posee firma) y luegoescriba D:\6824\Allfiles\Mod03\Labfiles\Createmultipleusers.ps1, y luego presioneENTRAR nuevamente.

4.

En Usuarios y equipos de Active Directory, compruebe que se haya creado launidad organizativa R&D y que dicha unidad haya sido rellenada con cuentas deusuario que poseen los atributos correctos.

5.

Resultado: Al finalizar este ejercicio, habrá analizado varias opciones para automatizar la administración de objetosde usuario.


Lección 4: Delegación del acceso administrativo a los objetos de AD DS

Lección 4:

Delegación del acceso administrativo a los objetos de AD DS

Muchas de las tareas de administración de AD DS son fáciles de realizar, pero pueden volverse bastante repetitivas.Una de las opciones disponibles en AD DS de Windows Server 2008 es delegar algunas de las tareas administrativasa otros administradores o usuarios. Al delegar control, se les permite a estos usuarios realizar tareas de administraciónespecíficas de Active Directory sin concederles más permisos que los necesarios.

Permisos de objetos de Active Directory

Permisos de objetos de Active Directory

Puntos clave

Los permisos de objetos de Active Directory brindan seguridad a los recursos permitiéndole controlar quéadministradores o usuarios pueden obtener acceso a objetos individuales o atributos de objetos y, además, permitecontrolar el tipo de acceso que poseen. Los permisos se usan para asignar privilegios administrativos para una unidadorganizativa o una jerarquía de unidades organizativas a fin de administrar los objetos de Active Directory.

Preguntas:

¿Cuáles son los riesgos de usar permisos especiales para asignar permisos de AD DS?

¿Qué permisos debería tener un usuario en un objeto si se le concedió permiso de control total y se denegó el accesode escritura del usuario?


Artículo de Microsoft Technet: Control de acceso en Active Directory

Artículo de Microsoft Technet: Asignar, cambiar o eliminar permisos en los objetos o atributos de ActiveDirectory

Demostración: Herencia de permisos de objetos de Servicios de dominiode Active Directory

Demostración: Herencia de permisos de objetos de Servicios de dominio de Active Directory

Preguntas:

¿Qué sucedería con los permisos de un objeto si se cambia la posición del objeto de una unidad organizativa a otra ylas unidades organizativas tienen diferentes permisos aplicados?

¿Qué sucedería si se eliminan todos los permisos de una unidad organizativa al bloquear la herencia y no se asignanpermisos nuevos?


Artículo de Microsoft Technet: Asignar, cambiar o eliminar permisos en los objetos o atributos de ActiveDirectory

¿Qué son los permisos efectivos?

¿Qué son los permisos efectivos?

Puntos clave

La herramienta Permisos efectivos permite determinar los permisos para un objeto de Active Directory. Estaherramienta calcula los permisos que se conceden a un usuario o grupo determinado y considera los permisosvigentes de la pertenencia a grupos y los permisos heredados de los objetos primarios.


Artículo de Microsoft Technet: Herramienta Permisos efectivos

¿Qué es la delegación de control?

¿Qué es la delegación de control?

Puntos clave

La delegación de control es la capacidad de asignar responsabilidad de administración de los objetos de ActiveDirectory a otro usuario o grupo.

La administración delegada permite reducir la carga administrativa de manejo de red distribuyendo las tareasadministrativas de rutina a varios usuarios. Usando la administración delegada, es posible asignar tareas administrativasbásicas a usuarios o grupos regulares. Por ejemplo, es posible otorgar a los supervisores el derecho de modificar lapertenencia a grupos en su departamento.

Al delegar tareas administrativas, se le otorga a los grupos de su organización más control de los recursos de redlocal. Además, brinda mayor seguridad a la red frente a daños accidentales o malintencionados limitando lapertenencia a los grupos de administradores.

Discusión: Escenarios para la delegación de control

Discusión: Escenarios para la delegación de control

Responda las preguntas de la diapositiva con el resto de la clase.

Demostración: Configuración de la delegación de control

Demostración: Configuración de la delegación de control

Lección 5: Configuración de las confianzas de AD DS

Lección 5:

Configuración de confianzas de AD DS

Muchas organizaciones que usan AD DS implementarán solamente un dominio. Sin embargo, las organizaciones demayor tamaño o aquellas que deben permitir el acceso a los recursos en otras organizaciones o unidades de negociopueden implementar varios dominios en el bosque de Active Directory o en un bosque diferente. Para que los usuariospuedan obtener acceso a los recursos existentes entre los dominios, se deben configurar los dominios o los bosquesusando confianzas. Esta lección describe cómo configurar y administrar las confianzas en un entorno de ActiveDirectory.

¿Qué son las confianzas de AD DS?

¿Qué son las confianzas de AD DS?

Puntos clave

Las confianzas permiten que los principios de seguridad desplacen sus credenciales de un dominio a otro y, además,son necesarias para permitir el acceso a los recursos entre los dominios. Al configurar una confianza entre dominios,es posible autenticar a un usuario en su dominio y, por tanto, sus credenciales de seguridad podrán usarse paraobtener acceso a los recursos en un dominio diferente.

Opciones de confianza de AD DS

Opciones de confianza de AD DS

Puntos clave

El gráfico de la diapositiva describe las opciones de confianza compatibles con Windows Server 2008

Preguntas:

Si desea configurar una confianza entre un dominio de Windows Server 2008 y un dominio de Windows NT 4.0, ¿quétipo de confianza configuraría?

Si desea compartir recursos entre dominios pero no desea configurar una confianza, ¿cómo podría brindar acceso alos recursos compartidos? Un usuario que se encuentra en un dominio diferente del bosque necesita un permiso paracrear Objetos de directiva de grupo (GPO) en su dominio. ¿Cuál es la mejor manera de lograrlo?


Ayuda para Dominios y confianzas de Active Directory: Administrar confianzas

Desempeño de las confianzas en un bosque

Desempeño de las confianzas en un bosque

Puntos clave

Al establecer confianzas entre dominios, ya sean dentro del mismo bosque, de un bosque a otro o con un dominiokerberos externo, la información respecto de estas confianzas se almacena en AD DS para que pueda recuperarla siresulta necesario. Un objeto de dominio de confianza (TDO) almacena esta información.

Los TDO almacenan información acerca de la confianza, como por ejemplo la transitividad o el tipo de confianza. Cadavez que se crea una confianza, se crea un nuevo TDO y se lo almacena en el contenedor del Sistema en el dominio dela confianza.


Ayuda para Dominios y confianzas de Active Directory: Administrar confianzas

Desempeño de las confianzas entre bosques

Desempeño de las confianzas entre bosques

Puntos clave

Windows Server 2008 es compatible con confianzas entre bosques, lo que permite a los usuarios de un bosqueobtener acceso a los recursos de otro bosque. Cuando un usuario intenta obtener acceso a un recurso de un bosquede confianza, AD DS primero debe encontrar el recurso. Una vez que lo hizo, el usuario será autenticado y se legarantizará el acceso al recurso.


Artículo de Microsoft Technet: Desempeño de dominios y bosques

Demostración: Configuración de confianzas

Demostración: Configuración de confianzas

Preguntas:

¿Cuál es la diferencia entre una confianza de acceso directo y una confianza externa?

Al configurar una confianza de bosque, ¿qué información deberá estar disponible en DNS para que funcione laconfianza?


Ayuda para Dominios y confianzas de Active Directory: Crear una confianza de acceso directo, Crear unaconfianza externa, Crear una confianza de bosque

¿Qué es el Nombre principal de usuario?

¿Qué es el Nombre principal de usuario?

Puntos clave

El nombre principal de usuario (UPN) es un nombre de inicio de sesión que se usa únicamente para iniciar sesión en lared de Windows Server 2008. El UPN consta de dos partes separadas por el símbolo @, como por ejemplo,[email protected].

El prefijo del nombre principal de usuario, que en el ejemplo es suzan.

El sufijo del nombre principal de usuario, que en el ejemplo es WoodgroveBank.com.

De manera predeterminada, el sufijo es el nombre de dominio en el que se creó la cuenta de usuario. Es posible usarotros dominios en la red o sufijos adicionales que haya creado para configurar otros sufijos para usuarios. Por ejemplo,es posible configurar un sufijo para crear nombres de inicio de sesión de usuario que coincidan con las direcciones decorreo electrónico de los usuarios.


Artículo de Microsoft Technet: Nomenclatura de Active Directory

¿Qué es la configuración de Autenticación selectiva?

¿Qué es la configuración de Autenticación selectiva?

Puntos clave

Otra opción para restringir la autenticación entre confianzas en un bosque de Windows Server 2008 es la autenticaciónselectiva. Al usar la autenticación selectiva, es posible limitar el número de equipos de su bosque a los que puedenobtener acceso otros usuarios del bosque.


Artículo de Microsoft Technet: Enable selective authorization over a forest trust (Habilitar la autenticaciónselectiva en una confianza de bosque)

Artículo de Microsoft Technet: Conceder el Permiso para autenticarse en los equipos del dominio o bosque deconfianza

Demostración: Establecer la configuración avanzada de confianzas

Demostración: Establecer la configuración avanzada de confianzas

Puntos clave

Otra opción para restringir la autenticación entre confianzas en un bosque de Windows Server 2008 es la autenticaciónselectiva. Al usar la autenticación selectiva, es posible limitar el número de equipos de su bosque a los que puedenobtener acceso otros usuarios del bosque.

Preguntas:

¿Qué pasaría si se configura un nuevo sufijo del UPN en un bosque después de que una confianza haya sidoconfigurada con otro bosque que contiene el mismo sufijo del UPN?

¿En qué situaciones implementaría la autenticación selectiva?


Artículo de Microsoft Technet: Enable selective authentication over a forest trust (Habilitar la autenticaciónselectiva en una confianza de bosque)

Artículo de Microsoft Technet: Conceder el Permiso para autenticarse en los equipos del dominio o bosque deconfianza

Laboratorio B: Configuración de la delegación y las confianzas de ActiveDirectory

Laboratorio B: Configuración de delegación y confianzas de ActiveDirectory

Escenario

Para optimizar el tiempo del administrador de AD DS, Woodgrove Bank desearía poder delegar algunas tareasadministrativas a los administradores junior. Se les concederá acceso a estos administradores a fin de que puedanadministrar las cuentas de usuario y de grupo en unidades organizativas diferentes.

Además, Woodgrove Bank se ha asociado con Fabrikam Ltd. Algunos usuarios de las organizaciones deben teneracceso a los recursos de la otra organización. Sin embargo, el acceso entre las organizaciones debe limitarse a lamenor cantidad de usuarios y servidores posibles.

Ejercicio 1: Delegación de control de objetos de AD DS

Ejercicio 1: Delegación de control de objetos de AD DS

En este ejercicio, se delegará el control de los objetos de AD DS a otros administradores. Además, se podráncomprobar los permisos de delegación a fin de asegurar que los administradores puedan realizar solamente lasacciones requeridas.

Woodgrove Bank decidió delegar las tareas administrativas a la oficina de Toronto. En esta oficina, los gerentes de lasucursal deben poder crear y administrar las cuentas de usuario y de grupo. El personal de servicio al cliente debepoder restablecer las contraseñas de usuario y configurar determinada información del usuario, como por ejemplo elnúmero de teléfono o la dirección.


Asigne control total de usuarios y grupos en la unidad organizativa de Toronto.1.

Asigne los derechos para restablecer contraseñas y configurar información personal del usuario en la unidadorganizativa Toronto.

2.

Compruebe los permisos efectivos asignados a la unidad organizativa Toronto.3.

Compruebe los permisos delegados a la unidad organizativa Toronto.4.

Tarea 1: Asignar control total de usuarios y grupos en la unidad organizativa Toronto

En NYC-DC1, ejecute el Asistente para delegación de control en la unidad organizativa de Toronto.1.

Asigne el derecho para Crear, eliminar y administrar cuentas de usuarios y para Crear, eliminar yadministrar grupos a Tor_GerentesSucursalGG.

2.

Tarea 2: Asignar los derechos para restablecer contraseñas y configurar información personal del usuario en la unidad organizativaToronto

En NYC-DC1, ejecute el Asistente para delegación de control en la unidad organizativa Toronto.1.

Asigne el derecho de Restablecer contraseñas de usuario y forzar el cambio de contraseña en elpróximo inicio de sesión al grupo Tor_ AtencionalClienteGG.

2.

Vuelva a ejecutar el Asistente para delegación de control. Seleccione la opción para crear una tareapersonalizada.

3.

Asigne el permiso de grupo Tor_ AtencionalClienteGG para cambiar la información personal únicamente enlas cuentas de usuario.

4.

Tarea 3: Comprobar los permisos efectivos asignados a la unidad organizativa Toronto

En Usuarios y equipos de Active Directory, habilite la visualización de Características avanzadas.1.

Ingrese a la Configuración de seguridad avanzada para la unidad organizativa Toronto.2.

Compruebe los permisos efectivos de Sven Buck. Sven es un miembro del grupo Tor_GerentesSucursalGG.Compruebe que Sven tenga los permisos para crear o eliminar cuentas de usuario o de grupo.

3.

Ingrese a la configuración de seguridad avanzada de Matt Berg, que se encuentra en la unidad organizativaAtencionalCliente en la unidad organizativa Toronto. Compruebe que Matt tenga los permisos para crear oeliminar cuentas de usuario o de grupo.

4.

Compruebe los permisos efectivos de Helge Hoening. Helge es un miembro del grupo Tor_AtencionalClienteGG. Compruebe que Helge tenga los permisos para restablecer contraseñas y para ingresaratributos personales.

5.

Tarea 4: Permitir el inicio de sesión de los Usuarios de dominio en los controladores de dominio

Nota: Este paso se incluye en el laboratorio para permitirle comprobar los permisos delegados. Para obtenerresultados óptimos, debe instalar las herramientas de administración en una estación de trabajo de Windows en lugar

de permitir a los Usuarios de dominio iniciar sesión en los controladores de dominio.

En NYC-DC1, inicie Administración de directivas de grupo y luego, edite la Directiva predeterminada decontroladores de dominio.

1.

En la ventana Editor de administración de directivas de grupo, ingrese en la carpeta Asignación dederechos de usuario.

2.

Haga doble clic en Permitir el inicio de sesión local. En el cuadro de diálogo Propiedades de Permitir elinicio de sesión local, haga clic en Agregar usuario o grupo.

3.

Conceda al grupo de Usuarios del dominio el derecho de iniciar la sesión local.4.

Abra un símbolo del sistema, escriba GPUpdate /force y luego, presione ENTRAR.5.

Tarea 5: Comprobar los permisos delegados a la unidad organizativa Toronto

Inicie sesión en NYC- DC1 como Sven, usando la contraseña Pa$$w0rd.1.

Inicie Usuarios y equipos de Active Directory y compruebe que Sven pueda crear un nuevo usuario en launidad organizativa Toronto.

2.

Compruebe que Sven pueda crear un nuevo grupo en la unidad organizativa Toronto.3.

Compruebe que Sven no pueda crear un usuario en la unidad organizativa AdminsTI.4.

Cierre sesión en NYC-DC1 y luego, inicie sesión como Helge usando la contraseña Pa$$w0rd.5.

En Usuarios y equipos de Active Directory, compruebe que Helge no tenga permisos para crear objetosnuevos en la unidad organizativa Toronto.

6.

Compruebe que Helge pueda restablecer las contraseñas de usuario y configurar las propiedades de usuario,tales como el número de teléfono y la oficina.

7.

Resultado: Al finalizar el ejercicio, habrá delegado las tareas administrativas a la oficina de Toronto.


Ejercicio 2: Configuración de confianzas de AD DS

Ejercicio 2: Configuración de confianzas de AD DS

En este ejercicio, se configurarán las confianzas en base a un diseño de configuración de confianzas que brinda eladministrador de la empresa. Además, se comprobará la configuración de confianzas para asegurar que éstas esténconfiguradas correctamente.

Woodgrove Bank inició una asociación estratégica con Fabrikam. Los usuarios de Woodgrove Bank necesitarán teneracceso a diversos recursos compartidos de archivos y a las aplicaciones que se ejecutan en los diferentes servidoresde Fabrikam. Únicamente los usuarios de Fabrikam deben tener acceso a los recursos compartidos en NYC-SVR1.


Iniciar la máquina virtual VAN-DC1 y luego iniciar sesión.

Establecer la Configuración de red y DNS para habilitar la confianza de bosque.

Configurar una confianza de bosque entre WoodgroveBank.com y NorthwindTraders.com.

Configurar la autenticación selectiva para la confianza de bosque a fin de permitir el acceso a NYC-DC2únicamente.

Comprobar la autenticación selectiva.

Cerrar todas las máquinas virtuales y descartar los discos para deshacer.

Tarea 1: Iniciar la máquina virtual VAN-DC1 y luego iniciar sesión

En Iniciador de laboratorio, junto a 6824A-VAN-DC1, haga clic en Iniciar.1.

Inicie sesión en VAN- DC1 como Administrador, usando la contraseña Pa$$w0rd.2.


Tarea 2: Establecer la Configuración de red y DNS para habilitar la confianza de bosque

En VAN-DC1, modifique las propiedades de Red de área local para cambiar la dirección IP a 10.10.0.110, laPuerta de enlace predeterminada a 10.10.0.1 y el Servidor DNS preferido a 10.10.0.110 y luego, haga clicen Aceptar.

1.

Sincronice la hora en VAN-DC1 con la de NYC-DC1.2.

En Administrador de DNS, agregue un reenviador condicional para reenviar todas las consultas paraWoodgrovebank.com a 10.10.0.10.

3.

En Dominios y confianzas de Active Directory, aumente el nivel funcional del bosque a Windows Server2003.

4.

En NYC-DC1, en la consola del Administrador DNS, agregue un reenviador condicional para reenviar todas lasconsultas para Fabrikam.com a 10.10.0.110.

5.

Cierre la consola del Administrador DNS.6.

Tarea 3: Configurar una confianza de bosque entre WoodgroveBank.com y Fabrikam.com YEYA

En NYC-DC1, inicie Dominios y confianzas de Active Directory desde la carpeta Herramientasadministrativas.

1.

Haga clic con el botón secundario en WoodgroveBank.com y luego en Propiedades.2.

Inicie el Asistente para nueva confianza y configure una confianza de bosque con Fabrikam.com.3.

Configure ambos lados de la confianza. Use [email protected] para comprobar la confianza.4.

Acepte la configuración predeterminada de la autenticación de todo el dominio para ambos dominios.5.

Confirme las dos confianzas.6.

Tarea 4: Configurar la autenticación selectiva para la confianza de bosque a fin de permitir el acceso a NYC-DC2 y NYC-CL1

En Dominios y confianzas de Active Directory, modifique la confianza entrante de Fabrikam.com para usarla autenticación selectiva.

1.

En Usuarios y equipos de Active Directory, ingrese a las propiedades de NYC-DC2. En la ficha Seguridad,conceda permiso al grupo MarketingGG de Fabrikam.com para autenticarse en este servidor.

2.

Ingrese a las propiedades de NYC-CL1. En la ficha Seguridad, conceda permiso al grupo MarketingGG deFabrikam.com para autenticarse en este servidor.

3.

Tarea 5: Comprobar la autenticación selectiva

Inicie sesión en la máquina virtual NYC-CL1 como [email protected] usando la contraseña Pa$$w0rd.1.

Nota: Adam es un miembro del grupo MarketingGG en Fabrikam. Puede iniciar sesión en un equipo en el dominio deWoodgroveBank.com gracias a la confianza que existe entre los dos bosques y porque tiene permiso paraautenticarse en NYC-CL1.

Intente ingresar a la carpeta \\NYC-DC2\Netlogon. Adam debería tener acceso a la carpeta.2.

Intente ingresar a la carpeta \\NYC-DC1\Netlogon. Adam no debería tener acceso a la carpeta porque elservidor no está configurado para la autenticación selectiva.

3.

Tarea 6: Cerrar todas las máquinas virtuales y descartar los discos para deshacer

Por cada máquina virtual que se encuentre en funcionamiento, cierre la ventana de Control remoto paramáquina virtual.

1.

En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar.2.


Resultado: Al finalizar este ejercicio, habrá configurado las confianzas en base a un diseño de configuración deconfianzas.


Revisión y conclusiones del módulo




Tiene la responsabilidad de administrar las cuentas y el acceso a los recursos de los miembros de su grupo. Unusuario del grupo abandona la compañía y está esperando que llegue su reemplazo en unos días. ¿Qué debehacer con la cuenta del usuario anterior?

1.

Debe crear un gran número de cuentas en AD DS a fin de que las cuentas estén preconfiguradas para unainstalación desatendida. ¿Cuál es la mejor manera de lograrlo?

2.

Un usuario notifica que no puede iniciar sesión en su equipo. El mensaje de error indica que la confianza entreel equipo y el dominio se ha roto. ¿Cómo solucionará el problema?

3.

Ha creado un grupo global llamado Soporte técnico que incluye todas las cuentas del soporte técnico. Deseaayudar al personal de soporte técnico a realizar cualquier operación desde los equipos de escritorio locales,incluyendo la obtención de propiedad de los archivos. ¿Qué grupo integrado es mejor usar?

4.

Se le concedió al grupo Admins_Sucursal el control total de todas las cuentas de usuario en UO_Sucursal.¿Qué permisos debería usar Admins_Sucursal para una cuenta de usuario que se trasladó de UO_Sucursal aUO_Oficina.central?

5.

Su organización cuenta con un entorno de bosque de Windows Server 2008, pero adquirió recientemente otraorganización con un entorno de bosque de Windows 2000, que contiene un dominio único. Los usuarios deambas organizaciones deben tener acceso a los recursos del bosque de la otra organización. ¿Qué tipo deconfianza debe crear entre el dominio raíz de bosque de cada bosque?

6.

Observaciones para configurar los objetos de Active Directory

Complementar o modificar los siguientes procedimientos recomendados según las situaciones de trabajo:

Cree un esquema de nomenclatura para los objetos de AD DS antes de comenzar a implementar AD DS. Porejemplo, es necesario planear cómo creará nombres de inicio de sesión de usuarios e ideará la estrategia denomenclatura de grupo. Es más fácil planear las estrategias de nomenclatura al principio de la implementaciónde AD DS que cambiar los nombres con posterioridad.

Planee la estrategia de grupo de AD DS antes de implementar AD DS. Al planear la estrategia de grupo, tengaen cuenta los planes de la organización respecto del crecimiento futuro. Aunque la organización tengasolamente una pequeña cantidad de usuarios en un dominio único, es posible que desee implementar unaestrategia de grupo de cuentas/ grupo de recursos si la organización posee una estrategia de crecimientoagresiva y posiblemente establezca asociaciones claves que pueden requerir confianzas de bosque.

Busque oportunidades para automatizar las tareas de administración de AD DS. Es posible que se requieratiempo para crear archivos csvde y ldifde o bien, escribir scripts VBScript o Windows PowerShell. Sin embargo,una vez que estas herramientas se implementan permiten ahorrar una significativa cantidad de tiempo.

Otra opción para reducir la carga de trabajo para los administradores de AD DS es delegar tareas. Unaestrategia para determinar qué tareas deben delegarse es analizar cuáles son las que más tiempo le demandana los administradores de AD DS. Si las tareas de rutina, como crear cuentas de usuarios, restablecercontraseñas o actualizar la información del usuario, demandan una cantidad significativa de tiempo, consideredelegar estas tareas específicas a otros usuarios.

Herramientas

Usar las siguientes herramientas al configurar objetos y confianzas de AD DS:

Herramienta Usar para Dónde encontrarla

Administrador del Obtener acceso a las Haga clic en Inicio, luego


servidor Herramientas de administraciónde AD DS en una únicaconsola.

diríjase a Herramientasadministrativas y haga clicen Administrador delServidor.

Usuarios y equiposde Active Directory

Crear y configurar todos losobjetos de AD DS.

Haga clic en Inicio, luegodiríjase a Herramientasadministrativas y haga clicen Usuarios y equipos deActive Directory.

Dominios yconfianzas de ActiveDirectory

Crear y configurar confianzas. Haga clic en Inicio, luegodiríjase a Herramientasadministrativas y haga clicen Dominios y confianzasde Active Directory.

Herramientas de lalínea de comandos(incluyendo Csvde yLdifde

Crear y configurar los objetosde AD DS

Están instaladas de manerapredeterminada y puedeobtener acceso a ellas desdeun símbolo del sistema.

WindowsPowerShell

Escribir scripts que puedanautomatizar la administración deobjetos

Windows PowerShell estádisponible como unadescarga de Microsoft ypuede instalarse como unacaracterística en WindowsServer 2008. Después deinstalar Windows PowerShell,se tiene acceso a los cmdletsmediante el shell decomando de WindowsPowerShell.

Tiene la responsabilidad de administrar las cuentas y el acceso a los recursos de los miembros de su grupo. Unusuario del grupo abandona la compañía y está esperando que llegue su reemplazo en unos días. ¿Qué debehacer con la cuenta del usuario anterior?

1.

Debe crear un gran número de cuentas en AD DS a fin de que las cuentas estén preconfiguradas para unainstalación desatendida. ¿Cuál es la mejor manera de lograrlo?

2.

Un usuario notifica que no puede iniciar sesión en su equipo. El mensaje de error indica que la confianza entreel equipo y el dominio se ha roto. ¿Cómo solucionará el problema?

3.

Ha creado un grupo global llamado Soporte técnico que incluye todas las cuentas del soporte técnico. Deseaayudar al personal de soporte técnico a realizar cualquier operación desde los equipos de escritorio locales,incluyendo la obtención de propiedad de los archivos. ¿Qué grupo integrado es mejor usar?

4.

Se le concedió al grupo Admins_Sucursal el control total de todas las cuentas de usuario en OU_Sucursal.¿Qué permisos debería usar Admins_Sucursal para una cuenta de usuario que se trasladó de OU_Sucursal aOU_Oficina.central?

5.

Su organización cuenta con un entorno de bosque de Windows Server 2008, pero adquirió recientemente otraorganización con un entorno de bosque de Windows 2000, que contiene un dominio único. Los usuarios deambas organizaciones deben tener acceso a los recursos del bosque de la otra organización. ¿Qué tipo deconfianza debe crear entre el dominio raíz de bosque de cada bosque?

6.

Observaciones para configurar los objetos de Active Directory


Cree un esquema de nomenclatura para los objetos de AD DS antes de comenzar a implementar AD DS. Por

ejemplo, es necesario planear cómo creará nombres de inicio de sesión de usuarios e ideará la estrategia denomenclatura de grupo. Es más fácil planear las estrategias de nomenclatura al principio de la implementaciónde AD DS que cambiar los nombres con posterioridad.

Planee la estrategia de grupo de AD DS antes de implementar AD DS. Al planear la estrategia de grupo, tengaen cuenta los planes de la organización respecto del crecimiento futuro. Aunque la organización tengasolamente una pequeña cantidad de usuarios en un dominio único, es posible que desee implementar unaestrategia de grupo de cuentas/ grupo de recursos si la organización posee una estrategia de crecimientoagresiva y posiblemente establezca asociaciones claves que pueden requerir confianzas de bosque.

Busque oportunidades para automatizar las tareas de administración de AD DS. Es posible que se requieratiempo para crear archivos csvde y ldifde o bien, escribir scripts VBScript o Windows PowerShell. Sin embargo,una vez que estas herramientas se implementan permiten ahorrar una significativa cantidad de tiempo.

Otra opción para reducir la carga de trabajo para los administradores de AD DS es delegar tareas. Unaestrategia para determinar qué tareas deben delegarse es analizar cuáles son las que más tiempo le demandana los administradores de AD DS. Si las tareas de rutina, como crear cuentas de usuarios, restablecercontraseñas o actualizar la información del usuario, demandan una cantidad significativa de tiempo, consideredelegar estas tareas específicas a otros usuarios.

Herramientas

Usar las siguientes herramientas al configurar objetos y confianzas de AD DS:


Administrador delservidor

Obtener acceso a lasHerramientas deadministración de AD DSen una única consola.

Haga clic en Inicio, luego diríjase a Herramientasadministrativas y haga clic en Administrador del Servidor.

Usuarios y equipos deActive Directory

Crear y configurar todoslos objetos de AD DS.

Haga clic en Inicio, luego diríjase a Herramientasadministrativas y haga clic en Usuarios y equipos deActive Directory.

Dominios y confianzasde Active Directory

Crear y configurarconfianzas.

Haga clic en Inicio, luego diríjase a Herramientasadministrativas y haga clic en Dominios y confianzas deActive Directory.

Herramientas de lalínea de comandos(incluyendo Csvde yLdifde

Crear y configurar losobjetos de AD DS

Están instaladas de manera predeterminada y puede obteneracceso a ellas desde un símbolo del sistema.

Windows PowerShell Escribir scripts que puedanautomatizar laadministración de objetos

Windows PowerShell está disponible como una descarga deMicrosoft y puede instalarse como una característica enWindows Server 2008. Después de instalar WindowsPowerShell, se tiene acceso a los cmdlets mediante el shellde comando de Windows PowerShell.

Modulo 4 : Configuración de sitios y replicación de Active Directory

Modulo 4

Configuración de sitios y replicación de Active Directory

En un entorno de Servicios de dominio de Active Directory (AD DS) de Windows Server 2008, se pueden implementarcontroladores de dominio múltiples en el mismo dominio, o en otros dominios dentro del mismo bosque. Lainformación de AD DS se replica automáticamente entre todos los controladores de dominio.

Este módulo describe cómo funciona la replicación de AD DS, lo que le permitirá administrar el tráfico de red en lareplicación, mientras que garantiza la consistencia de los datos de AD DS en toda su red.

Lección 1: Descripción general de la replicación de los Servicios de dominio de Active DirectoryLección 2: Descripción general de los sitios y replicación de AD DSLección 3: Configuración y supervisión de la replicación de AD DSLaboratorio: Configuración de sitios y replicación de Active Directory

Lección 1: Descripción general de la replicación de los Servicios dedominio de Active Directory

Lección 1:

Descripción general de la replicación de Servicios de dominio de ActiveDirectory

Cuando un usuario o un administrador realizan una actualización de AD DS, se actualiza la base de datos de AD DS deun controlador de dominio. Esta actualización luego se replica a todos los demás controladores dentro del dominio y,en algunos casos, a todos los demás controladores de dominio del bosque. AD DS emplea un modelo de replicacióncon varios maestros. Esto significa que la mayoría de los cambios se pueden realizar en cualquier controlador dedominio y se replicarán todos a los demás controladores de dominio.

Esta lección describe cómo funciona la replicación de AD DS en Windows Server 2008.

Cómo funciona la replicación de AD DS

Cómo funciona la replicación de AD DS

Puntos clave

La diapositiva describe cómo funcionan los diferentes componentes en la replicación de AD DS.


Ayuda para Sitios y servicios de Active Directory: Comprender sitios, subredes y vínculos de sitio

Artículo de Microsoft TechNet: Replication Model Components (Componentes del modelo de replicación)

Artículo de Microsoft Technet: How the Active Directory Replication Model Works (Cómo funciona el modelo dereplicación de Active Directory)

Cómo funciona la replicación de AD DS dentro de un sitio

Cómo funciona la replicación de AD DS dentro de un sitio

Puntos clave

Dentro de un sitio, una notificación del controlador de dominio remitente da inicio al proceso de replicación. Cuando serealiza un cambio en la base de datos, el equipo remitente notifica al socio de replicación que existen cambiosdisponibles. El socio de replicación extrae los cambios del controlador de dominio remitente usando una conexión dellamada a procedimiento remoto (RPC). Una vez completa la replicación, el controlador de dominio remitente esperatres segundos y luego notifica a otro socio de replicación, que también extrae los cambios. De manerapredeterminada, un controlador de dominio esperará 15 segundos luego de que se haya realizado un cambio ycomenzará a replicar los cambios a otros controladores de dominio del mismo sitio.




Resolución de conflictos de replicación

Resolución de conflictos de replicación

Puntos clave

Existen tres tipos de conflictos:

Modificar en forma simultánea el mismo valor de atributo de un objeto en dos controladores de dominio.

Agregar o modificar un objeto en un controlador de dominio al mismo tiempo que el objeto contenedor de dichoobjeto es eliminado en otro controlador de dominio.

Agregar objetos con el mismo nombre distintivo relativo en el mismo contenedor.


Artículo de Microsoft Technet How the Active Directory Replication Model Works (Cómo funciona el modelo dereplicación de Active Directory)

Optimización de la replicación

Optimización de la replicación

Puntos clave

Durante la replicación los controladores de dominio pueden seguir múltiples rutas para enviar y recibir actualizaciones.Aunque usar diversas rutas ofrece tolerancia a errores y un rendimiento mejorado, puede causar que lasactualizaciones se repliquen en el mismo controlador de dominio más de una vez a través de diferentes rutas dereplicación. Para impedir estas replicaciones repetidas, la replicación de AD DS emplea reducción de propagación.Este es el proceso por el que se reduce la cantidad de datos innecesarios que viajan desde un controlador de dominioa otro.



¿Qué son las particiones de directorio?

¿Qué son las particiones de directorio?

Puntos clave

La base de datos de AD DS se encuentra lógicamente dividida en particiones de directorio: una partición de esquema,una partición de configuración, particiones de dominio y particiones de aplicación. Cada partición es una unidad dereplicación y cuenta con su propia topología de replicación.


Artículo de Microsoft Technet: How The Data Store Works (Directory Partition section) (Cómo funciona elAlmacén de datos (sección partición de directorio))

How the Active Directory Replication Model Works (Cómo funciona el modelo de replicación de ActiveDirectory)

¿Qué es la topología de replicación?

¿Qué es la topología de replicación?

Puntos clave

La topología de replicación es la ruta por la que viajan los datos de replicación a través de una red. Para crear unatopología de replicación, AD DS debe determinar qué controladores de dominio replican los datos con otroscontroladores de dominio.

Pregunta: ¿Qué particiones de aplicación se crean de manera predeterminada en AD DS?


Artículo de Microsoft Technet: What is Active Directory Replication Topology? (¿Qué es la Topología dereplicación de Active Directory?)

Cómo se replican las particiones de directorio y el catálogo global

Cómo se replican las particiones de directorio y el catálogo global

Puntos clave

La replicación tanto de las particiones de esquema como de las particiones de configuración sigue el mismo procesoque las demás particiones de directorio. Sin embargo, debido a que estas particiones son de todo el bosque y no detodo el dominio, se pueden crear los objetos de conexión para estas particiones entre dos controladores de dominio,sin importar el dominio de dicho controlador. Todos los controladores de dominio del bosque están incluidos en latopología de replicación para estas particiones.



Cómo se genera la topología de replicación

Cómo se genera la topología de replicación

Puntos clave

Cuando se agregan controladores de dominio a un sitio, AD DS emplea el Comprobador de coherencia de lainformación (KCC) para establecer una ruta de replicación entre controladores de dominio.


Artículo de Microsoft Technet: How the Active Directory Replication Model Works? (¿Qué es la Topología dereplicación de Active Directory?)

Demostración: Creación y configuración de objetos de conexión

Demostración: Creación y configuración de objetos de conexión

Pregunta: ¿Cuándo se configuran los objetos de conexión en forma manual?

Lección 2: Descripción general de los sitios y replicación de AD DS

Lección 2:

Descripción general de sitios y replicación de AD DS

Dentro de un sitio, la replicación de AD DS ocurre en forma rápida y automática, sin tener en cuenta el uso de red.

Sin embargo, algunas organizaciones tienen múltiples ubicaciones y están conectadas por medio de conexiones dered lenta. Se pueden usar Sitios de AD DS para controlar la replicación y otros tipos de tráfico de AD DS a través deestos vínculos de red.

¿Qué son los sitios y vínculos de sitio de AD DS?

¿Qué son los sitios y vínculos de sitio de AD DS?

Puntos clave

Los sitios se usan para controlar el tráfico de replicación, el tráfico de inicio de sesión y las solicitudes del equipocliente al servidor de catálogo global.



Discusión: ¿Por qué implementar sitios adicionales?

Discusión: ¿Por qué implementar sitios adicionales?



Cómo funciona la replicación entre sitios

Cómo funciona la replicación entre sitios

Puntos clave

Dentro de un sitio se tiene poco control sobre el proceso de replicación de AD DS. Cuando se implementan sitiosmúltiples en un bosque de AD DS, también se puede configurar la replicación de AD DS para garantizar el óptimo usode red.

Demostración: Configuración de sitios de AD DS

Demostración: Configuración de sitios de AD DS

Preguntas:

¿Qué le sucedería a la topología de replicación si se desplaza un controlador de dominio de un sitio a otro?

Se mueve un controlador de dominio a un nuevo sitio usando Sitios y servicios de Active Directory. Seis horas mástarde se determina que el controlador de dominio no está replicando con ningún otro controlador de dominio. ¿Qué sedebe comprobar?


Ayuda para Sitios y servicios de Active Directory: Crear un sitio, crear una subred.

Comparación de la replicación en sitios y entre sitios

Comparación de la replicación en sitios y entre sitios

Puntos clave

Para obtener comparaciones, consulte la diapositiva.


Ayuda para Sitios y servicios de Active Directory: Comprender la replicación entre sitios


Demostración: Configuración de vínculos de sitio de AD DS

Demostración: Configuración de vínculos de sitio de AD DS

Preguntas:

Si todas las ubicaciones se encuentran conectadas por una red de área extensa que tiene el mismo ancho de bandadisponible, ¿es necesario crear vínculos de sitio adicionales?

La organización cuenta con dos sitios y un único dominio. ¿Se puede usar SMTP como protocolo de replicación entreambos sitios?


Ayuda para Sitios y servicios de Active Directory: Crear un vínculo de sitio

¿Qué es el generador de topología entre sitios?

¿Qué es el generador de topología entre sitios?

Puntos clave

El KCC de un controlador de dominio en el sitio, se designa en el mismo como el Generador de topología entre sitios(ISTG). Sólo hay un ISTG por sitio, sin importar cuántos dominios o particiones de directorio tiene. ISTG esresponsable de calcular la topología de replicación ideal para el sitio.



Cómo funciona la replicación unidireccional

Cómo funciona la replicación unidireccional

Puntos clave

Debido a que ningún cambio se escribe directamente en el Controlador de dominio de sólo lectura (RODC), ningúncambio tiene origen en el RODC. En consecuencia, los controladores de dominio grabables que son socios dereplicación no tienen que extraer cambios del RODC. Esto significa que cualquier cambio o daño que un usuariomalintencionado pueda hacer en alguna sucursal, no se puede replicar desde el RODC al bosque. Esto tambiénreduce la carga de trabajo de los servidores cabeza de puente del concentrador y el esfuerzo requerido parasupervisar la replicación.


Artículo de Microsoft Technet: AD DS: Controladores de dominio de sólo lectura

Lección 3: Configuración y supervisión de la replicación de AD DS

Lección 3:

Configuración y supervisión de replicación de servicios de dominio deActive Directory

Una vez que se configuran los sitios y los vínculos de sitio para el entorno de AD DS, se puede configurar lareplicación de AD DS. AD DS en Windows Server 2008 ofrece varias opciones que se pueden usar para administrar elflujo de replicación entre sitios. Debido a que la replicación de AD DS es tan importante en el entorno, también esnecesario saber cómo se la debe supervisar.

¿Qué es un servidor cabeza de puente?


Puntos clave

El servidor cabeza de puente en una topología de replicación de AD DS, es el único controlador de dominio,responsable en cada sitio de intercambiar los datos replicados con otros sitios. El servidor cabeza de puente del sitiooriginal, recoge todos los cambios de replicación en su sitio y luego los envía al servidor cabeza de puente del sitioreceptor, que replica los cambios a todos los controladores de dominio del sitio.

De manera predeterminada, el ISTG identifica un controlador de dominio en cada sitio como servidor cabeza depuente para cada vínculo de sitio. Si este servidor cabeza de puente no se encuentra disponible, el ISTG identifica aotro controlador de dominio como el servidor cabeza de puente.




Demostración: Configuración de servidores cabeza de puente

Pregunta:

La organización cuenta con dos sitios y dos dominios en el mismo bosque con controladores de dominios para ambosdominios en ambos sitios. Se configura un controlador de dominio en cada sitio como el servidor cabeza de puentepreferido. Tiempo después se advierte que los controladores de dominio para uno de los dominios no estánreplicando a través del vínculo de sitio. ¿Qué se debe hacer para solucionarlo?


Artículo de Microsoft Technet: Administración de la replicación entre sitios

Demostración: Configuración de la disponibilidad y frecuencia de lareplicación

Demostración: Configuración de la disponibilidad y frecuencia de la replicación

Preguntas:

Se configuran los vínculos de sitio entre Nueva York y Toronto y entre Nueva York y Londres. El sitio NuevaYork-Toronto se encuentra disponible desde las 2 a.m. hasta las 5 a.m. EST. El vínculo al sitio Nueva York-Londres seencuentra disponible desde las 8 p.m. hasta las 11 p.m. EST. Se puede crear un nuevo usuario en Toronto. ¿Cuándoaparecerá el usuario nuevo en AD DS en un controlador de dominio de Londres?

La organización cuenta con 4 sitios. Todos los sitios se incluyen en el VínculoSitioIPPredeterminado. Se deseamodificar el programa de replicación de todos los sitios para que la replicación entre sitios ocurra cada 15 minutos.¿Qué se debe hacer?


Ayuda para Sitios y servicios de Active Directory: Configurar la replicación entre sitios

¿Qué son los puentes de vínculos de sitio?

¿Qué son los puentes de vínculos de sitio?

Puntos clave

De manera predeterminada, todos los vínculos de sitio de AD DS son transitivos o tienen puentes. Esto significa que siel sitio A tiene un vínculo de sitio en común con el sitio B, el sitio B también cuenta con un sitio en común con el sitio Cy los dos vínculos de sitio tienen puentes entre sí. Los controladores de dominio del sitio A pueden luego replicarsedirectamente con los controladores de dominio del sitio C, aunque no existan vínculos de sitio entre los sitios A y C.

Se puede modificar la configuración predeterminada de los puentes de vínculos de sitios, deshabilitando los puentesde vínculos de sitios y luego aquellos vínculos de sitio que sean transitivos.



Demostración: Modificación de los puentes de vínculos de sitio

Demostración: Modificación de los puentes de vínculos de sitio

Pregunta:

Su organización cuenta con cinco sitios. Cuatro de los sitios se encuentran conectados con vínculos de red de áreaextensa (WAN), con ancho de banda extra, mientras que uno de los sitios se encuentra conectado a los demás sitiospor un vínculo WAN con escaso ancho de banda disponible. Se deshabilitan los puentes de vínculos de sitios en laorganización y luego se detecta que lleva más tiempo de lo normal el replicar los cambios de AD DS entre sitios. ¿Quése debe hacer para optimizar la replicación entre los cuatro sitios con ancho de banda disponible mientras que sereduce el uso de red del sitio con menos ancho de banda disponible?


Artículo de Microsoft Technet: Administración de la replicación entre sitios

¿Qué es la memoria caché de pertenencia al grupo universal?

¿Qué es la memoria caché de pertenencia al grupo universal?

Puntos clave

Uno de los problemas que puede requerir atención al configurar la replicación de AD DS es si se deben implementarservidores de catálogo global en cada sitio. Debido a que se requieren servidores de catálogo global cuando losusuarios inician sesión en el dominio, el hecho de implementar un servidor de catálogo global en cada sitio optimiza laexperiencia del usuario. Sin embargo, implementar un servidor de catálogo global en un sitio genera tráfico dereplicación adicional, lo que puede llegar a ser un problema si la red de conexión entre los sitios de AD DS cuenta conun ancho de banda limitado. En estos casos, se pueden implementar controladores de dominio con Windows Server2008 y así habilitar la caché de pertenencia al grupo universal para el sitio.


Artículo de Microsoft Technet: Diseño de la ubicación del servidor de catálogo global

Demostración: Configuración de la memoria caché de pertenencia al grupouniversal

Demostración: Configuración de la memoria caché de pertenencia al grupo universal


Artículo de Microsoft Technet: Cache universal group memberships (Pertenencia al grupo universal de lamemoria caché)

Demostración: Herramientas para supervisar y administrar la replicación

Demostración: Herramientas para supervisar y administrar la replicación

Preguntas:

¿En qué circunstancias puede que se desee saber cuál de los controladores de dominio en un sitio es el ISTG?

¿Qué información se encuentra disponible en las herramientas de línea de comandos, que no se encuentra disponibleen las herramientas de la interfaz gráfica de usuario (GUI)?

Laboratorio: Configuración de sitios y replicación de Active Directory



Escenario

El Woodgrove Bank cuenta con muchas oficinas en todo el mundo. Para optimizar el tráfico de inicio de sesión de losclientes y administrar la replicación de AD DS, el administrador de la empresa ha creado un nuevo diseño para laconfiguración de sitios de AD DS y para configurar la replicación entre los sitios. Se deben crear sitios de AD DS yconfigurar la replicación basada en el diseño del administrador de la empresa, supervisar la replicación del sitio ygarantizar que todos los componentes que se requieren para la replicación son funcionales.

El diseño que se usa actualmente en el Woodgrove Bank, continúa siendo el predeterminado, no se le han realizadocambios. Aparte del sitio predeterminado, no se encuentran configurados otros sitios de AD DS ni vínculos a sitios.

El administrador de la empresa ha creado el siguiente diseño de sitio:

Nueva York tiene una conexión de red de área extensa (WAN) a una velocidad de 1,544 megabits por segundo(Mbps) con Londres, que tiene el 50% de ancho de banda disponible. Nueva York y Tokio también seencuentran conectados por una conexión WAN a una velocidad de 1.544 Mbps, que tiene el 50% de ancho debanda disponible. Cualquier cambio realizado a AD DS en cualquiera de estas tres ubicaciones debe serreplicado a las otras en el término de una hora.

Miami se encuentra conectado a Nueva York por una conexión WAN a una velocidad de 256 kilobits porsegundo (kbps), que tiene menos del 20% de ancho de banda disponible durante el horario de oficina habitual.Los cambios realizados a AD DS en cualquier sitio dentro de la organización no deben ser replicados a Miamidurante el horario de oficina habitual.

El controlador de dominio que se encuentra en Miami, debe recibir las actualizaciones solo desde uncontrolador de dominio en Nueva York. Los controladores de dominio en Nueva York, Tokio y Londres puedenrecibir actualizaciones de cualquier otro controlador de dominio en uno de estos tres sitios.

El controlador de dominio en Miami, no está configurado como un servidor de catálogo global debido acuestiones relacionadas con la replicación de catálogo global. Para reducir el tráfico de red que se requierepara la autenticación, se debe habilitar la caché de pertenencia al grupo universal en el Sitio-Miami. Se debeconfigurar cada ubicación de la compañía como un sitio separado, con el siguiente nombre: Sitio-nombre de laciudad

Los vínculos de sitio se deben nombrar según el siguiente formato: Nombre de la ciudad-Nombre de laciudad-Vínculo a sitio.

La configuración de las direcciones de red para cada ubicación de la compañía se realizará como se detalla acontinuación:

Nueva York: 10.10.0.0/16

Londres: 10.20.0.0/16

Miami: 10.30.0.0/16

Tokio: 10.40.0.0/16

Nota: Debido a las limitaciones que presenta el laboratorio virtual, se configurarán sólo los sitios de las ubicacionesde Nueva York, Londres y Miami.

Nota: El siguiente laboratorio requiere que se ejecuten cuatro máquinas virtuales al mismo tiempo. Se recomiendaque los equipos de los estudiantes estén configurados con un GB adicional de memoria RAM (para alcanzar un totalde 3 GB) y así mejorar el rendimiento de la máquina virtual en el laboratorio.

Ejercicio 1: Configuración de sitios y subredes de AD DS

Ejercicio 1: Configuración de sitios y subredes de AD DS

En este ejercicio, se modificará la configuración existente del sitio, basada en el diseño del administrador de laempresa. Las tareas incluyen la creación de subredes y sitios nuevos, la creación de vínculos de sitio y eldesplazamiento de los servidores a los sitios adecuados.



Comprobar la configuración y la topología de replicación actual del sitio.2.

Crear sitios de AD DS.3.

Tarea 1: Iniciar las máquinas virtuales y luego iniciar sesión.

En la máquina host, haga clic en Inicio, elija Todos los programas, luego a Microsoft Learning y haga clicen 6824A. Se inicia Iniciador de laboratorio.

1.


En Iniciador de laboratorio, junto a 6824A-LON-DC1, haga clic en Iniciar.3.

En Iniciador de laboratorio, junto a 6824A-MIA-RODC, haga clic en Iniciar.4.

En Iniciador de laboratorio, junto a 6824A-NYC-RAS, haga clic en Iniciar.5.

Inicie sesión en NYC-DC1 como Administrador, usando la contraseña Pa$$w0rd.6.

Inicie sesión en LON-DC1 como Administrador, usando la contraseña Pa$$w0rd.7.

Inicie sesión en MIA-RODC como Administrador, usando la contraseña Pa$$w0rd.8.

Inicie sesión en NYC-RAS como Administrador, usando la contraseña Pa$$w0rd.9.


Tarea 2: Comprobar la configuración y la topología de replicación actual del sitio.

En NYC-DC1, abra Sitios y servicios de Active Directory y luego vaya a propiedades de NTDS Settingspara NYC-DC1.

1.

Compruebe que los objetos de conexión estén configurados en NYC-DC1. Confirme que los objetos deconexión se usen para replicar todas las particiones de directorio relevantes.

2.

Compruebe que las conexiones estén configuradas para replicar siempre y para comprobar la existencia deactualizaciones disponibles cada hora.

3.

Examine los objetos de conexión configurados en MIA-RODC. Compruebe que el RODC sólo tenga socios dereplicación entrante y ningún socio de replicación saliente.

4.

Tarea 3: Crear sitios de AD DS

En Sitios y servicios de Active Directory, cambie el Default-First-Site-Name a Sitio-NuevaYork.1.

Cree nuevos sitios llamados Sitio-Miami, Sitio-Londres y Sitio-Tokio.2.

Cree nuevos objetos de subred con las siguientes propiedades:3.

Prefijo: 10.10.0.0/16, Sitio: Sitio-Nueva York

Prefijo: 10.20.0.0/16, Sitio: Sitio-Londres

Prefijo: 10.30.0.0/16, Sitio: Sitio-Miami

Prefijo: 10.40.0.0/16, Sitio: Sitio-Tokio

Compruebe que las subredes correctas estén asociadas con cada sitio.4.

Resultado: Al finalizar este ejercicio, sabrá configurar sitios y subredes de AD DS y vincular las subredes a los sitiosadecuados.


Ejercicio 2: Configuración de la replicación de AD DS

Ejercicio 2: Configuración de la replicación de AD DS

En este ejercicio se configurará la replicación de AD DS entre sitios. Las tareas incluyen la creación de nuevosvínculos de sitios, la configuración de puentes de vínculos de sitio y finalmente, el movimiento de los controladores dedominio a los sitios adecuados.


Crear los objetos de vínculos de sitios.1.

Configurar los puentes de vínculos de sitios.2.

Modificar la configuración de la dirección IP del controlador de dominio.3.

Desplazar los controladores de dominio hacia los sitios adecuados.4.

Configurar la memoria caché de catálogo global para el Sitio-Miami.5.

Tarea 1: Crear los objetos de vínculos de sitios

En Sitios y servicios de Active Directory, cambie el nombre predeterminado del sitio DEFAULTIPSITELINKa Vínculo-Sitio-NuevaYork-Londres. Configure el vínculo de sitio para incluir sólo Sitio-NuevaYork y Sitio-Londres y replicar cada 30 minutos.

1.

Haga clic con el botón secundario en el vínculo de Vínculo-Sitio-NuevaYork-Londres y luego haga clic enPropiedades.

2.

Cree un nuevo vínculo a sitio llamado vínculo de Vínculo-Sitio-NuevaYork-Tokio, que incluya Sitio-NuevaYorky Sitio-Tokio y que se replique cada treinta minutos.

3.

Cree otro nuevo vínculo de sitio llamado vínculo de Vínculo-Sitio-NuevaYork-Miami, que incluya Sitio-NuevaYork y Sitio-Miami. Modifique el programa para que el vínculo de sitio no permita la replicación entre las 7a.m. y las 7 p.m., de lunes a viernes.

4.

Tarea 2: Configurar puentes de vínculos de sitios

En Sitios y servicios de Active Directory, desactive los puentes de vínculos a sitios para los vínculos de sitiosIP.

Cree un nuevo puente de vínculos de sitios denominado Puente-Vínculo-Sitio-NuevaYork-Londres-Tokio,que incluya todos los sitios excepto el Sitio-Miami.

Tarea 3: Modificar la configuración de dirección IP del controlador de dominio

En LON-DCI, vaya a propiedades de Conexión de área local. Cambie la configuración de la dirección IP parausar la dirección IP 10.20.0.110 y la puerta de enlace predeterminada 10.20.0.1.

1.

Asegúrese de que se puede rastrear 10.10.0.10 desde LON- DC1 y fuerce al servidor para que registre su IPen DNS.

2.

En MIA-RODC, en la ventana del símbolo del sistema, use el comando Netsh interface ipv4 show interfacespara identificar el valor Idx asignado a la conexión de área local.

3.

Use el comando netsh interface ipv4 set address name="ID" source=static address=10.30.0.15mask=255.255.0.0 gateway=10.30.0.1 para cambiar la dirección IP por MIA-RODC.

4.

Asegúrese de que se puede rastrear 10.10.0.10 desde MIA-RODC y luego fuerce al servidor para que registresu dirección IP en DNS.

5.

En NYC-DC1, compruebe que las direcciones IP para LON-DC1 y MIA-RODC hayan sido actualizadas en elDNS.

6.

Modifique el registro de delegación para que EMEA use 10.20.0.110 como dirección del servidor EMEA DNS.7.

Tarea 4: Desplazar los controladores de dominio hacia los sitios adecuados

En NYC-DC1, en Sitios y servicios de Active Directory, desplace LON-DC1 desde el Sitio-NuevaYork, aSitio-Londres.

1.

Desplace MIA-RODC desde Sitio-Nueva York a Sitio-Miami.2.

Tarea 5: Configurar la memoria caché de catálogo global para el Sitio-Miami

En NYC-DC1, en Sitios y servicios de Active Directory, vaya a Propiedades de NTDS Site Settings paraSitio-Miami.

1.

Habilite la Caché de pertenencia al grupo universal y luego configúrela para que se actualice desde el Sitio-NuevaYork.

2.

Resultado: Al finalizar este ejercicio, sabrá configurar la replicación de AD DS.


Ejercicio 3: Supervisión de la replicación de AD DS

Ejercicio 3: Supervisión de la replicación de AD DS

En este ejercicio se supervisará la replicación de AD DS entre sitios. Se usarán los comandos DCDiag y NLTest paracomprobar la disponibilidad del servidor; y el comando Replmon para supervisar la replicación entre sitios.


Comprobar que se haya actualizado la topología de replicación.1.

Comprobar que la replicación funcione entre sitios.2.

Usar el comando DCDiag para comprobar la topología de replicación.3.

Usar el comando repadmin para comprobar que la replicación se haya realizado correctamente.4.

Apagar todas las máquinas virtuales y eliminar todos los cambios.5.

Tarea 1: Comprobar que se haya actualizado la topología de replicación.

En NYC-DC1, en Sitios y servicios de Active Directory, vaya a NTDS Settings para NYC-DC1 y luegofuerce al servidor para que compruebe la topología de replicación.

Vaya a NTDS Settings para MIA-RODC en el Sitio-Miami y luego fuércela para que compruebe la topología dereplicación. Esta tarea llevará unos minutos para completarse.

Vaya a propiedades de NTDS Site Settings para el Sitio-NuevaYork y luego verifique que NYC-DC1 estéconfigurado como Generador de topologías entre sitios.

Vaya a NTDS Site Settings para Sitio-Miami y luego compruebe que MIA-RODC no esté configurado comoISTG. Debido a que MIA-RODC es un RODC, no puede funcionar como un servidor cabeza de puente o unISTG.

Tarea 2: Comprobar que la replicación funcione entre sitios

En NYC-DC1, en Sitios y servicios de Active Directory, vaya a NTDS Settings para NYC-DC1.1.

En el panel de detalles, compruebe que se haya creado un objeto de conexión entre NYC-DC1 y LON-DC1 yluego fuerce la replicación en el objeto de conexión.

2.

En LON-DC1, abra Sitios y servicios de Active Directory, vaya al objeto de conexión configurado enLON-DC1 entre LON-DC1 y NYC-DC1 y luego fuerce la replicación en el objeto de conexión.

3.

En NYC-DC1, en Usuarios y equipos de Active Directory, cree en el Contenedor de usuarios, un nuevousuario con UsuariodePrueba como nombre y nombre de inicio de sesión y use la contraseña Pa$$w0rd.

4.

En Sitios y servicios de Active Directory, vaya al objeto de conexión configurado en MIA-RODC entreNYC-DC1 y MIA-RODC y luego fuerce la replicación en el objeto de conexión.

5.

En Usuarios y equipos de Active Directory, cambie el foco a MIA-RODC. WoodgroveBank.com.6.

En el cuadro de diálogo Cambiar el controlador de dominio, haga clic enMIA-RODC.WoodgroveBank.com, luego haga clic en Aceptar y compruebe que la cuenta UsuariodePruebahaya sido replicada a MIA-RODC.

7.

Tarea 3: Usar el comando DCDiag para comprobar la topología de replicación

En NYC-DC1, en un símbolo del sistema, escriba DCDiag / test:replications para comprobar que NYC-DC1pase todas las pruebas de conectividad.

Nota: Aparecerán errores de replicación porque NYC-DC2 y TOK-DC1 no se están ejecutando y se ha intentadorealizar la replicación.

Tarea 4: Usar el comando Repadmin para comprobar que la replicación se haya realizado correctamente

En NYC-DC1, en el símbolo del sistema, escriba repadmin /showrepl y luego compruebe que la replicacióncon LON-DC1 se haya realizado correctamente durante la última actualización de la replicación.

1.

En el símbolo del sistema, escriba repadmin /showrepl MIA-RODC.WoodgroveBank.com y luegocompruebe que todas las particiones de directorio hayan sido actualizadas sin errores durante la últimaactualización de la replicación.

2.

En el símbolo del sistema, escriba repadmin /bridgeheads y luego compruebe que NYC-DC1 y LON-DC1estén configurados como servidores cabeza de puente para su sitio.

3.

En el símbolo del sistema, escriba repadmin / replsummary, y luego examine el resumen de replicación ycierre el símbolo del sistema.

4.

Tarea 5: Apagar todas las máquinas virtuales y eliminar todos los cambios

Por cada máquina virtual que se encuentre en funcionamiento, cierre la ventana de Control remoto paramáquina virtual.

1.



Resultado: Al finalizar este ejercicio, se habrá comprobado que la replicación de AD DS está en funcionamiento.


Revision del laboratorio




¿Cómo se pueden reducir las posibilidades de que se generen conflictos de replicación en su organización?1.

Se han implementado nueve controladores de dominio dentro del mismo dominio. Cinco de estoscontroladores de dominio se encuentran en un sitio, mientras que cuatro están en un sitio distinto. No se hamodificado la frecuencia de replicación predeterminada para la replicación dentro del sitio y entre sitios. Se creauna cuenta de usuario en un controlador de dominio. ¿Cuál es el tiempo máximo que le llevará a dicha cuentade usuario replicarse a todos los controladores del dominio?

2.

Se agrega un nuevo controlador de dominio a un dominio ya existente en el bosque. ¿Qué particiones de ADDS serán modificadas como consecuencia de esto?

3.

La organización tiene un dominio con tres sitios: Un sitio para la oficina central y dos sitios para las sucursales.Los controladores de dominio en los sitios de las sucursales se pueden comunicar con los controladores dedominio de la oficina central, pero no pueden comunicarse directamente con los controladores de dominio de laotra sucursal, debido a restricciones de firewall. ¿Cómo se puede configurar la arquitectura de los vínculos desitios en AD DS para integrar el firewall y garantizar que el Comprobador de coherencia de la información (KCC)no cree una conexión en forma automática entre los sitios de las sucursales?

4.

La organización tiene una oficina central y 20 sucursales. Cada oficina se encuentra configurada como un sitioseparado. Se cuenta con tres controladores de dominio implementados en la oficina central. Uno de loscontroladores de dominio de la oficina central tiene un procesador más rápido y una memoria mayor que losotros dos. Se quiere garantizar que la carga de trabajo de la replicación de AD DS sea asignada al mejorequipo. ¿Qué se debe hacer?

5.

Observaciones al momento de configurar Sitios y la replicación de AD DS


En una organización con un solo sitio, la mayoría de las veces se puede aceptar la configuraciónpredeterminada de replicación. Aunque se pueden modificar los tiempos de notificación predeterminados parala replicación de AD DS, rara vez existe razón alguna para hacerlo.

En una organización con sitios múltiples se debe planear el diseño del sitio para optimizar el uso de la WAN,minimizando el tráfico de replicación de Active Directory y de inicio de sesión de los clientes.

Usar los servidores cabeza de puente preferidos sólo si se desea que algunos controladores de dominio delsitio no sean servidores cabeza de puente. Algunos controladores de dominio pueden no ser lo suficientementepotentes como para replicarse en forma confiable entre sitios. De lo contrario, se debe permitir que elgenerador de topología entre sitios seleccione automáticamente servidores cabeza de puente.

La configuración del sitio y las ubicaciones de los controladores de dominio dentro de los sitios, puede sermodificada luego de su instalación. Si se detecta que la replicación de AD DS resulta ineficiente, o laorganización crece, es muy fácil modificar el proceso de replicación de AD DS, agregando o quitando sitios, omodificando la configuración de los vínculos de sitio.

El tráfico de replicación de AD DS entre sitios se comprime. Esto significa que, excepto en las grandesorganizaciones, el tráfico de replicación no consumirá una gran cantidad de ancho de banda entre sitios.

Herramientas

Usar las siguientes herramientas cuando se configuran los Sitios y replicación de AD DS:


Administrador delServidor

Obtener acceso a las Herramientas deadministración de AD DS en una únicaconsola.

Haga clic en Inicio, luego vaya a Herramientasadministrativas y haga clic en Administradordel servidor.

Sitios y servicios deActive Directory

Crear y configurar sitios, subredes,desplazar controladores de dominio entresitios y forzar la replicación.

Haga clic en Inicio, luego vaya a Herramientasadministrativas y haga clic en Usuarios y equiposde Active Directory.

RepadminRecopilar datos sobre la topología dereplicación actual y su estado y crear nuevosobjetos de replicación.

Instalada de manera predeterminada y se puedeobtener acceso desde un símbolo del sistema.

DCDiag Recopilar datos sobre los controladores dedominio, incluyendo asociados dereplicación y estado.

Instalada de manera predeterminada y se puedeobtener acceso desde un símbolo del sistema.

Modulo 5 : Creación y configuración de las directivas de grupo

Módulo 5

Creación y configuración de las directivas de grupo

Los administradores enfrentan desafíos cada vez más complejos al administrar la infraestructura de la Tecnología dela información (TI). Deben ofrecer y mantener configuraciones de escritorio personalizadas para una mayor variedadde empleados; como usuarios móviles, trabajadores de la información u otros asignados a tareas estrictamentedefinidas, como ingreso de datos.

La Directiva de grupo y la infraestructura de Servicios de dominio de Active Directory® (AD DS) de WindowsServer®°2008 permiten a los administradores de TI automatizar la administración de usuarios y equipos, simplificandoasí las tareas administrativas y reduciendo los costos de TI. Gracias a la Directiva de grupo y a AD DS, losadministradores pueden implementar configuraciones de seguridad y aplicar directivas de TI eficazmente y distribuirsoftware de manera constante a través de un determinado sitio, dominio o rango de unidades organizativas (OU).

Lección 1: Descripción general de la Directiva de grupoLección 2: Configuración del ámbito de la Directiva de grupoLección 3: Evaluación de la aplicación de objetos de Directiva de grupoLección 4: Administración de objetos de directiva de grupoLección 5: Delegación del control administrativo de Directiva de grupoLaboratorio: Creación y configuración de objetos de Directiva de grupo

Lección 1: Descripción general de la Directiva de grupo

Lección 1:

Descripción general de las directivas de grupo

Esta lección describe cómo usar la Directiva de grupo para simplificar la administración de equipos y usuarios en unentorno de Directorio activo. Aprenderá cómo se estructuran y aplican los Objetos de directiva de grupo (GPO) yalgunas de las excepciones para la aplicación de los GPO.

Asimismo, detalla las características de la Directiva de grupo que están incluidas con Windows Server 2008, quetambién facilitarán la administración de equipos y usuarios.

¿Qué son las directivas de seguridad?


Puntos clave

La Directiva de grupo es una tecnología de Microsoft® que admite la administración de equipos y usuarios del tipo unoa varios en un entorno de Active Directory. Al editar la configuración de la Directiva de grupo y orientar un Objeto dedirectiva de grupo hacia los usuarios y equipos deseados, puede administrar valores de configuración específicos demanera centralizada. Así, es posible administrar prácticamente miles de equipos o usuarios cambiando sólo un GPO.

Un Objeto de directiva de grupo es el conjunto de valores que se aplican a los usuarios y equipos seleccionados.

La Directiva de grupo puede controlar muchos aspectos del entorno de un objeto de destino, incluyendo el registro, laseguridad del sistema de archivos NTFS, las directivas de auditoría y seguridad, la instalación y restricción desoftware, el entorno de escritorio, los scripts de inicio y fin de sesión, etc.

Es posible asociar un GPO a múltiples contenedores en AD DS mediante la vinculación. Del mismo modo, es posiblevincular múltiples GPO a un contenedor.

Pregunta: ¿Cuándo sería útil la Directiva de grupo local en un entorno de dominio?


Artículo de Microsoft Technet: Directiva de grupo de Windows Server

Configuración de Directiva de grupo

Configuración de Directiva de grupo

Puntos clave

La Directiva de grupo tiene miles de valores configurables (alrededor de 2.400). Dichos valores pueden influir en casitodas las áreas del entorno de computación. No es posible aplicar todos los valores a todas las versiones de sistemasoperativos Windows. Por ejemplo, muchos de los nuevos valores del sistema operativo Windows® XP Professional,Service Pack (SP) 2, como las directivas de restricción de software, sólo se aplicaban a ese sistema operativo.Asimismo, muchos de los cientos de valores nuevos sólo se aplican al sistema operativo Windows°Vista® y aWindows Server 2008. Si a un equipo se le aplica un valor que no puede procesar, simplemente lo ignora.

Pregunta: ¿Cuál de las nuevas características le resultará más útil en su entorno?


Artículo de Microsoft Technet: Resumen de la configuración de la Directiva de grupo nueva o ampliada

Artículo de Microsoft Technet: Novedades sobre Directivas de grupo en Windows Vista y Windows Server2008

Cómo se aplican las directivas de grupo

Cómo se aplican las directivas de grupo

Puntos clave

Los clientes inician la aplicación de la Directiva de grupo solicitando los GPO desde AD DS. Cuando se aplica unaDirectiva de grupo a un usuario o equipo, el componente cliente interpreta la directiva y realiza los cambios de entornocorrespondientes. Dichos componentes se denominan Extensiones de cliente de directivas de grupo. A medida quese procesan los GPO, el proceso de Winlogon envía la lista de los GPO a procesar a todas las Extensiones de clientede directivas de grupo. Entonces, la extensión usa la lista para procesar la directiva correcta cuando corresponda.

Pregunta: ¿Cuáles serían algunas de las ventajas y desventajas de reducir el intervalo de actualización?


Artículo de Microsoft Technet: Directiva de grupo de Windows Server

Excepciones al procesamiento de Directiva de grupo

Excepciones al procesamiento de Directiva de grupo

Puntos clave

Existen diversos factores que pueden alterar el procesamiento normal de la Directiva de grupo; como por ejemplo eluso de una conexión lenta. Además, dependiendo de los diversos tipos de conexiones o sistemas operativos, varía laadministración del procesamiento de Directiva de grupo.

Pregunta: ¿En qué aspecto el Reconocimiento de ubicación de red (NLA) es superior al Protocolo de mensaje decontrol de Internet (ICMP) para la correcta aplicación de la Directiva de grupo?


Controlar las Extensiones de cliente mediante la Directiva de grupo

Componentes de Directiva de grupo

Componentes de Directiva de grupo

Puntos clave

Es posible usar las plantillas de Directiva de grupo para crear y establecer valores de Directiva de grupo, almacenadospor los GPO. Los GPO se almacenan a su vez en el Contenedor de volumen de sistema (SYSVOL) en AD DS. Elcontenedor de SYSVOL funciona como repositorio central de los GPO. De este modo, una directiva podría estarrelacionada con múltiples contenedores de Active Directory mediante la vinculación. Del mismo modo, varias directivaspodrían vincularse a un contenedor.

La Directiva de grupo cuenta con tres componentes principales:

Plantillas de Directiva de grupo

Contenedor de Directiva de grupo

Objetos de directiva de grupo

¿Qué son los archivos ADM y ADMX?

¿Qué son los archivos ADM y ADMX?

Puntos clave

Archivos ADM

Tradicionalmente, los archivos ADM se usan para definir los valores que puede configurar el administrador a través dela Directiva de grupo. Todos los sistemas operativos y los service pack Windows consecutivos incluyen una versiónmás actualizada de dichos archivos. Los archivos ADM usan su propio lenguaje de marcado. Por este motivo, es difícilpersonalizar archivos ADM. Las plantillas de ADM se encuentran en la carpeta %SystemRoot%\Inf.

Archivos ADMX

Windows Vista y Windows Server 2008 presentan un nuevo formato para mostrar valores de directivas basadas en elregistro. Los valores de la directiva basada en el registro se definen usando un formato de archivo XML basado en losestándares, denominado archivos ADMX. Estos nuevos archivos reemplazan los archivos ADM. Las herramientas deDirectiva de grupo de Windows Vista y Server 2008 continuarán reconociendo los archivos ADM personalizados queposeen en su ámbito anterior, pero omitirán todo archivo ADM que haya sido suplantado por archivos ADMX.

Pregunta: ¿Cómo podría discernir si un GPO se ha creado o editado usando archivos ADM o ADMX?


Artículo de Microsoft Technet: Guía paso a paso para la administración de archivos ADMX de directiva de grupo

Soporte técnico de Microsoft: Ubicación de los archivos ADM (Plantilla administrativa) en Windows

¿Qué es el almacén central?

¿Qué es el almacén central?

Puntos clave

Para empresas basadas en el dominio, los administradores pueden crear una ubicación de almacén central dearchivos ADMX a la que puede obtener acceso cualquiera que tenga permiso para crear o editar Objetos de directivade grupo. El editor de GPO de Windows Vista y Windows Server 2008 lee y muestra automáticamente la configuraciónde la directiva de Plantillas administrativas de archivos ADMX que el almacén central almacena en la memoria caché yomite los que están almacenados localmente. Si el controlador de dominio no se encuentra disponible, se usa elalmacén central.

Debe crearse el almacén central y actualizarse manualmente en un controlador de dominio. El uso de archivos ADMXdependerá del sistema operativo del equipo en el que se está creando o editando el GPO. Por lo tanto, el controladorde dominio puede ser un servidor con Windows 2000, Windows Server®°2003 o Windows Server 2008. El Serviciode replicación de archivos (FRS) replicará el controlador del dominio a otros controladores de ese dominio.

Pregunta: ¿Cuál sería la ventaja de crear el almacén central en el emulador PDC?


Soporte técnico de Microsoft: Cómo crear un almacén central para plantillas administrativas de Directiva degrupo en Windows Vista

Demostración: Configuración de objetos de directiva de grupo

Demostración: Configuración de objetos de directiva de grupo

Pregunta: Cuando se abre la GPMC en un equipo con Windows XP, no se ve la nueva configuración de WindowsVista en el Editor de objetos de directiva de grupo. ¿Por qué?

Lección 2: Configuración del ámbito de la Directiva de grupo

Lección 2:

Configuración del ámbito de la Directiva de grupo

Existen diversas técnicas en la Directiva de grupo que permiten a los administradores manipular el modo de aplicaciónde la Directiva de grupo. Es posible controlar el orden de procesamiento de directivas predeterminado mediante laaplicación de: bloqueo de la herencia, filtros de seguridad, filtros del Instrumental de administración de Windows(WMI), o usando la característica de bucle invertido. En esta lección se describen estas técnicas.

Orden de procesamiento de directiva de grupo

Orden de procesamiento de directiva de grupo

Puntos clave

No todos los GPO que se aplican a un usuario o equipo tienen la misma precedencia. Los GPO se aplican en undeterminado orden. Dicho orden implica que los primeros valores que se procesan pueden sobrescribirse con valoresque se procesan luego. Por ejemplo, una directiva aplicada a nivel de la OU para esa OU en particular puede revertiruna directiva que restringe el acceso al Panel de control a nivel del dominio.

Pregunta: Su organización tiene diversos dominios en múltiples sitios. Se desea aplicar una Directiva de grupo atodos los usuarios de dos dominios diferentes. ¿Cuál es la mejor manera de lograrlo?


Artículo de Microsoft Technet: Group Policy processing and precedence (Procesamiento y precedencia de laDirectiva de grupo)

(Procesamiento y precedencia de la Directiva de grupo)

¿Qué son las directivas de grupo local múltiples?

¿Qué son las directivas de grupo local múltiples?

Puntos clave

En los sistemas operativos de Microsoft anteriores al Windows Vista, sólo era posible establecer una configuración enla Directiva de grupo local. Dicha configuración se aplicaba a todos los usuarios que iniciaban sesión desde el equipolocal. Si bien esto no ha cambiado, Windows Vista y Windows Server 2008 tienen una característica adicional. ConWindows Vista y Windows Server 2008, ahora los usuarios locales pueden establecer diversos valores de usuario. Noobstante, continúa habiendo sólo una configuración de equipo disponible, que afecta a todos los usuarios.

Pregunta: ¿Cuándo serían útiles los Objetos de directiva de grupo local múltiples en un entorno de dominio?


Artículo de Microsoft Technet: Step-by-Step Guide to Managing Multiple Local Group Policy Objects (Guía pasoa paso para la administración de Objetos de directiva de grupo local múltiples)

Opciones para modificar el procesamiento de la directiva de grupo

Opciones para modificar el procesamiento de la directiva de grupo

Puntos clave

Puede haber ocasiones en las que el funcionamiento de la Directiva de grupo no sea el deseado. Por ejemplo, puederesultar necesario que determinados usuarios o grupos estén exentos de la configuración restrictiva o que un GPOtuviera que aplicarse sólo a equipos con determinadas características de hardware o software. De manerapredeterminada, todos los valores de la Directiva de grupo se aplican al grupo de Usuarios autenticados de undeterminado contenedor. Sin embargo, es posible modificar dicho comportamiento mediante diversos métodos.

Pregunta: Ha creado una directiva de restricción de escritorio y la ha vinculado a la Unidad organizativa de finanzas. LaUnidad organizativa de finanzas tiene varias unidades organizativas secundarias que poseen GPO independientes querevocan algunas de las restricciones de su escritorio. ¿Cómo se aseguraría de que todos los usuarios delDepartamento de finanzas recibieran su directiva de escritorio?


Artículo de Microsoft Technet: Controlar el ámbito de los Objetos de directiva de grupo usando la GPMC

Demostración: Configurar vínculos de objetos de directiva de grupo

Demostración: Configurar vínculos de objetos de directiva de grupo

Pregunta: Verdadero o falso: si se vincula un GPO a múltiples contenedores, la modificación de la configuración deuno de esos vínculos sólo afectará ese contenedor.

Demostración: Configurar la herencia de directivas de grupo

Demostración: Configurar la herencia de directivas de grupo

Pregunta: Su dominio tiene dos directivas de nivel de dominio: GPO1 y GPO2. Debe asegurarse de que todas lasunidades organizativas reciban el GPO 1; pero dos de ellas no pueden verse afectadas por el GPO2. ¿Cómo sepuede lograr esto?

Demostración: Filtración de objetos de directiva de grupo usando gruposde seguridad

Demostración: Filtración de objetos de directiva de grupo usando grupos de seguridad

Pregunta: Desea garantizar que una directiva específica vinculada a una unidad organizativa sólo repercutirá sobre losmiembros del grupo global Administrador. ¿Cómo se lograría esto?

Demostración: Filtrar objetos de directivas de grupo usando filtros de WMI

Demostración: Filtrar objetos de directivas de grupo usando filtros de WMI

Pregunta: Necesita implementar una aplicación de software que requiere que los equipos tengan más de 1 GB deRAM. ¿Cuál es la mejor manera de lograrlo?

¿Cómo funciona el procesamiento de bucle invertido?

¿Cómo funciona el procesamiento de bucle invertido?

Puntos clave

La configuración de la directiva del usuario suele derivar exclusivamente de los GPO asociados a la cuenta del usuario,según la ubicación de su AD DS. No obstante, el procesamiento de bucle invertido indica al sistema que debe aplicarun conjunto de valores del usuario alternativo al equipo para cualquier usuario que inicie sesión en un equipo afectadopor dicha directiva. El procesamiento de bucle invertido está pensado para equipos de uso especial en los que sedebe modificar la directiva de uso según el equipo, como es el caso de los equipos de lugares públicos o aulas. Alaplicar bucle invertido, se verán afectados todos los usuarios, excepto los locales.

El bucle invertido funciona usando los dos modos que se presentan a continuación:

Modo de fusión

Modo de reemplazo


Artículo de Microsoft Technet: El procesamiento de bucle invertido con fusión o reemplazo

Artículo de Microsoft Technet: Procesamiento de bucle invertido de Directiva de grupo

Discusión: Configuración del ámbito de procesamiento de directiva degrupo

Discusión: Configuración del ámbito de procesamiento de directiva de grupo

Escenario

Use el siguiente escenario para la discusión.

Estructura física

El Woodgrove Bank posee un único dominio que abarca dos sitios: la oficina central y Toronto. El sitio Toronto estáconectado al sitio de la oficina central a través de un vínculo de alta velocidad. Dentro de la oficina central, hay unasucursal en Winnipeg. Esta oficina está conectada a la oficina central a través de un vínculo lento. En la oficina deWinnipeg hay cinco usuarios. La oficina de Winnipeg no cuenta con un controlador de dominio sino con un servidorSQL server.

Esta organización abarca equipos con Windows XP Professional y Windows Vista.

Requisitos

Todos los equipos del dominio que tienen instalado el Windows XP Professional contarán con una pequeña aplicaciónde software distribuida a través de la Directiva de grupo.

Los usuarios del dominio no deberían tener acceso a las propiedades de pantalla del escritorio. El grupoAdministradores estará exento de esta restricción.

Tanto a los usuarios de Winnipeg como a los de la sucursal de Toronto se les aplicarán más restricciones deescritorio.

Ambas sucursales contarán con un equipo quiosco en el lobby para acceso público a Internet. Es necesario bloqueareste equipo para que el usuario no pueda modificar la configuración. Las cuentas de sus equipos se ubican en lasunidades organizativas de sus respectivas sucursales.

Las cuentas de los equipos de todos los servidores, a excepción de los controladores de dominio, se ubicarán en launidad organizativa del servidor o en una unidad organizativa anidada dentro de la unidad organizativa del servidor. Sedebe aplicar la configuración de Seguridad de línea de base a todos los servidores.

Se debe aplicar la configuración de Seguridad de línea de base a todos los servidores SQL server.

Pregunta: ¿Cómo construiría un esquema de Directiva de grupo para cumplir con los requisitos?

Lección 3: Evaluación de la aplicación de objetos de Directiva de grupo

Lección 3:

Evaluación de la aplicación de objetos de Directiva de grupo

Los administradores de sistema necesitan saber de qué modo la configuración de la Directiva de grupo afecta losequipos y usuarios de un entorno administrado. Esta información es esencial cuando se planea la Directiva de grupopara una red y cuando se depuran Objetos de directiva de grupo existentes. Obtener la información puede ser unatarea compleja si se tiene en cuenta la gran cantidad de posibles combinaciones de sitios, dominios y unidadesorganizativas, y los numerosos tipos de configuraciones de Directiva de grupo que puede haber. Los filtros de losgrupos de seguridad y la herencia, el bloqueo y la implementación de GPO complican aún más la tarea. La herramientade la línea de comandos Resultados de directiva de grupo (GPResult.exe) y la GPMC ofrecen informes parasimplificar dichas tareas.

¿Qué es el informe de directiva de grupo?

¿Qué es el informe de directiva de grupo?

Puntos clave

El informe de Directiva de grupo es una característica de la Directiva de grupo que facilita la implementación y lasolución de problemas. Dos herramientas principales para la solución de problemas son la herramienta de la línea decomandos GPResult.exe y el asistente para Resultados de directiva de grupo de la GPMC. La característica deResultados de directiva de grupo permite a los administradores determinar el conjunto de directivas resultante aplicadoa un determinado equipo y/o usuario que ha iniciado sesión en ese equipo. Si bien estas herramientas son similares,cada una de ellas brinda distinta información.

Pregunta: Desea saber qué controlador de dominio ofreció Directiva de grupo a un cliente. ¿Qué utilidad usaría paraaveriguarlo?


Recursos de Microsoft: Gpresult

Artículo de Microsoft Technet: Resultados de directiva de grupo (Administrar Directivas de grupo con laConsola de administración de Directivas de grupo)

¿Qué es la modelación de directivas de grupo?

¿Qué es la modelación de directivas de grupo?

Puntos clave

Otro método para evaluar Directivas de grupo es usar el Asistente para Modelación de directivas de grupo en la GPMCpara modelar cambios del entorno antes de hacerlos efectivos. El Asistente para Modelación de directivas de grupocalcula el efecto neto de los GPO. El Asistente para Modelación de directiva de grupo también simula, por ejemplo, lapertenencia al grupo de seguridad, la evaluación del filtro de WMI y las consecuencias de mover los objetos de unusuario o equipo a otra unidad organizativa o sitio. También es posible especificar la detección de vínculo lento, elprocesamiento de bucle invertido, o ambos usando el Asistente para Modelación de directivas de grupo.

De hecho, el proceso de Modelación de directiva de grupo se ejecuta en un controlador de dominio en su dominio deActive Directory. Como el asistente nunca consulta el equipo cliente, no puede considerar las directivas locales.

Pregunta: ¿Qué simulaciones se pueden realizar con el Asistente para Modelación de directivas de grupo? Elija todaslas que correspondan.

Procesamiento de bucle invertido1.

Mover un usuario a otro dominio del mismo bosque.2.

Filtro de grupo de seguridad3.

Detección de vínculo lento4.

Filtro de WMI5.

Todas las anteriores6.


Artículo de Microsoft Technet: Usar Modelación de directivas de grupo y Resultados de directivas de grupopara evaluar los valores de la Directiva de grupo

Demostración: Cómo evaluar la aplicación de la directiva de grupo

Demostración: Cómo evaluar la aplicación de la directiva de grupo

Pregunta: Un usuario informa que no puede obtener acceso al Panel de control. Otros usuarios del departamentopueden obtener acceso al Panel de control. ¿Qué herramientas usaría para solucionar el problema?

Lección 4: Administración de objetos de directiva de grupo

Lección 4:

Administración de objetos de Directiva de grupo

La GPMC brinda mecanismos para realizar copias de seguridad, restaurar, migrar y copiar los GPO existentes. Es devital importancia para conservar las instalaciones de su Directiva de grupo en caso de error o desastre. Ayuda a evitarla recreación manual de los GPO perdidos o dañados y a tener que realizar la planificación, evaluación e instalación delas fases nuevamente. Parte de su plan de operaciones de Directiva de grupo actual debe incluir copias de seguridadregulares de todos los GPO.

La GPMC también permite copiar e importar Objetos de directiva de grupo tanto del mismo dominio como entredominios.

Tareas de administración de GPO

Tareas de administración de GPO

Puntos clave

Al igual que con los datos críticos y los recursos relacionados con Active Directory, se deben realizar copias deseguridad de los GPO para proteger la integridad del AD DS y los GPO. La GPMC ofrece las opciones de copia deseguridad y restauración básicas, pero también brinda control adicional sobre los GPO para fines administrativos.

Pregunta: Se realizan copias de seguridad regulares de los GPO. Un administrador cambió varios valores del GPOincorrecto inadvertidamente. ¿Cuál es la manera más rápida de resolver el problema?


Biblioteca de Windows Server: Copia de seguridad, restauración, migración y copia de los GPO.

Artículo de Microsoft Technet: Importar usando la GPMC

¿Qué es un GPO de inicio?

¿Qué es un GPO de inicio?

Puntos clave

Los GPO de inicio almacenan un grupo de valores de la Directiva de la plantilla administrativa de un solo objeto. LosGPO de inicio sólo contienen Plantillas administrativas. Es posible importar y exportar los GPO de inicio paradistribuirlos a otras áreas de la empresa.

Al crear un nuevo GPO desde un GPO de inicio, el nuevo GPO posee todos los valores de la Plantilla administrativaque el GPO de inicio definió. De este modo, los GPO de inicio funcionan como plantillas para crear GPO; lo que ayudaa obtener consistencia en entornos distribuidos.

Es posible exportar los GPO de inicio individuales a archivos .Cab para facilitar la distribución. Luego, es posible volvera importar estos archivos a la GPMC La GPMC almacena los GPO de inicio en una carpeta denominada GPO de inicio,ubicada en SYSVOL.


Temas de ayuda: Trabajar con GPO de inicio

Demostración: Cómo copiar un GPO

Demostración: Cómo copiar un GPO

Pregunta: ¿Cuál es la ventaja de copiar un GPO y vincularlo a una unidad organizativa sobre vincular el GPO original amúltiples unidades organizativas?

Demostración: Realización de copias de seguridad y restauración de GPO

Demostración: Realización de copias de seguridad y restauración de GPO

Pregunta: ¿Qué permisos se necesitan para realizar una copia de seguridad de un GPO?

Demostración: Importación de un GPO

Demostración: Importación de un GPO

Pregunta: ¿Cuál es el propósito de una tabla de migración?

Migración de objetos de directiva de grupo

Migración de objetos de directiva de grupo

Puntos clave

El Migrador ADMX permite convertir plantillas de ADM personalizadas a plantillas ADMX. También se crea el archivoADML asociado. Los archivos convertidos se guardan en la carpeta de documentos del usuario de manerapredeterminada. Una vez creados los nuevos archivos, se debe copiar el archivo ADMX en la carpeta Definiciones dedirectiva o en otro almacén central, y copiar el archivo ADML en la subcarpeta correspondiente. Entonces, las nuevasPlantillas administrativas comienzan a estar disponibles en la GPMC.


Sitio web de Microsoft: Migrador ADMX

Lección 5: Delegación del control administrativo de Directiva de grupo

Lección 5:

Delegación del control administrativo de directivas de grupo

En un ámbito distribuido, es habitual encontrar diversos grupos delegados a la realización de diferentes tareasadministrativas. La Administración de directivas de grupo es una de las tareas administrativas que se pueden delegar.

Opciones para delegar el control de los GPO

Opciones para delegar el control de los GPO

Puntos clave

La delegación permite la distribución de la carga de trabajo administrativo a través de la empresa. Un grupo podríaencargarse de la creación y edición de los GPO, mientras otro grupo realiza los informes y análisis. Un grupoindependiente podría encargarse de los filtros de WMI.

Es posible delegar de manera independiente las siguientes tareas de Directiva de grupo:

Crear los GPO

Editar los GPO

Administrar vínculos de Directiva de grupo para un sitio, dominio o unidad organizativa

Realizar análisis de Modelación de directiva de grupo en un determinado dominio o unidad organizativa

Leer los datos de Resultados de directivas de grupo para objetos en un determinado dominio o unidadorganizativa

Crear filtros de WMI en un dominio

Pregunta: Se realizan copias de seguridad regulares de los GPO. Un administrador cambió varios valores del GPOincorrecto inadvertidamente. ¿Cuál es la manera más rápida de resolver el problema?


Artículo de Microsoft Technet: Delegar la Directiva de grupo

Demostración: Cómo delegar el control administrativo de los GPO

Demostración: Cómo delegar el control administrativo de los GPO

Pregunta: Un usuario que se encuentra en un dominio diferente del bosque necesita un permiso para crear Objetosde directiva de grupo (GPO) en su dominio. ¿Cuál es la mejor manera de lograrlo?

Laboratorio: Creación y configuración de objetos de Directiva de grupo

Laboratorio: Creación y configuración GPO

Escenario

El Woodgrove Bank ha decidido implementar la Directiva de grupo para administrar los escritorios de los usuarios yconfigurar la seguridad de los equipos. La organización ya ha implementado una configuración de unidadesorganizativas que incluye unidades organizativas de máximo nivel agrupadas por ubicación, con unidades organizativasadicionales dentro de cada ubicación para los distintos departamentos. Las cuentas de usuario se encuentran dentrodel mismo contenedor que las cuentas del equipo de la estación de trabajo. Las cuentas del equipo del servidor seencuentran distribuidas entre diversas unidades organizativas.

El administrador de la empresa ha creado un plan de implementación de GPO. Se le ha solicitado que cree GPO paraque se puedan aplicar determinadas directivas a todos los objetos de dominio. Algunas directivas son obligatorias.También desea crear valores de directiva que se apliquen sólo a subconjuntos de objetos de dominio y desea que lasdirectivas de la configuración de los equipos y de los usuarios sean independientes. Debe delegar la administración deGPO a los administradores dentro de cada empresa.

Nota: Algunas de las tareas de este laboratorio están diseñadas para ilustrar las técnicas de administración yconfiguración de GPO y puede que no siempre sigan los procedimientos recomendados.

Requisitos de Directiva de grupo

Los usuarios del dominio no tendrán acceso al menú Ejecutar. La directiva se aplicará a todos los usuarios,excepto a los de la unidad organizativa Admins TI.

Los ejecutivos no tendrán acceso a la configuración de pantalla de escritorio.

Los usuarios de las sucursales de NYC, Miami y Toronto no tendrán acceso al Panel de control. Todos losadministradores de sucursales estarán exentos de esta restricción.

Se aplicará a todos los equipos del dominio una directiva de Seguridad de línea de base, obligatoria, que nomostrará el nombre del último usuario que ha iniciado sesión.

A los equipos con Windows Vista o Windows XP se les aplicará una configuración adicional para que esperenla red en el inicio.

Los usuarios del grupo de administradores tendrán la URL de soporte técnico de Microsoft en Favoritos.

En los equipos quiosco de las sucursales se habilitará el procesamiento de bucle invertido.

Ejercicio 1: Creación y configuración de objetos de directiva de grupo

Ejercicio 1: Creación y configuración de objetos de directiva de grupo

Creará y vinculará los GPO que especifique el diseño del administrador de la empresa. Las tareas incluyen modificar ladirectiva de domino predeterminada y crear directivas vinculadas a unidades organizativas y sitios específicos.


Encender e iniciar la sesión en NYC-DC1.1.

Crear los GPO.2.

Configurar los GPO3.

Vincular los GPO.4.

Tarea 1: Encender e iniciar la sesión en NYC-DC1

En la máquina host, haga clic en Inicio, elija Todos los programas, seleccione Microsoft Learning y luego,haga clic en 6824A. Se inicia Iniciador de laboratorio.

En Iniciador de laboratorio, junto a 6824A-NYC-DC1, haga clic en Inicio.

Inicie sesión en NYC- DC1 como Administrador usando la contraseña Pa$$w0rd.

Minimice la ventana Iniciador de laboratorio.

Tarea 2: Crear los GPO

Use la GPMC para hacer lo siguiente:

Crear un GPO llamado Restringir panel de control.

Crear un GPO llamado Restringir pantalla del escritorio.

Crear un GPO llamado Restringir comando de ejecución.

Crear un GPO llamado Seguridad de línea de base.

Crear un GPO llamado Seguridad de Vista y XP

Crear un GPO llamado Admin Favoritos.

Crear un GPO llamado Seguridad de equipo quiosco

Tarea 3: Configurar los GPO

Edite el GPO Restringir comando ejecutar para impedir el acceso al menú Ejecutar.1.

Edite el GPO Seguridad de línea de base de manera tal que no muestre el nombre del último usuario que hainiciado sesión.

2.

Edite el GPO Seguridad de Vista y XP para que siempre espere que la red reinicie los equipos.3.

Edite el GPO Admin Favoritos de manera tal que incluya la URL de soporte técnico de Microsoft(http://support.microsoft.com) en los Favoritos de Internet.

4.

Edite el GPO Restringir panel de control para evitar el acceso de los usuarios al Panel de control.5.

Edite el GPO Restringir pantalla de escritorio para evitar el acceso a la configuración de pantalla deescritorio.

6.

Edite el GPO Seguridad de equipo quiosco de manera tal que use el procesamiento de bucle invertido yoculte e inhabilite todos los elementos del escritorio al usuario que ha iniciado sesión.

7.

Nota: Algunos de los pasos de esta tarea, están dispuestos en otro orden en la guía de laboratorio, ambos son

correctos, solo se encuentran en un orden diferente.

Tarea 4: Vincular los GPO

Use la GPMC para hacer lo siguiente:

Vincular el GPO Restringir comando ejecutar al contenedor de dominio.

Vincular el GPO Seguridad de línea de base al contenedor de dominio.

Vincular el GPO Seguridad de Vista y XP al contenedor de dominio.

Vincular el GPO Seguridad del equipo quiosco al contenedor de dominio.

Vincular el GPO Admin Favoritos a la unidad organizativa Admin.

Vincular el GPO Restringir panel de control a las unidades organizativas de Miami, NYC y Toronto.

Vincular el GPO Restringir pantalla del escritorio a la unidad organizativa Ejecutivos.

Resultado: Al finalizar este ejercicio, habrá creado y configurado Objetos de directiva de grupo.


Ejercicio 2: Administración del ámbito de aplicación de GPO

Ejercicio 2: Administración del ámbito de aplicación de GPO

En este ejercicio, se configurará el ámbito de la configuración de GPO basada en el diseño del administrador de laempresa. Las tareas incluyen deshabilitar partes de los GPO, bloquear e implementar herencia y aplicar filtros en basea los grupos de seguridad y a los filtros de WMI.


Configurar la administración de directivas de grupo para el contenedor de dominio.1.

Configurar la administración de Directivas de grupo para la unidad organizativa Admins TI2.

Configurar la administración de Directivas de grupo para las unidades organizativas de las sucursales.3.

Crear y aplicar un filtro de WMI para el GPO Seguridad de Vista y XP.4.

Tarea 1: Configurar la administración de directivas de grupo para el contenedor de dominio

Configure el vínculo Seguridad de línea de base para que esté en modo Exigido y deshabilitar la directivapara el Usuario.

1.

Configure Seguridad de Vista y XP para que esté en modo Exigido.2.

Use el filtro de pertenencia al grupo de seguridad para configurar el GPO Seguridad del equipo quiosco demanera tal que se aplique sólo al grupo global Equipos quiosco.

3.

Tarea 2: Configurar la administración de Directivas de grupo para la unidad organizativa Admins TI

Bloquee la herencia en la unidad organizativa Admins TI de manera tal que los usuarios de Admins TI esténexentos del GPO Restringir comando ejecutar.

Tarea 3: Configurar la administración de Directivas de grupo para las unidades organizativas de las sucursales

Use el filtro de pertenencia al grupo de seguridad para configurar el GPO Restringir panel de control demanera tal que deniegue el permiso Aplicar directiva de grupo a los siguientes grupos:

Mia_GerentesSucursalGG

NYC_GerentesSucursalGG

Tor_GerentesSucursalGG

Resultado: Al finalizar este ejercicio, habrá configurado el ámbito de la configuración de los GPO.


Ejercicio 3: Comprobación de la aplicación de GPO


En este ejercicio se comprobará la aplicación de los GPO para garantizar que los GPO se apliquen como seespecifica en el diseño. Los estudiantes iniciarán sesión como usuarios específicos y también usarán la Modelaciónde directivas de grupo y el Conjunto de directivas resultante (RSoP) para comprobar que los GPO se estén aplicandocorrectamente.


Iniciar NYC-CL1.1.

Comprobar que un usuario de la sucursal de Miami está recibiendo la directiva correcta.2.

Comprobar que un administrador de la sucursal de Miami está recibiendo la directiva correcta.3.

Comprobar que un usuario de la unidad organizativa Admins TI está recibiendo la directiva correcta.4.

Comprobar que un usuario de la unidad organizativa ejecutiva está recibiendo la directiva correcta.5.

Comprobar que no aparezca el nombre de usuario.6.

Usar la modelación de Directiva de grupo para comprobar la configuración del equipo quiosco.7.

Tarea 1: Iniciar NYC-CL1

Tarea 2: Comprobar que un usuario de la sucursal de Miami está recibiendo la directiva correcta

Inicie sesión en NYC-CL1 como Anton, usando la contraseña Pa$$w0rd.1.

Asegúrese de que no haya vínculo al menú Ejecutar en la carpeta Accesorios en el menú Inicio.2.

Asegúrese de que no haya vínculo al Panel de control en el menú Inicio.3.

Cierre sesión.4.

Tarea 3: Comprobar que un administrador de la sucursal de Miami está recibiendo la directiva correcta

Inicie sesión en NYC-CL1 como Roya, usando la contraseña Pa$$w0rd.1.

Asegúrese de que no haya vínculo al menú Ejecutar en la carpeta Accesorios del menú Inicio.2.

Asegúrese de que aparezca un vínculo a Panel de control en el menú Inicio.3.

Cierre sesión.4.

Tarea 4: Comprobar que un usuario de la unidad organizativa Admins TI está recibiendo la directiva correcta

Inicie sesión en NYC-CL1 como Betsy, usando la contraseña Pa$$w0rd.1.

Asegúrese de que un vínculo al menú Ejecutar aparezca en la carpeta Accesorios en el menú Inicio.2.


Inicie Explorador de Internet, abra Favoritos y asegúrese de que aparezca el vínculo a Soporte técnico.4.

Cierre sesión.5.

Tarea 5: Comprobar que un usuario de la unidad organizativa Executivos está recibiendo la directiva correcta

Inicie sesión en NYC-CL1 como Chase, usando la contraseña Pa$$w0rd.1.

Asegúrese de que no haya vínculo al menú Ejecutar en la carpeta Accesorios en el menú Inicio.2.


Asegúrese de que no haya acceso a la configuración de pantalla de escritorio.4.

Pista: Al intentar obtener acceso a la configuración de pantalla, recibirá un mensaje que informa que la función ha sidodeshabilitada.

Cierre sesión.5.

Tarea 6: Comprobar que no aparezca el nombre de usuario.

Compruebe que no aparezca el nombre del último usuario que inició sesión.

Tarea 7: Usar la modelación de Directiva de grupo para comprobar la configuración del equipo quiosco


Inicie la GPMC, haga clic con el botón secundario en la carpeta Modelado de directivas de grupo, haga clicen el Asistente de modelado de directivas de grupo y luego haga clic en Siguiente dos veces.

2.

En la pantalla de Selección de usuario y equipo, haga clic en Equipo, escriba Woodgrovebank\NYC-CL1 yhaga clic en Siguiente tres veces.

3.

En la pantalla de Grupos de seguridad del equipo, haga clic en Agregar.4.

En el cuadro de diálogo Seleccionar grupos, escriba Equipos quiosco y luego haga clic en Siguiente.5.

En la pantalla de Filtros WMI para equipos, haga clic en Siguiente dos veces, haga clic en Finalizar y luegovisualice el informe.

6.

Resultado: Al finalizar este ejercicio, habrá comprobado y verificado una aplicación de GPO.


Ejercicio 4: Administración de GPO

Ejercicio 4: Administración de GPO

En este ejercicio, se usará la GPMC para hacer copias de seguridad, restaurar e importar Objetos de directiva degrupo.


Hacer una copia de seguridad de una directiva individual.1.

Hacer copia de seguridad de todos los GPO.2.

Eliminar y restaurar un GPO individual.3.

Importar un GPO.4.

Tarea 1: Hacer una copia de seguridad de una directiva individual

En la GPMC, abra la carpeta Carpeta de directiva de grupo.1.

Haga clic con el botón secundario en la directiva Restringir panel de control y luego haga clic en Copia deSeguridad.

2.

Vaya hasta D:\6824\Copia de Seguridad GPO.3.

Haga clic en Hacer Copia de Seguridad y luego haga clic en Aceptar después de que la copia de seguridadse haya realizado correctamente.

4.

Tarea 2: Hacer copia de seguridad de todos los GPO

Haga clic con el botón secundario en la carpeta Carpeta de directivas de grupo y luego haga clic en HacerCopias de seguridad de todos.

1.

Asegúrese de que la ubicación de la copia de seguridad sea D:\6824\Copias de Seguridad GPO. Confirme laeliminación.

2.

Tarea 3: Eliminar y restaurar un GPO individual

Haga clic con el botón secundario en la directiva Admin Favoritos y luego haga clic en Borrar Haga clic en Síy luego haga clic en Aceptar cuando la eliminación se haya realizado correctamente.

1.

Haga clic con el botón secundario en la carpeta Carpeta de directivas de grupo y luego haga clic enAdministrar copias de seguridad.

2.

Restaure el GPO Admin Favoritos.3.

Confirme que la directiva Admin Favoritos aparece en la carpeta Objetos de directivas de grupo.4.

Tarea 4: Importar un GPO

Cree un nuevo GPO denominado Importar a la carpeta de directivas de grupo.1.

Haga clic con el botón secundario en el GPO Importar y luego haga clic en Importar configuración.2.

En el Asistente para Importar configuración, haga clic en Siguiente.3.

En la ventana Hacer Copia de seguridad del GPO, haga clic en Siguiente.4.

Asegúrese de que la ubicación de la carpeta Copia de seguridad sea D:\6824\Copias de Seguridad GPO.5.

En la pantalla GPOde origen, haga clic en Restringir panel de control y luego haga clic en Siguiente6.

Cierre Importar configuración del asistente.7.

Haga clic en el Importar GPO, haga clic en la ficha Configuraciones y luego asegúrese de que el valorProhibir acceso al panel de control esté en posición Habilitado.

8.

Resultado: Al finalizar este ejercicio, habrá hecho copias de seguridad, restaurado e importado Objetos de directivade grupo.


Ejercicio 5: Delegación del control administrativo de los GPO

Ejercicio 5: Delegación del control administrativo de los GPO

En este ejercicio, delegará el control administrativo de los GPO basado en el diseño del administrador de la empresa.Las tareas incluyen configurar permisos para crear, editar y vincular Objetos de directiva de grupo. Luego secomprobará la configuración de permisos.


Otorgar a Betsy el derecho de crear Objetos de directiva de grupo en el dominio.1.

Delegar a Betsy el derecho de editar el Importar GPO.2.

Delegar a Betsy el derecho de vincular Objetos de directiva de grupo a la unidad organizativa Ejecutivos.3.

Permitir el inicio de sesión de los usuarios de dominio en los controladores de dominio.4.

Comprobar la delegación.5.

Cerrar todas las máquinas virtuales y descartar los discos para deshacer.6.

Tarea 1: Otorgar a Betsy el derecho de crear Objetos de directiva de grupo en el dominio

Seleccione la carpeta Objetos de directivas de grupo, haga clic en la ficha de Delegación y luego haga clicen Agregar

1.

En el cuadro de diálogo Seleccionar usuarios, escriba Betsy en el campo Nombre del objeto y luego hagaclic en Aceptar.

2.

Tarea 2: Delegar a Betsy el derecho de editar el GPO Importar

En la carpeta Objetos de directivas de grupo, seleccione la GPO Importar, haga clic en la ficha Delegacióny luego haga clic en Agregar

1.

En el cuadro de diálogo Seleccionar usuarios, escriba Betsy en el campo y luego haga clic en Aceptar.2.

En el cuadro de diálogo Agregar grupo o usuario, seleccione Editar configuración en la lista desplegable yluego haga clic en Aceptar.

3.

Tarea 3: Delegar a Betsy el derecho de vincular Objetos de directiva de grupo a la unidad organizativa Ejecutivos

Seleccione la unidad organizativa Ejecutivos, haga clic en la ficha Delegación y luego haga clic en Agregar.1.

En el cuadro de diálogo Seleccionar usuarios, escriba Betsy en el campo Nombre del objeto y luego hagaclic en Aceptar.

2.

En el cuadro de diálogo Agregar grupo o usuario, seleccione Sólo este contenedor y haga clic en Aceptar.3.

Tarea 4: Permitir el inicio de sesión de los Usuarios de dominio en los controladores de dominio

Nota: Este paso se incluye en el laboratorio para permitirle comprobar los permisos delegados. Para obtenerresultados óptimos, debe instalar las herramientas de administración en una estación de trabajo de Windows en lugarde permitir a los Usuarios de dominio iniciar sesión en los controladores de dominio.

En NYC-DC1, inicie Administración de directiva de grupo y luego edite la Default Domain ControllersPolicy.

1.

En la ventana Editor de administración de directiva de grupo, ingrese en la carpeta Asignación dederechos del usuario.

2.

Haga doble clic en Permitir inicio de sesión localmente. En el cuadro de diálogo Propiedades de Permitirinicio de sesión localmente, haga clic en Agregar grupo o usuario.

3.

Conceda al grupo Usuarios de dominio el derecho de iniciar la sesión local.4.

Abra un símbolo del sistema, escriba gpupdate /force y luego presione Enter.5.

Tarea 5: Comprobar la delegación

Inicie sesión en NYC-CL1 como Betsy.1.

Abra una Consola de Administración de directiva de grupo.2.

Haga clic con el botón secundario en la carpeta Objetos de directiva de grupo y luego haga clic en Nuevo.3.

Cree una nueva directiva denominada Prueba. Esta operación se completará correctamente.4.

Haga clic con el botón secundario en el GPO Importar y luego haga clic en Editar Esta operación secompletará correctamente.

5.

Haga clic con el botón secundario en la unidad organizativa Ejecutivos y vincule a ésta el GPO Prueba. Estaoperación se completará correctamente.

6.

Haga clic con el botón secundario en la directiva de Admin Favoritos e intente editarla. No es posible realizaresta operación.

7.

Cierre la GPMC.8.


Por cada máquina virtual que se encuentre en funcionamiento, cierre la ventana Control remoto para máquinavirtual.

1.

En el cuadro Cierre, seleccione Apagar el equipo y descartar los cambios y después haga clic en Aceptar.2.


Resultado: Al finalizar este ejercicio, habrá hecho copias de seguridad, restaurado e importadoObjetos de directiva de grupo.


Revision y conclusiones del modulo


Observaciones

Tenga en cuenta las siguientes observaciones al crear y configurar la Directiva de grupo:

Múltiples objetos de directiva de grupo local

Los archivos ADMX y ADML reemplazan los archivos ADM

Métodos para controlar la directiva de grupo, la herencia, los filtros y la implementación

Herramientas e informes de la Directiva de grupo


Desea forzar la aplicación de determinados valores de Directiva de grupo a través de un vínculo lento. ¿Qué sepuede hacer?

1.

Debe asegurarse de que se aplique una directiva de nivel de dominio; pero el grupo global Administrators debeestar excluido de dicha directiva. ¿Cómo se lograría esto?

2.

Desea que se habiliten determinadas plantillas administrativas a todos los GPO que contienen valores deusuario. Debe ser posible enviar dichas directivas a otros administradores de la empresa. ¿Cuál es el mejormétodo?

3.

Desea controlar el acceso a los dispositivos de almacenamiento extraíbles en todas las estaciones de trabajocliente a través de la Directiva de grupo. ¿Es posible usar la Directiva de grupo para lograrlo?

4.

Modulo 6 : Configuración de entornos de usuario usando la directiva degrupo

Módulo 6

Configuración de entornos de usuario usando la directiva de grupo

Este módulo es una introducción a la tarea de configurar el entorno de usuario usando la Directiva de grupo.Específicamente, lo que este módulo describe son las destrezas y el conocimiento necesarios para usar la Directivade grupo para configurar la redirección de carpetas y también para saber cómo usar scripts. También describe de quémodo las plantillas administrativas afectan Windows Vista y Windows Server 2008 y cómo implementar softwareusando la Directiva de grupo.

Lección 1: Establecimiento de la configuración de la Directiva de grupoLección 2: Configuración de los scripts y la redirección de carpetas usando la Directiva de grupoLección 3: Configuración de plantillas administrativasLección 4: Configuración de las preferencias de la Directiva de grupoLección 5: Implementación de software usando la Directiva de grupoLaboratorio: Configuración de entornos de usuario usando la Directiva de grupo

Lección 1: Establecimiento de la configuración de la Directiva de grupo

Lección 1:

Establecimiento de la configuración de la directiva de grupo

La Directiva de grupo puede ofrecer distintos tipos de configuración. En el caso de algunas configuraciones, essimplemente una cuestión de “activarlas” mientras que en otros casos son más complejas de configurar. Esta leccióndescribe cómo establecer las diversas configuraciones de la Directiva de grupo.

Opciones para establecer la configuración de la directiva de grupo

Opciones para establecer la configuración de la directiva de grupo

Puntos clave

Para que la configuración de una Directiva de grupo produzca efecto alguno, se la debe establecer. La mayoría de lasconfiguraciones de la Directiva de grupo cuenta con tres estados. Éstos son:

Habilitada

Deshabilitada

Sin configurar

También se deben establecer los valores para algunas de las configuraciones de la Directiva de grupo. Por ejemplo,se deben configurar las necesidades y valores de la pertenencia restringida a grupos, para los grupos y usuarios.

Pregunta: Una directiva en el nivel de dominio restringe el acceso al Panel de control. Se desea que los usuarios de launidad organizativa (OU) Administradores tengan acceso al Panel de control, pero no se desea bloquear la herencia.¿Cómo se puede lograr esto?


Artículo de Microsoft Technet: How Core Group Policy Works (Cómo funciona

Demostración: Establecimiento de la configuración de la Directiva degrupo usando el Editor de directiva de grupo

Demostración: Establecimiento de la configuración de la Directiva de grupo usando el Editor dedirectiva de grupo

Pregunta: ¿Cómo se puede impedir que una directiva de nivel inferior invierta la configuración de una directiva denivel superior?

Lección 2: Configuración de los scripts y la redirección de carpetasusando la Directiva de grupo

Lección 2:

Configuración de scripts y la redirección de carpetas usando directivasde grupo

Windows Server 2008 permite usar la Directiva de grupo para distribuir scripts a los usuarios y a los equipos. Tambiénse pueden redirigir carpetas que se encuentran en el perfil del usuario, desde el disco duro local del usuario a unservidor central.

Opciones de configuración para la redirección de carpetas

Puntos clave

Existen tres tipos de configuración disponibles para la redirección de carpetas: ninguna, básica y avanzada. LaRedirección básica de carpetas apunta a usuarios que deban redirigir carpetas a un área común y a usuarios quenecesitan que sus datos sean privados. La Redirección avanzada permite especificar diferentes ubicaciones de redpara diferentes grupos de seguridad de Active Directory.

Pregunta: Los usuarios de un mismo departamento suelen iniciar sesión en equipos diferentes. Necesitan teneracceso a la carpeta Mis documentos. También necesitan que los datos sean privados. ¿Qué configuración deredirección de carpetas elegiría?


Artículo de Microsoft Technet: Recomendaciones para la Redirección de carpetas

¿Qué son los scripts de directiva de grupo?

¿Qué son los scripts de directiva de grupo?

Puntos clave

Los scripts de la Directiva de grupo se pueden usar para realizar una gran cantidad de tareas. Puede que se deseerealizar tareas cada vez que se inicia o apaga el equipo o cuando los usuarios cierran o inician sesión. Por ejemplo, sepueden usar scripts para limpiar los escritorios cuando los usuarios cierran sesión y apagan sus equipos, o eliminar elcontenido de directorios temporales o limpiar el archivo de paginación para que el entorno sea más seguro.

Pregunta: Se mantienen scripts de inicio de sesión en una carpeta compartida en la red. ¿Cómo podemosasegurarnos de que esos scripts estarán siempre disponibles para los usuarios, en todas las ubicaciones?.


Artículo de Microsoft Technet: Los dos aspectos del procesamiento de extensión de la secuencia decomandos de Directiva de grupo

Artículo de Microsoft Technet: Los dos aspectos del procesamiento de extensión de la secuencia decomandos de Directiva de grupo (Parte 2)

Soporte técnico de Microsoft: Descripción general de los scripts para inicio de sesión, cierre de sesión, inicio yapagado, en Windows 2000.

Los scripts de la Directiva de grupo se pueden usar para realizar una gran cantidad de tareas. Puede que se deseerealizar tareas cada vez que se inicia o apaga el equipo o cuando los usuarios cierran o inician sesión. Por ejemplo, sepueden usar scripts para limpiar los escritorios cuando los usuarios cierran sesión y apagan sus equipos, o eliminar elcontenido de directorios temporales o limpiar el archivo de paginación para que el entorno sea más seguro.

Pregunta: Se mantienen scripts de inicio de sesión en una carpeta compartida en la red. ¿Cómo podemosasegurarnos de que esos scripts estarán siempre disponibles para los usuarios, en todas las ubicaciones?


Artículo de Microsoft Technet: Los dos aspectos del procesamiento de extensión de la secuencia decomandos de Directiva de grupo

Artículo de Microsoft Technet: Los dos aspectos del procesamiento de extensión de la secuencia decomandos de Directiva de grupo (Parte 2)

Soporte técnico de Microsoft: Descripción general de los scripts para inicio de sesión, cierre de sesión, inicio yapagado, en Windows 2000.

Demostración: Configuración de scripts usando Directiva de grupo

Demostración: Configuración de scripts usando Directiva de grupo

Pregunta: ¿Qué otro método puede usarse para asignar scripts de inicio de sesión a los usuarios?

¿Qué es la redirección de carpetas?

¿Qué es la redirección de carpetas?

Puntos clave

Cuando se redirigen carpetas se cambia la ubicación de almacenamiento de la carpeta, desde el disco duro local delequipo del usuario a una carpeta compartida en un servidor de archivos en la red. Luego de redirigir una carpeta a unservidor de archivos, al usuario aún le aparece como si ésta estuviera almacenada en el disco duro local.

La redirección de carpetas hace que las tareas de administración y realización de copias de seguridad de datos seanmás fáciles. Al redirigir carpetas, se puede garantizar el acceso de los usuarios a los datos, sin importar desde quéequipos inician sesión.

Pregunta: Escriba algunas desventajas de la redirección de carpetas.


Artículo de Microsoft Technet: La característica Redirección de carpetas en Windows

MSDN: IE7 en Vista: Redirección de carpetas a Favoritos en una misma máquina

Descargas de Microsoft: Administrar la guía para la implementación de datos de usuarios móviles



Puntos clave

Existen tres tipos de configuración disponibles para la redirección de carpetas: ninguna, básica y avanzada. LaRedirección básica de carpetas apunta a usuarios que deban redirigir carpetas a un área común y a usuarios quenecesitan que sus datos sean privados. La Redirección avanzada permite especificar diferentes ubicaciones de redpara diferentes grupos de seguridad de Active Directory.

Pregunta: Los usuarios de un mismo departamento suelen iniciar sesión en equipos diferentes. Necesitan teneracceso a la carpeta Mis documentos. También necesitan que los datos sean privados. ¿Qué configuración deredirección de carpetas elegiría?


Artículo de Microsoft Technet: Recomendaciones para la Redirección de carpetas

Opciones para brindar seguridad a las carpetas redirigidas

Opciones para brindar seguridad a las carpetas redirigidas

Puntos clave

Mientras que debe crear, en forma manual, una carpeta de red compartida en la cual almacenar las carpetasredirigidas, la redirección de carpetas puede crear las carpetas redirigidas del usuario por usted. Cuando se usa estaopción, los permisos apropiados se establecen en forma automática. Si se crean carpetas manualmente, se debenconocer los permisos apropiados.

Pregunta: ¿Qué pasos se podrían seguir para proteger los datos mientras se encuentran en tránsito entre el cliente yel servidor?


Soporte técnico de Microsoft: Característica Redirección de carpetas en Windows

Biblioteca de Windows Server:Consideraciones de seguridad para configurar la redirección de carpetas

Demostración: Configuración de la redirección de carpetas

Demostración: Configuración de la redirección de carpetas

Pregunta: Los usuarios de un mismo departamento desean tener acceso a los Favoritos de Internet de los demás.¿Qué opciones de redirección de carpetas elegiría?

Lección 3: Configuración de plantillas administrativas

Lección 3:

Configuración de Plantillas administrativas

Los archivos de plantillas administrativas proveen la mayor parte de la configuración de directivas disponible, que estádiseñada para modificar claves específicas del registro. Esto se conoce como directiva basada en el registro. Enmuchas aplicaciones, el uso de las directivas basadas en el registro que proveen los archivos de plantillasadministrativas, es la mejor manera de ofrecer compatibilidad para la administración centralizada de los valores dedirectivas y la más sencilla. En esta lección se describe cómo configurar plantillas administrativas.

¿Qué son las Plantillas administrativas?

¿Qué son las Plantillas administrativas?

Puntos clave

Las Plantillas administrativas permiten tener el control del entorno del sistema operativo y la experiencia del usuario.Existen dos tipos de plantillas administrativas: una para los usuarios y una para los equipos.

Las Plantillas administrativas son el principal medio para establecer la configuración del registro del equipo cliente pormedio de la Directiva de grupo. Las Plantillas administrativas son un repositorio de los cambios basados en el registro.Al usar las secciones de Plantillas administrativas de GPO, se puede implementar una gran cantidad de modificacionestanto al equipo (el subárbol HKEY_MÁQUINA-LOCAL del registro) como al usuario (el subárbolHKEY_USUARIO_ACTUAL del registro) del registro.

Pregunta: ¿Qué secciones de las Plantillas administrativas resultarán más útiles en su entorno?


Artículo de Microsoft Technet: Usar archivos de Plantillas administrativas con Directiva de grupo basada en elRegistro.

Artículo de Microsoft Technet: Referencia técnica de la extensión de las Plantillas administrativas

Demostración: Configuración de Plantillas administrativas

Demostración: Configuración de Plantillas administrativas

Pregunta: Se debe garantizar que Windows Messenger no se pueda ejecutar en un equipo en particular. ¿Cómopodrían usarse las plantillas administrativas para implementar esto?

Modificación de Plantillas administrativas

Modificación de Plantillas administrativas

Puntos clave

Debido a que los archivos ADMX están basados en XML, se puede usar cualquier editor de textos para editar o crearnuevos archivos ADMX. Sin embargo, también existen programas compatibles con XML (como Microsoft VisualStudio) que los administradores o programadores pueden usar para crear o modificar archivos ADMX.

Una vez que se cuenta con un archivo ADMX válido, sólo se debe ubicarlo en la carpeta Definiciones de directivas o enel almacén central, si alguno de los dos existe.


Artículo de Microsoft Technet: Crear un archivo personalizado con base ADMX

Descargas de Microsoft: Muestra de archivos ADMX de Directiva de grupo

Demostración: Agregado de Plantillas administrativas para aplicaciones deOffice

Demostración: Agregado de Plantillas administrativas para aplicaciones de Office

Pregunta: ¿Pueden usarse aún archivos ADM personalizados para entregar la configuración de Directiva de grupo enWindows Server 2008?

Discusión: Opciones para el uso de Plantillas administrativas

Discusión: Opciones para el uso de Plantillas administrativas

Lección 4: Configuración de las preferencias de la Directiva de grupo

Lección 4:

Configuración de las preferencias de la Directiva de grupo

Muchos valores comunes que afectan al entorno de usuario y de equipo pueden no ser entregados por medio de laDirectiva de grupo, por ejemplo, las unidades asignadas. Estos valores, por lo general, eran entregados por medio descripts de inicio de sesión o soluciones de digitalización. Windows Server 2008 incluye las nuevas Preferencias de ladirectiva de grupo, integradas a la Consola de administración de directivas de grupo (GPMC). Además, losadministradores pueden configurar las preferencias, instalando las Herramientas de administración de servidor remoto(RSAT) en un equipo con Windows Vista Service Pack 1 (SP1). Esto permite que muchos valores comunes seanentregados por medio de la Directiva de grupo.

Qué son las preferencias de la Directiva de grupo?

Qué son las preferencias de la Directiva de grupo?

Puntos clave

Las extensiones de preferencia de la Directiva de grupo son más de veinte extensiones de la Directiva de grupo queexpanden el intervalo de valores configurables dentro de un GPO. La mayor diferencia entre los valores de directivas ylos valores de preferencia, es que los valores de preferencia no son impuestos. Esto significa que el usuario finalpuede modificar cualquier valor de preferencia que se aplica por medio de la Directiva de grupo, sin embargo, laconfiguración de las directivas impide que los usuarios las modifiquen.

Diferencia entre la configuración de la Directiva de grupo y las preferencias

Diferencia entre la configuración de la Directiva de grupo y las preferencias

Puntos clave

La diferencia clave entre las preferencias y la configuración de la Directiva de grupo es la obligatoriedad.

Características de las preferencias de la Directiva de grupo

Características de las preferencias de la Directiva de grupo

Puntos clave

La mayoría de las extensiones de preferencia de la Directiva de grupo son compatibles con las siguientes accionespara cada elemento de preferencia.

Crear. Crear un nuevo elemento en el equipo de destino.

Eliminar. Eliminar un elemento existente en el equipo de destino.

Reemplazar. Eliminar y crear un elemento en el equipo de destino. El resultado es que las preferencias de laDirectiva de grupo reemplazan toda la configuración existente y los archivos que se relacionan con el elementode preferencia.

Actualizar. Modificar un elemento existente en el equipo de destino.

Implementación de las preferencias de la Directiva de grupo

Implementación de las preferencias de la Directiva de grupo

Puntos clave

Las preferencias de la Directiva de grupo no requieren que se instale servicio o servidor alguno. Windows Server 2008incluye las preferencias de la Directiva de grupo de manera predeterminada, como parte de la Consola deadministración de directivas de grupo (GPMC). Los administradores pueden configurar e implementar las preferenciasde la Directiva de grupo en un entorno de Windows Server 2003, instalando las Herramientas de administración de servidorremoto (RSAT) en un equipo con Windows Vista con SP1.

Demostración: Implementación de las preferencias de la Directiva de grupo

Demostración: Implementación de las preferencias de la Directiva de grupo

Pregunta: Se ha implementado un cierto número de preferencias de la Directiva de grupo. Los usuarios informan queno pueden modificar algunos de esos valores. ¿Cuál podría ser el problema?

Opciones para modificar la distribución de software

Opciones para modificar la distribución de software

La implementación de software en la Directiva de grupo incluye las opciones para configurar el software instalado. Sepueden categorizar los programas que son publicados en el Panel de control y asociar las extensiones de losnombres de archivos con las aplicaciones. También se pueden agregar modificaciones al software implementado.


Artículo de Microsoft Technet: Especificar categorías para la administración de aplicaciones

Artículo de Microsoft Technet: Procedimientos recomendados para la Instalación de software de directiva degrupo, especificar opciones de instalación automática basada en la sección de extensión del nombre delarchivo

Artículo de Microsoft Technet: Agregar y eliminar modificaciones de un paquete de aplicaciones

Demostración: Modificación de la distribución de software

Demostración: Modificación de la distribución de software

Pregunta: Se quiere implementar una utilidad administrativa para los miembros del grupo de seguridadAdministradores de dominio. Estas utilidades deben estar disponibles en cualquier equipo en que un administradorinicie sesión, pero sólo deben instalarse cuando sea necesario. ¿Cuál es el mejor método para lograrlo?

Realización del mantenimiento de software usando la Directiva de grupo

Realización del mantenimiento de software usando la Directiva de grupo

Puntos clave

A veces un paquete de software necesitará ser actualizado a una nueva versión. La ficha Actualizaciones permiteactualizar un paquete usando el GPO. También se puede re-implementar un paquete si el archivo original de Instaladorde Windows ha sido modificado. Se pueden eliminar paquetes de software si fueron distribuidos originariamenteusando la Directiva de grupo. La eliminación puede ser obligatoria u opcional.

Pregunta: La organización se está actualizando a una nueva versión de un paquete de software. Algunos usuarios dela organización necesitan la versión anterior. ¿Cómo se implementaría la actualización?


Artículo de Microsoft Technet: Establecer las predeterminaciones de la Instalación de software de la directivade grupo

Discusión: Evaluación del uso de la Directiva de grupo para implementarsoftware

Discusión: Evaluación del uso de la Directiva de grupo para implementar software

Pregunta: Se quiere implementar una utilidad administrativa para los miembros del grupo de seguridadAdministradores de dominio. Estas utilidades deben estar disponibles en cualquier equipo en que un administradorinicie sesión, pero sólo deben instalarse cuando sea necesario. ¿Cuál es el mejor método para lograrlo?

Laboratorio: Configuración de entornos de usuario usando la Directiva degrupo

Laboratorio: Configuración de entornos de usuario usando la Directivade grupo

Escenario

El Woodgrove Bank ha decidido implementar la Directiva de grupo para administrar los escritorios de los usuarios. Laorganización ya ha implementado una configuración de unidad organizativa (OU) que incluye unidades organizativas demáximo nivel agrupadas por ubicación, con unidades organizativas adicionales dentro de cada ubicación para losdistintos departamentos. Las cuentas de usuario se encuentran ubicadas dentro del mismo contenedor que lascuentas del equipo de la estación de trabajo. Las cuentas del equipo servidor se encuentran distribuidas entre diversasunidades organizativas.

El administrador de la empresa ha creado un diseño de GPO que será usado para administrar el entorno de escritoriode usuario. Se le ha solicitado que configure los Objetos de la directiva de grupo para que se apliquen valoresespecíficos a los escritorios y equipos de los usuarios.

Nota: Algunas de las tareas de este laboratorio están diseñadas para ilustrar las técnicas de administración yconfiguración de GPO, pero puede que no siempre sigan los procedimientos recomendados.

Ejercicio 1: Configuración de scripts y la redirección de carpetas

Ejercicio 1: Configuración de scripts y la redirección de carpetas

Escenario

Se le ha encargado la tarea de crear un script que asignará una unidad de red a la carpeta compartida denominadaDatos en NYC-DC1. Luego usará la Directiva de grupo para asignar el script a todos los usuarios en las unidadesorganizativas Toronto, Miami y NYC. El script debe ser almacenado en una ubicación altamente disponible. Tambiénestablecerá permisos para compartir y asegurar una carpeta en NYC-DC1. La carpeta de Documentos será redirigidaallí para todos los miembros de la unidad organizativa ejecutiva.

Las principales tareas para este ejercicio son:


Crear un script de inicio de sesión para asignar la carpeta compartida Datas.2.

Usar la Directiva de grupo para copiar el script a los recursos compartidos NetLogon y luego asignar el script alas unidades organizativas apropiadas.

3.

Compartir y asegurar una carpeta para el grupo Ejecutivos.4.

Redirigir la carpeta Documentos para el grupo Ejecutivos.5.

Tarea 1: Iniciar las máquinas virtuales y luego iniciar sesión.

En la máquina host, haga clic en Inicio, elija Todos los programas, seleccione Microsoft Learning y luego,haga clic en 6824A. Se inicia Iniciador de laboratorio.

1.




Tarea 2: Crear un script de inicio de sesión para asignar la carpeta compartida Datos.

Inicie Bloc de notas.exe1.

En Bloc de notas, escriba el comando Net Use J: \\NYC-DC1\Datos2.

Cierre y guarde el archivo como C:\Map.bat.3.

Asegúrese de que el campo de tipo Guardar como diga Todos los archivos.4.

Tarea 3: Usar la Directiva de grupo para copiar el script a los recursos compartidos NetLogon y luego asignar el script a lasunidades organizativas apropiadas.

Abra la ventana Explorador de Windows y copie C:\map.bat al portapapeles y luego cierre la ventanaExplorador de Windows.

1.

Inicie la GPMC y luego cree una nueva Directiva de grupo denominada Script de inicio de sesión.2.

Edite la directiva expandiendo la Configuración del usuario y Configuración de Windows y luego haciendo clicen Scripts (Inicio de sesión o cierre de sesión).

3.

Abra Propiedades del script de inicio de sesión del GPO, haga clic en Mostrar archivos, haga clic con elbotón secundario y clic en Pegar para copiar el script desde el portapapeles a la carpeta de scripts, luegocierre el Explorador.

4.

En el cuadro de diálogo Propiedades de inicio de sesión, haga clic en Agregar.5.

En el cuadro de diálogo Agregar un script haga clic en Buscar.6.

En el cuadro de diálogo Buscar, seleccione el archivo Map.bat.7.

Cierre Editor de administración de directiva de grupo.8.

Establezca un vínculo entre la Directiva script de inicio de sesión y las unidades organizativas de Miami, NYC yToronto.

9.

Tarea 4: Compartir y asegurar una carpeta para el grupo Ejecutivos.

En el Windows Explorer, abra Propiedades de la carpeta D:\6824\EjecDatos.1.

Haga clic en la ficha Compartir y luego en Uso compartido avanzado.2.

Seleccione la casilla Compartir esta carpeta y luego haga clic en Permisos.3.

Eliminar el grupo Todos.4.

Agregar Ejecutivos_WoodgroveGG y luego concédales Control total.5.

Haga clic en la ficha Seguridad y luego en Avanzado.6.

En la ficha Permisos, haga clic en Editar, desactive la casilla junto a Incluir permisos heredables delprimario de este objeto y luego copie los permisos.

7.

Elimine todos los usuarios y grupos excepto Dueño creador y Sistema.8.

Agregue los Ejecutivos_WoodgroveGG y luego asigne los permisos Listar carpetas/Leer datos y Crearcarpetas/anexar datos, Sólo a esta carpeta.

9.

Cierre las propiedades y luego cierre el Explorador de Windows.10.

Tarea 5: Redirigir la carpeta Documentos al grupo Ejecutivos.

Cree un nuevo GPO denominado Redireccionamiento ejecutivo.1.

Edite la directiva: Expanda Configuración de usuario, Directivas, Configuración de Windows yRedirección de carpetas, haga clic con el botón secundario en Documentos y luego haga clic enPropiedades.

2.

En la ficha Destino, establezca la configuración para que sea: Básico: Redirigir la carpeta de todos a lamisma ubicación.

3.

Deje la ubicación de la carpeta de destino con la configuración predeterminada y luego escriba: \\NYC-DC1\Ejec Datos en el campo Ruta de raíz.

4.

Establezca un vínculo entre la directiva y la unidad organizativa Ejecutivos.5.

Resultado: Al finalizar este ejercicio, habrá configurado la redirección de scripts y carpetas.


Ejercicio 2: Configuración de plantillas administrativas

Ejercicio 2: Configuración de plantillas administrativas

Escenario

Se le ha solicitado que cree y asigne Plantillas administrativas de Directiva de grupo para controlar el entorno deequipos y usuarios. Todos los equipos tendrán aplicada la siguiente configuración:

Permitir la administración remota entrante.

Detección de vínculo lento configurado a 800 kbps.

Los equipos de las unidades organizativas Miami, Toronto y NYC, impedirán la instalación de dispositivos extraíbles.

Los equipos de la unidad organizativa Ejecutiva tendrán cifrados los archivos sin conexión.

Todos los usuarios de dominio tendrán aplicada la siguiente configuración:

Las herramientas para editar el registro estarán prohibidas.

Se quitará el reloj de la barra de tareas.

Además, los usuarios de las unidades organizativas Miami, Toronto y NYC tendrán aplicada la siguiente configuración:

Los perfiles estarán limitados a 1 gigabyte (GB) de tamaño.

La Barra lateral de Windows estará desactivada.


Modificar las Directivas de dominio predeterminadas para que contengan la configuración de todos los equipos.1.

Crear y asignar un GPO para impedir la instalación de dispositivos extraíbles en los equipos de las sucursales.2.

Crear y asignar un GPO para cifrar los archivos sin conexión en los equipos ejecutivos.3.

Crear y asignar un GPO en el nivel de dominio para todos los usuarios de dominio.4.

Crear y asignar un GPO para limitar el tamaño del perfil y desactivar la Barra lateral de Windows para losusuarios de las sucursales.

5.

Tarea 1: Modificar las Directivas de dominio predeterminadas para que contengan la configuración de todos los equipos.

En la GMPC, edite la Directiva de dominio predeterminado: expanda Configuración del equipo, expandaDirectivas, luego Plantillas administrativas, Red, Conexiones de red, Firewall de Windows y luego Perfildel dominio. En el panel de detalles, haga doble clic en Firewall de Windows: Permitir la excepción deadministración remota de entrada.

1.

Habilite la directiva para la subred local en Permitir mensajes entrantes no solicitados de estasdirecciones IP:

2.

Expanda Configuración del equipo, luego expanda Plantillas administrativas, Sistema y Directivas degrupo.

3.

Habilite Detección de vínculo de baja velocidad de la Directiva de grupo para que sea a 800kbps.4.

Tarea 2: Crear y asignar un GPO para impedir la instalación de dispositivos extraíbles en los equipos de las sucursales.

Cree un nuevo GPO denominado Impedir dispositivos extraíbles.1.

Edite el GPO expandiendo Configuración del equipo, luego Directivas, Plantillas administrativas,Sistema, Instalación de dispositivos y luego Restricciones de la instalación de dispositivos.

2.

Habilite la configuración Impedir la instalación de dispositivos extraíbles.3.

Establezca un vínculo entre la directiva Impedir dispositivos extraíbles y las unidades organizativas Miami,NYC y Toronto.

4.

Tarea 3: Crear y asignar un GPO para cifrar los archivos sin conexión en los equipos ejecutivos.

Cree un nuevo GPO denominado Cifrado de archivos sin conexión.1.

Edite la directiva expandiendo Configuración del equipo, luego Directivas, Plantillas administrativas, Redy por último Archivos sin conexión.

2.

Habilite el Cifrado de la memoria caché de archivos sin conexión.3.

Establezca un vínculo entre el GPO y la unidad organizativa Ejecutivos.4.

Tarea 4: Crear y asignar un GPO en el nivel de dominio para todos los usuarios de dominio.

Cree un Nuevo GPO denominado Directiva para todos los usuarios.1.

Expanda Configuración del usuario, luego Directivas, Plantillas administrativas y, por último, Sistema.2.

Habilite la configuración Impedir acceso a herramientas de edición del registro.3.

Haga clic en el menú Inicio y Barra de tareas.4.

Habilite Quitar el reloj del área de notificación del sistema.5.

Establezca un vínculo entre el GPO y el domino Woodgrovebank.com.6.

Tarea 5: Crear y asignar una directiva para limitar el tamaño del perfil y desactivar la Barra lateral de Windows para los usuarios delas sucursales.

Cree un nuevo GPO denominado Directivas para los usuarios de sucursales.1.

Edite el GPO expandiendo Configuración del usuario, luego Directivas, Plantillas administrativas,Sistema y por último Perfiles del usuario.

2.

Habilite el Límite de tamaño para el perfil a un valor de 1000000.3.

Expanda Configuración del usuario, luego expanda Directivas, Plantillas administrativas, Componentesde Windows y luego Windows Sidebar.

4.

Habilite la configuración Windows Sidebar.5.

Establezca un vínculo entre el GPO denominado Directivas para usuarios de sucursales y las unidadesorganizativas de Miami, NYC y Toronto.

6.

Resultado: Al finalizar este ejercicio, habrá configurado Plantillas administrativas.


Ejercicio 3: Configuración de preferencias

Ejercicio 3: Configuración de preferencias

Escenario

Se le ha solicitado que cree y asigne Preferencias de directiva de grupo para controlar el entorno de equipos yusuarios.

Agregue un acceso directo a Bloc de notas.exe al escritorio NYC-DC1.

Cree una carpeta nueva denominada Informes en la unidad C: de todos los equipos que se estén ejecutando.

Configure el menú Inicio para equipos con Windows Vista.


Agregar un acceso directo a Bloc de notas.exe al escritorio NYC-DC1.1.

Crear una carpeta nueva denominada Informes en la unidad C: de todos los equipos con Windows Server2008.

2.

Configurar el menú Inicio para equipos con Windows Vista.3.

Tarea 1: Agregar un acceso directo a Bloc de notas.exe al escritorio NYC-DC1.

En la GMPC, edite las Preferencias de directivas de dominio predeterminado:1.

Edite las preferencias de Configuración de Windows para crear un acceso directo denominado Bloc denotas, con los siguientes parámetros:

2.

Ubicación: Todos los usuarios\ Escritorio3.

Ruta de destino: C:\Windows\Sistema32\Bloc de notas.exe4.

En la ficha Común, configure el nivel del elemento que tiene como destino el nombre de equipo NYC-DC1.5.

Tarea 2: Crear una carpeta nueva denominada Informes en la unidad C: de todos los equipos con Windows Server 2008

En la Configuración del equipo, Preferencias de la configuración de Windows, cree una nueva carpeta.1.

Configure la ruta para que sea: C:\Informes.2.

En la ficha Común, configure el nivel del elemento que tiene como destino el Sistema operativo WindowsServer 2008.

3.

Tarea 3: Configurar el menú Inicio para los equipos con Windows Vista.

Expanda Configuración del usuario, luego Preferencias y luego Configuración del panel de control ycree un nuevo objeto de menú Inicio para Windows Vista.

1.

Configure el menú Inicio para que elimine la carpeta Juegos y para que agregue las herramientasadministrativas del sistema al menú Todos los programas.

2.

Resultado: Al finalizar este ejercicio, habrá configurado las Preferencias.




Escenario

Inicie sesión como diversos usuarios de dominio para comprobar la aplicación de Directiva de grupo. Use el Conjuntoresultante de directivas (RSoP) de la directiva de grupo para comprobar que los GPO se están aplicandocorrectamente.


Comprobar que las preferencias hayan sido aplicadas.1.

Iniciar la máquina virtual 6824A-NYC-CL1 y luego iniciar sesión como Woodgrovebank\Administrador yobservar la configuración aplicada.

2.

Iniciar sesión como usuario en la unidad organizativa Ejecutivos y observar la configuración aplicada.3.

Iniciar sesión como usuario de una sucursal y observar la configuración aplicada.4.

Usar la GPMC en NCY-DC1 para la revisar los resultados de la Directiva de grupo.5.


Tarea 1: Comprobar que las preferencias hayan sido aplicadas.

Cierre sesión en NYC-DC1 y luego, inicie sesión como Administrador usando la contraseña Pa$$w0rd.1.

En el escritorio, compruebe que se ha creado un acceso directo para el Bloc de notas.2.

Compruebe que se haya creado una carpeta denominada Informes en la unidad C:.3.

Compruebe que las Herramientas administrativas aparezcan en el menú Inicio y que la carpeta Juegos no semuestre.

4.

Tarea 2: Iniciar la máquina virtual 6824A-NYC-CL1 y luego, iniciar sesión como Woodgrovebank\Administrador y observar laconfiguración aplicada.

Abra el Cliente de control remoto para servidor virtual y luego haga doble clic en 6824A-NYC-CL1.1.

Inicie sesión en NYC-CL1 como Administrador, usando la contraseña Pa$$w0rd. Cierre sesión y luego iniciesesión como Administrador.

2.

Nota: Se requieren dos inicios de sesión debido a las credenciales almacenadas en una memoria caché.

Asegúrese de que el Reloj no se muestre en el Área de notificación.3.

Haga clic con el botón secundario en la Barra de tareas, luego en Propiedades y por último haga clic en laficha del Área de notificación. Compruebe que no tiene habilitada la opción Mostrar reloj y luego haga clic enAceptar.

4.

Cierre sesión en NYC-CL1.5.

Tarea 3: Iniciar sesión como usuario en la unidad organizativa Ejecutivos y observar la configuración aplicada.

Inicie sesión en NYC-CL1 como Tony, usando la contraseña Pa$$w0rd. Asegúrese de que el Reloj no semuestre en el Área de notificación.

1.

Haga clic en Inicio, haga clic con el botón secundario en la carpeta Documentos y luego en Propiedades.Asegúrese de que la ubicación sea \\nyd-dc1\execdata\tony.

2.

Haga clic en Inicio, escriba Regedt32 en el cuadro de búsqueda y luego presione ENTER. Asegúrese de quese ha deshabilitado la Modificación del registro.

3.

Asegúrese de que no se muestre la Barra lateral de Windows.4.


Tarea 4: Iniciar sesión como usuario en una sucursal y observar la configuración aplicada.

Inicie sesión en NYC-CL1 como Roya, usando la contraseña Pa$$w0rd. Asegúrese de que el Reloj no semuestre en el Área de notificación.

1.

Haga clic en Inicio, haga clic con el botón secundario en la carpeta Documentos y luego en Propiedades.Asegúrese de que la ubicación sea C:\Usuarios\Roya.

2.

Haga clic en Inicio, escriba Regedt32 en el cuadro de búsqueda y luego presione ENTER. Asegúrese de quese ha deshabilitado la Modificación del registro.

3.

Asegúrese de que no se muestre la Barra lateral de Windows.4.

Haga clic en Inicio y luego abra Equipo. Asegúrese de que la unidad J: se encuentre asignada para Compartirdatos.

5.


Tarea 5: Usar la GPMC en NCY-DC1 para revisar los resultados de la Directiva de grupo.

Restaure la GPMC en NYC-DC1.1.

Haga clic con el botón secundario en Resultados de directivas de grupo y luego haga clic en el Asistentepara los resultados de directivas de grupo.

2.

Seleccione el equipo Woodgrovebank\NYC-CL1.3.

Seleccione Woodgrovebank\Tony como usuario.4.

En la pantalla Resumen, haga clic en Siguiente y luego en Finalizar.5.

En el Resumen del informe de los resultados de directivas de grupo, expanda la sección Objetos de directivade grupo.

6.

Haga clic en la ficha Configuración y luego expanda Plantillas administrativas.7.

Cierre la GPMC.8.


Por cada máquina virtual que se encuentre en funcionamiento, cierre la ventana de Control remoto de lamáquina virtual.

1.

En el cuadro Cerrar, seleccione Cerrar el equipo y descartar los cambios y después haga clic en Aceptar.2.


Resultado: Al finalizar este ejercicio, habrá comprobado una aplicación de GPO.


Revision y conclusiones del modulo


Observaciones

Cuando se configuran entornos de usuario usando la Directiva de grupo, se debe considerar lo siguiente:

La Configuración de directivas habilitada, impone una configuración.

La Configuración de directivas deshabilitada, revierte una configuración.

La Configuración de directivas que no se encuentra establecida no es afectada por la Directiva de grupo.

Los scripts pueden ser aplicados al usuario o equipo por medio de la Directiva de grupo.

Los scripts pueden ser escritos en múltiples lenguajes.

Almacenar los scripts usando los recursos compartidos NetLogon hace que estén altamente disponibles.

Algunas carpetas pueden ser redirigidas desde el perfil de los usuarios a una carpeta compartida en la red.

Distintos grupos de seguridad pueden ser redirigidos a diferentes ubicaciones de red.

Las Plantillas administrativas aplican configuraciones modificando el registro para el usuario y el equipo.

Los archivos ADMX se pueden personalizar.

Se puede distribuir software vía Directiva de grupo por medio de archivos .MSI.

Se puede publicar software a usuarios o asignarlos a usuarios o equipos.

El software asignado a los usuarios son específicos para esos usuarios.

El software asignado a los equipos se encuentra disponible para todos los usuarios de ese equipo.

El software puede ser modificado y mantenido por medio de la Directiva de grupo.

El software puede ser eliminado por medio de la Directiva de grupo.


Se le ha asignado un script de inicio de sesión en una unidad organizativa por medio de la Directiva de grupo. Elscript se encuentra ubicado en una carpeta de red compartida denominada Scripts. Algunos usuarios de launidad organizativa reciben el script y otros no. ¿Cuál puede ser la causa de esto?

1.

¿Qué pasos se podrían seguir para evitar que vuelva a ocurrir este tipo de problemas?2.

Tiene dos scripts de inicio de sesión asignado a los usuarios. – script1 y script2. El Script2 depende de lacorrecta compleción del script1. Los usuarios informan que el script2 nunca se ejecuta. ¿Cuál es el problema ycómo lo resolvería?

3.

Modulo 7 : Implementación de la seguridad usando Directiva de grupo

Módulo 7

Implementación de la seguridad usando Directiva de grupo

No contar con las directivas de seguridad adecuadas puede traer muchos riesgos para una organización. Una directivade seguridad diseñada de manera apropiada ayuda a proteger la inversión de una organización en lo que se refiere a lainformación corporativa y los recursos internos, como por ejemplo hardware y software. Sin embargo, contar solamentecon una directiva de seguridad no es suficiente. Se debe implementar la directiva para que sea efectiva. Se puedeaprovechar Directiva de grupo para estandarizar la seguridad y de este modo controlar el entorno.

Lección 1: Configuración de directivas de seguridadLección 2: Implementación de directivas de contraseña de personalización avanzadaLección 3: Restricción de pertenencia a grupos y acceso a softwareLección 4: Administración de la seguridad usando plantillas de seguridadLaboratorio: Implementación de la seguridad usando la Directiva de grupo

Lección 1: Configuración de directivas de seguridad

Lección 1:

Configuración de directivas de seguridad

Directiva de grupo brinda una configuración que se puede usar para implementar la seguridad en su organización. Porejemplo, se puede usar la configuración de Directiva de grupo para brindar mayor seguridad a las contraseñas, al inicioy a los permisos para los servicios del sistema.

Esta lección describe la información y las destrezas necesarias para configurar las directivas de seguridad.



Puntos clave

Las directivas de seguridad son reglas para proteger los recursos en los equipos y las redes. Directiva de grupopermite configurar varias de dichas reglas como valores de Directiva de grupo. Por ejemplo, se pueden configurardirectivas de contraseña como parte de Directiva de grupo.

Directiva de grupo cuenta con una amplia sección de seguridad para configurar la seguridad tanto de los usuarioscomo de los equipos. De esta manera, se puede implementar la seguridad de manera constante en todas las unidadesorganizativas (OU) en Servicios de dominio de Active Directory® (AD DS), definiendo la configuración de seguridad enun Objeto de directiva de grupo que está asociado a un sitio, dominio o unidad organizativa.


Artículo de Microsoft Technet: Configuración de seguridad

Artículo de Microsoft Technet: Group Policy Security Settings (Configuración de seguridad de Directiva degrupo)

¿Qué es Directiva de seguridad de dominio predeterminada?

¿Qué es Directiva de seguridad de dominio predeterminada?

Puntos clave

La directiva de dominio predeterminada está vinculada al dominio y por lo tanto influye en todos los objetos del dominioa menos que un GPO que se ha aplicado en un nivel inferior bloquee o invalide los valores antes mencionados. Estadirectiva cuenta con muy pocos valores configurados de manera predeterminada.

Aunque Directiva predeterminada de dominio cuenta con todos los valores y capacidades de cualquier GPO, serecomienda usar dicha directiva solamente para entregar Directivas de cuenta. Se debe crear otros GPO para entregaruna configuración diferente.


Artículo de Microsoft Technet: Guía de seguridad de Windows Server 2003, Capítulo 3: Directiva de dominio

¿Qué son las directivas de cuenta?

¿Qué son las directivas de cuenta?

Puntos clave

Las directivas de cuenta protegen las cuentas y los datos de su organización mitigando la amenaza de que lascontraseñas de las cuentas puedan ser descifradas por fuerza bruta. En los sistemas operativos de Windows y enmuchos otros, el método más común para autenticar la identidad de un usuario se basa en usar una contraseñasecreta. Una mayor seguridad para su entorno de red exige que todos los usuarios usen contraseñas seguras. Laconfiguración de la directiva de contraseña controla la complejidad y la duración de las contraseñas. Se puedeestablecer la configuración de la directiva de contraseña a través de Directiva de grupo.


Artículo de Microsoft Technet: Account Passwords and Policies (Directivas y contraseñas de cuenta)

¿Qué son las directivas locales?

¿Qué son las directivas locales?

Puntos clave

Cada uno de los equipos con Windows°2000 Server o posterior cuentan exactamente con un Objeto de directiva degrupo local (LGPO). En este objeto, los valores de Directiva de grupo se almacenan en equipos individuales, sinimportar si forman parte de un entorno de Active Directory. El LGPO se almacena en una carpeta oculta denominada%windir%\sistema32\Directiva de grupo. Esta carpeta no existirá hasta que se haya configurado un LGPO.

¿Qué son las Directivas de seguridad de red?

¿Qué son las Directivas de seguridad de red?

Puntos clave

Automatizar los valores de configuración de un equipo cliente es un paso fundamental para reducir el costo deimplementación de la seguridad de redes y reducir los problemas de compatibilidad que resultan de los valoresconfigurados incorrectamente.

Con Windows Server 2003, se podía automatizar la configuración inalámbrica del cliente usando la configuración deDirectivas de red inalámbrica en Directiva de grupo. Windows Server 2008 y Windows Vista incluyen nuevascaracterísticas para las directivas de red y Directiva de grupo es compatible con la configuración de autenticación802.1X para conexiones alámbricas e inalámbricas.

Material de lectura adicional:

Artículo de Microsoft Technet: Joining a Windows Vista Wired Client to a Domain (Unir un cliente alámbrico deWindows Vista a un dominio)

Artículo de Microsoft Technet: Capítulo 6: Diseño de la seguridad para LAN inalámbrica mediante 802.1X

Artículo de Microsoft Technet: Configuración de la Directiva de grupo inalámbrica para Windows Vista

Artículo de Microsoft Technet: Definir directivas de red inalámbrica basadas en Active Directory

Firewall de Windows con seguridad avanzada

Firewall de Windows con seguridad avanzada

Puntos clave

Windows Vista y Windows Server 2008 incluyen una nueva y mejorada versión del Firewall de Windows. El nuevoFirewall de Windows es un firewall basado en host con estado que permite o bloquea el tráfico de red según suconfiguración.


Artículo de Microsoft Technet: The New Windows Firewall in Windows Vista and Windows Longhorn (NuevoFirewall de Windows en Windows Vista y Windows Longhorn)

Demostración: Descripción general de la configuración de seguridadadicional

Demostración: Descripción general de la configuración de seguridad adicional

Pregunta: Es necesario garantizar que no se permita la ejecución de servicio particular en cualquiera de losservidores de red. ¿Cómo se lograría esto?

Demostración: ¿Qué es Directiva de seguridad de controlador de dominiopredeterminada?

Demostración: ¿Qué es Directiva de seguridad de controlador de dominio predeterminada?

Pregunta: ¿Cuál es el intervalo de actualización predeterminado de Directiva de grupo para los controladores dedominio?

Lección 2: Implementación de directivas de contraseña de personalizaciónavanzada

Lección 2:

Implementación de directivas de contraseña de personalizaciónavanzada

En Windows Server 2008, usando directivas de contraseña de personalización avanzada se pueden permitir diferentesrequisitos de contraseña y directivas de bloqueo de cuenta para diversos usuarios o grupos de Active Directory.

Esta lección describe la información y las destrezas para implementar directivas de contraseña de personalizaciónavanzada.

¿Qué son las directivas de contraseña de personalización avanzada?

¿Qué son las directivas de contraseña de personalización avanzada?

Puntos clave

En versiones anteriores de AD DS, se podía aplicar solamente una directiva de contraseña y de bloqueo de cuenta atodos los usuarios del dominio. Las directivas de contraseña de personalización avanzada permiten contar conrequisitos de contraseña y directivas de bloqueo de cuenta diferentes para diversos usuarios o grupos de ActiveDirectory. Esto es conveniente cuando se desea que conjuntos diferentes de usuarios cuenten con requisitos decontraseña distintos, pero no se desean dominios individuales. Por ejemplo, es posible que el grupo Admins deDominio necesite requisitos de contraseña estrictos a los que no deben estar sujetos los usuarios comunes. En casode no implementar contraseñas de personalización avanzada, las directivas de cuenta de dominio predeterminadasnormales se aplicarán a todos los usuarios.

Pregunta: ¿Cómo usaría contraseñas de personalización avanzada en su entorno?


Artículo de Microsoft Technet: AD DS: Fine-Grained Password Policies (AD DS: Directivas de contraseña depersonalización avanzada)

Cómo se implementan las directivas de contraseña de personalizaciónavanzada

Cómo se implementan las directivas de contraseña de personalización avanzada

Puntos clave

Para almacenar directivas de contraseña de personalización avanzada, Windows Server 2008 incluye dos nuevasclases de objetos en el esquema de Active Directory. Estos son:

Contenedor de configuraciones de contraseña (PSC)

Objeto de configuración de contraseñas (PSO)

La clase del objeto del PSC se crea de manera predeterminada en el Contenedor del sistema en el dominio, quealmacena los PSO del dominio. No se puede cambiar el nombre, mover o eliminar este contenedor.

Pregunta: ¿Cómo se podría ver el Contenedor de configuraciones de contraseña en Usuarios y equipos de ActiveDirectory?


Artículo de Microsoft Technet: AD DS: Fine-Grained Password Policies (AD DS: Directivas de contraseña depersonalización avanzada)

Implementación de directivas de contraseña de personalización avanzada

Implementación de directivas de contraseña de personalización avanzada

Puntos clave

Existen tres pasos principales necesarios para la implementación de contraseñas de personalización avanzada:

Crear grupos necesarios y agregar usuarios apropiados.

Crear los PSO para todas las directivas de contraseña definidas.

Aplicar los PSO para los usuarios apropiados o grupos de seguridad global.

Pregunta: En su organización, un grupo de usuarios trabaja regularmente con archivos confidenciales. Es necesariogarantizar que todos estos usuarios tengan implementadas directivas de cuenta estrictas. Las cuentas de usuario estándistribuidas en múltiples unidades organizativas. ¿Cómo lograría esto con el menor esfuerzo administrativo posible?


Artículo de Microsoft Technet: Step by Step Guide for Fine-Grained Password and Account Lockout PolicyConfiguration (Guía paso a paso para la configuración de contraseñas de personalización avanzada y directivasde bloqueo de cuenta)

Demostración: Implementación de directivas de contraseña depersonalización avanzada

Demostración: Implementación de directivas de contraseña de personalización avanzada

Pregunta: ¿Qué utilidades están disponibles para administrar los PSO? Elija todas las que correspondan.

Edición de ADSI

GPMC

CSVDE

LDIFDE

NTDSUtil

Usuarios y equipos de Active Directory

Lección 3: Restricción de pertenencia a grupos y acceso a software

Lección 3:

Restricción de pertenencia a grupos y acceso a software

En un entorno de red extenso, uno de los desafíos de la seguridad de red es el de controlar la pertenencia a losgrupos integrados en el directorio y en las estaciones de trabajo. Otra cuestión es evitar el acceso a software noautorizado en las estaciones de trabajo.

¿Qué es la pertenencia a grupos restringidos?

¿Qué es la pertenencia a grupos restringidos?

Puntos clave

En algunos casos, es posible que desee controlar la pertenencia a ciertos grupos en un dominio para evitar que seagreguen otras cuentas de usuario a esos grupos, como por ejemplo al grupo de administradores locales.

Se puede usar la Directiva de grupos restringidos para controlar la pertenencia a grupos. Use la directiva paraespecificar qué miembros se ubican en un grupo. Si se define una Directiva de grupos restringidos y se actualizaDirectiva de grupo, se eliminará cualquier miembro actual de un grupo que no se encuentre en la lista de miembros dela Directiva de grupos restringidos. Pueden incluirse los miembros predeterminados, como por ejemplo losadministradores de dominio.

A pesar de que se pueden controlar los grupos de dominio asignando directivas de grupos restringidos a loscontroladores de dominio, se debe utilizar en primer lugar dicha configuración para establecer la pertenencia a gruposfundamentales, como por ejemplo Enterprise Admins y Schema Admins. Además puede usar esta configuración paracontrolar la pertenencia a los grupos locales integrados en estaciones de trabajo y servidores miembro. Por ejemplo,se puede colocar el grupo Helpdesk en el grupo local Administradores en todas las estaciones de trabajo.

No se pueden especificar los usuarios locales en un GPO de dominio. Se eliminarán todos los usuarios locales queactualmente formen parte de un grupo local controlado por la directiva. La única excepción es que la cuenta localAdministradores siempre se encontrará en el grupo local Administradores.

Pregunta: Su empresa cuenta con cinco servidores web ubicados físicamente en toda América del Norte. Lascuentas de equipo del servidor web se encuentran ubicadas en una única unidad organizativa. Desea otorgarles atodos los usuarios en el grupo global denominado Web_Backup el derecho para hacer copias de seguridad y restaurarservidores web. ¿Cómo se podría usar Directiva de grupo para lograrlo?


Artículo de Microsoft Technet: Grupos restringidos

Artículo de Microsoft Technet: Group Policy Security Settings (Configuración de seguridad de Directiva degrupo)

Demostración: Configuración de la pertenencia a grupos restringidos

Demostración: Configuración de la pertenencia a grupos restringidos

Pregunta: Se creó una Directiva de grupo que agrega el grupo Helpdesk al grupo local Administradores y se vinculó ladirectiva con una unidad organizativa. En esta instancia, Administradores de dominio ya no cuentan con autoridadadministrativa sobre los equipos en dicha unidad organizativa. ¿Cuál es el problema más frecuente y cómo seresolvería?

¿Qué es la directiva de restricción de software?

¿Qué es la directiva de restricción de software?

Puntos clave

Quizás se desee restringir el acceso a software para evitar que los usuarios ejecuten determinadas aplicaciones otipos de aplicaciones, como por ejemplo VBscripts. La directiva de restricción de software brinda a los administradoresun mecanismo controlado por directivas para identificar software y controlar su capacidad para ejecutarse en un equipocliente.

Pregunta: Cuenta con una cierta cantidad de equipos en un grupo de trabajo. Necesita restringir el acceso a unadeterminada aplicación para que solamente se les permita a los miembros del grupo Administradores iniciar laaplicación. ¿Cómo se lograría esto?


Artículo de Microsoft Technet: Uso de directivas de restricción de software para proteger contra software no autorizado

Opciones para configurar directivas de restricción de software

Opciones para configurar directivas de restricción de software

Puntos clave

Las directivas de restricción de software usan reglas para determinar si se permite ejecutar una aplicación. Cuando secrea una regla, en primer lugar se identifica la aplicación. Luego se la debe identificar como una excepción para el valorpredeterminado de la directiva, ya sea No restringido o No permitido. El motor de aplicación consulta las reglas en ladirectiva de restricción de software antes de permitir que se ejecute un programa.

Pregunta: Necesita restringir el acceso a una aplicación en particular sin importar en qué ubicación del directorio se hainstalado. ¿Qué tipo de regla debería usar?


Artículo de Microsoft Technet: Uso de directivas de restricción de software para proteger contra software noautorizado

Demostración: Configuración de Directivas de restricción de software

Demostración: Configuración de Directivas de restricción de software

Pregunta: Desea garantizar que se permitan ejecutar solamente los scripts de Visual Basic firmados digitalmente.¿Qué tipo de regla debería usar?

Lección 4: Administración de la seguridad usando plantillas de seguridad

Lección 4:

Administración de la seguridad usando plantillas de seguridad

Una directiva de seguridad es un grupo de valores de seguridad que influye en la seguridad del equipo. Se puede usaruna directiva de seguridad para establecer directivas locales y de cuenta en su equipo local y en Active Directory. Sepueden crear plantillas de seguridad a modo de ayuda para crear directivas de seguridad y cumplir con lasnecesidades de seguridad de la empresa. Pueden usarse dichas plantillas para configurar los valores de seguridadasignados a los equipos, ya sea manualmente o a través de Directiva de grupo.

¿Qué son las plantillas de seguridad?

¿Qué son las plantillas de seguridad?

Puntos clave

Una plantilla de seguridad es un grupo de valores de seguridad configurados. Se pueden usar plantillas de seguridadpredefinidas como base para crear directivas de seguridad que pueden personalizarse a fin de satisfacer susnecesidades o crear nuevas plantillas. Para crear o personalizar plantillas, debe usar el complemento Plantillas deseguridad. Después de crear una nueva plantilla o personalizar una plantilla de seguridad predefinida, puede usarlapara configurar la seguridad en un equipo individual o en numerosos equipos. Estas plantillas contienen unaconfiguración de seguridad para todas las áreas de seguridad.


Artículo de Microsoft Technet: Plantillas de seguridad

Demostración sobre la aplicación de plantillas de seguridad

Demostración sobre la aplicación de plantillas de seguridad

Pregunta: Cuenta con múltiples servidores de base de datos ubicados en diferentes unidades organizativas. ¿Cuál esla manera más simple de aplicar una configuración de seguridad consistente con todos los servidores de base dedatos?

¿Qué es el Asistente para configuración de seguridad?

¿Qué es el Asistente para configuración de seguridad?

Puntos clave

El Asistente para configuración de seguridad (SCW) es una herramienta para minimizar la superficie de ataque que fueintroducido con Windows Server 2003 con Service Pack 1 (SP1). SCW sirve de ayuda para los administradores a lahora de crear directivas de seguridad y determina la funcionalidad mínima requerida para una o varias funciones delservidor y luego deshabilita la funcionalidad que no se requiere.

SCW sirve de guía para el proceso de crear, editar, aplicar o revertir una directiva de seguridad basada en lasfunciones seleccionadas del servidor. Las directivas de seguridad que se crean con SCW son archivos XML que, unavez aplicados, configuran servicios, seguridad de red, valores de registro específicos, directivas de auditoría y sicorresponde, Servicios de Internet Servidor de información (IIS).

Pregunta: ¿Qué tipos de funciones del servidor existen en su organización?


Artículo de Microsoft Technet: Plantillas de seguridad

Artículo de Microsoft Technet: Asistente para configuración de seguridad para Windows Server 2003

Demostración: Configuración de la seguridad del servidor usando elAsistente para configuración de seguridad

Demostración: Configuración de la seguridad del servidor usando el Asistente para configuraciónde seguridad

Pregunta: ¿Cuál es la ventaja principal del SCW?

Opciones para integrar el Asistente para configuración de seguridad y lasPlantillas de seguridad

Opciones para integrar el Asistente para configuración de seguridad y las Plantillas de seguridad

Puntos clave

Las directivas de seguridad que se crean con el SCW pueden también incluir plantillas de seguridad personalizadas.Algunos de los valores que se pueden configurar usando el SCW se superponen en parte con los valores que seconfiguran usando solamente las plantillas de seguridad. Ningún conjunto de cambios de valores incluye por completoal otro. Por ejemplo, el SCW incluye los valores de IIS que no están incluidos en una plantilla de seguridad. Por elcontrario, las plantillas de seguridad pueden incluir tales elementos como Directivas de restricción de software, que nopueden configurarse mediante el SCW.


Artículo de Microsoft Technet: Security Configuration Wizard Overview (Descripción general del Asistente paraconfiguración de seguridad)

Artículo de Microsoft Technet: Security Watch: The Security Configuration Wizard (Inspección de seguridad:asistente para configuración de seguridad)

Demostración: Importación de Directivas de configuración de seguridad aPlantillas de seguridad

Demostración: Importación de Directivas de configuración de seguridad a Plantillas de seguridad

Pregunta: Se necesita abrir un puerto en los equipos cliente de Windows Vista para una aplicación personalizada.¿Debería usar el SCW o crear una plantilla de seguridad y usar un GPO?

Laboratorio: Implementación de la seguridad usando la Directiva de grupo

Laboratorio: Implementación de la seguridad usando Directiva de grupo

Escenario

Woodgrove Bank ha decidido implementar Directiva de grupo para configurar la seguridad de los usuarios y equiposen la organización. La compañía actualizó recientemente todas las estaciones de trabajo a Windows Vista y a todos losservidores a Windows Server 2008. La organización desea utilizar Directiva de grupo para implementar la configuraciónde seguridad para las estaciones de trabajo, los servidores y los usuarios. El administrador de la empresa creó undiseño que incluye modificaciones realizadas a la directiva predeterminada de seguridad de dominio y GPOadicionales para configurar la seguridad. La compañía desea contar con la flexibilidad para asignar diferentes directivasde contraseña para usuarios específicos. También desea automatizar la configuración de los valores de seguridad almáximo.

Nota: Algunas de las tareas de este laboratorio están diseñadas para ilustrar las técnicas de administración yconfiguración de GPO y puede que no siempre sigan los procedimientos recomendados.

Ejercicio 1: Configuración de la directiva de cuenta y de seguridad

Ejercicio 1: Configuración de la directiva de cuenta y de seguridad

Se le ha asignado la tarea de implementar una directiva de cuenta de dominio según los siguientes criterios:

Las contraseñas de dominio constarán de ocho caracteres.

Se implementarán contraseñas seguras.

Las contraseñas se cambiarán exactamente cada veinte días.

Las cuentas se bloquearán durante 30 minutos después de cinco intentos de inicio de sesión inválidos.

Se configurará también una directiva local en el cliente de Windows Vista que habilita la cuenta local Administrador yprohíbe el acceso al menú Ejecutar para los No administradores.

Luego se creará una directiva de red inalámbrica para Windows Vista que genera un perfil para la red inalámbricacorporativa. Este perfil definirá 802.1x como el método de autenticación. Dicha directiva también denegará el acceso auna red inalámbrica denominada Investigar.

Finalmente, configurará una directiva para evitar que el servicio Registro remoto se ejecute en un controlador dedominio.

Las principales tareas para este ejercicio se realizarán como se detalla a continuación:

Iniciar la máquina virtual e iniciar la sesión como Administrador.1.

Crear una directiva de cuenta para el dominio.2.

Establecer la configuración de directiva local para un cliente de Windows Vista.3.

Crear un GPO de red inalámbrica para los clientes de Windows Vista.4.

Configurar un GPO que prohíba un servicio en todos los controladores de dominio.5.

Tarea 1: Iniciar la máquina virtual e iniciar la sesión como Administrador

En la máquina host, haga clic en Inicio, elija Todos los programas, seleccione Microsoft Learning y luegohaga clic en 6824A. Se inicia Iniciador de laboratorio.

1.




Tarea 2: Crear una directiva de cuenta para el dominio

Inicie consola de Administración de directivas de grupo.1.

Edite Directivas de cuenta en Default Domain Policy según los siguientes valores:2.

Directiva de contraseñas:

Contraseñas de dominio: Debe contar con al menos 8 caracteres

Contraseñas seguras (…cumplir requisitos de seguridad): Habilitada

Vigencia mínima de la contraseña: 19 días

Vigencia máxima de la contraseña: 20 días

Directiva de bloqueo de cuenta:

Umbral de bloqueo de cuenta: 5 intentos de inicio de sesión inválidos

Duración del bloqueo de cuenta: 30 minutos

Contador de bloqueo: restablecer después de 30 minutos

Tarea 3: Establecer la configuración de directiva local para un cliente de Windows Vista

Inicie NYC-CL1 e inicie la sesión como WoodgroveBank\Administrador con la contraseña Pa$$w0rd.1.

Cree un nueva MMC y luego agregue el complemento para Editor de objetos de directiva de grupos para elequipo local.

2.

Abra Configuración del equipo, luego Configuración de Windows, abra Configuración de seguridad,luego Directivas locales, abra Opciones de seguridad y luego habilite el valor Cuentas: estado de lacuenta de administrador.

3.

Agregue el complemento Editor de objetos de directiva de grupo a la MMC nuevamente y haga clic enExaminar.

4.

Haga clic en la ficha Usuarios, seleccione el grupo No administradores, haga clic en Aceptar y luego enFinalizar.

5.

En Directiva Equipo local\ No administradores, abra Configuración de usuario, Plantillasadministrativas, haga clic en la carpeta Menú inicio y barra de tareas y luego habilite el valor Quitar elmenú Ejecutar del menú inicio.

6.

Cierre la MMC sin guardar los cambios.7.

Tarea 4: Crear un GPO de red inalámbrica para los clientes de Windows Vista

En la GPMC, cree un nuevo GPO denominado Vista Inalámbrico.1.

Edite el GPO haciendo clic con el botón secundario en Directivas de red inalámbrica (IEEE 802.11) y luegoen Crear una nueva directiva de Windows Vista.

2.

En el cuadro de diálogo Propiedades de nueva directiva de red inalámbrica Vista, haga clic en Agregar yluego en Infraestructura.

3.

Cree un nuevo perfil denominado Corporativo y luego en el campo Nombre(s) de red (SSID), escriba Corp.4.

Haga clic en la ficha Seguridad, cambie método de Autenticación a Abierto con 802.1X y luego haga clic enAceptar.

5.

Haga clic en la ficha Permisos de red y luego en Agregar.6.

Escriba Examinar en el campo Nombre de red (SSID): y establezca el Permiso en Denegar. Haga clic enAceptar dos veces.

7.

Cierre Editor de administración de directiva de grupo y luego deje abierta la GPMC.8.

Tarea 5: Configurar una directiva que prohíba un servicio en todos los controladores de dominio

Edite lo siguiente para deshabilitar el servicio Registro remoto: Default Domain Policy, Configuración deequipo, Directivas, Configuración de Windows, Configuración de seguridad y Servicios del sistema.

1.

Cierre Editor de administración de directiva de grupo y deje abierta la GPMC.2.

Resultado: Al finalizar este ejercicio, se habrán establecido las configuraciones de las directivas decuenta y de seguridad.


Ejercicio 2: Implementación de directivas de contraseña depersonalización avanzada

Ejercicio 2: Implementación de directivas de contraseña de personalización avanzada

La directiva de seguridad corporativa indica que todos los miembros del grupo IT Administrativo contarán condirectivas de contraseña estrictas. Las contraseñas deberán cumplir con los siguientes criterios:

Se recordarán 30 contraseñas en el historial de contraseñas.

Las contraseñas de dominio constarán de 10 caracteres.

Se implementarán contraseñas seguras.

Las contraseñas no se almacenarán con cifrado reversible.

Las contraseñas se cambiarán exactamente cada siete días.

Las cuentas se bloquearán durante 30 minutos después de tres intentos de inicio de sesión inválidos.

Se creará una directiva de contraseña de personalización avanzada para implementar dichas directivas en el grupoglobal Admins TI.


Crear un PSO usando Edición de ADSI.1.

Asignar el PSO Admin TI al grupo global Admins TI.2.

Tarea 1: Crear un PSO usando Edición de ADSI

En el menú Ejecutar, escriba adsiedit.msc y luego presione ENTRAR.1.

Haga clic con el botón secundario en Editor ADSI, elija Conectar a y luego haga clic en Aceptar paraconfirmar los valores predeterminados.

2.

Busque DC=woodgrovebank, DC=com, CN= System, CN=Password Setting Container, haga clic con el botónsecundario en CN= Password Setting Container y luego cree un nuevo objeto.

3.

En el cuadro de diálogo Crear Objeto, haga clic en msDS- PasswordSettings y luego en Siguiente.4.

En la casilla Valor, escriba AdminTI.5.

En el valor msDS- PasswordSettingsPrecedence, escriba 10.6.

En el valor msDS- PasswordReversibleEncryptionEnabled, escriba FALSE.7.

En el valor msDS- PasswordHistoryLength, escriba 30.8.

En el valor msDS-PasswordComplexityEnabled, escriba True.9.

En el valor msDS- MinimumPasswordLength, escriba 10.10.

En el valor msDS-MinimumPasswordAge, escriba -5184000000000.11.

En el valor msDS- MaximumPasswordAge, escriba -6040000000000.12.

En el valor msDS- LockoutThreshold, escriba 3.13.

En el valor msDS-LockoutObservationWindow, escriba -18000000000.14.

En el valor msDS- LockoutDuration, escriba -18000000000 y luego haga clic en Finalizar.15.

Cierre la MMC ADSI Editar sin guardar los cambios.16.

Tarea 2: Asignar el PSO AdminTI al grupo global AdminsTI

Abra Usuarios y equipos de Active Directory.1.

Haga clic en Ver y luego en Características avanzadas.2.

Expanda Woodgrovebank.com, luego System y finalmente haga clic en Password Settings Container.3.

En el panel de detalles, haga clic con el botón secundario en el PSO Admin TI y luego haga clic enPropiedades.

4.

Haga clic en la ficha Editor de atributos, desplácese hacia abajo, seleccione el atributo msDS-PSOAppliesTo y luego haga clic en Editar.

5.

Agregue el grupo AdminsTI_WoodgroveGG.6.

Cierre Usuarios y equipos de Active Directory.7.

Resultado: Al finalizar este ejercicio, se habrán implementado las directivas de contraseña depersonalización avanzada.


Ejercicio 3: Configuración de las directivas de grupos restringidos yrestricción de software

Ejercicio 3: Configuración de las directivas de grupos restringidos y restricción de software

Es necesario garantizar que el grupo global Admins TI esté incluido en el grupo local Administradores para todos losequipos de la organización. Se considera que los controladores de dominio son de alta seguridad y no se permitirá queExplorador de Internet se ejecute en los controladores de dominio. También evitará que los scripts de Visual Basic(VBS) se ejecuten en la unidad C: de los controladores de dominio.


Configurar grupos restringidos para el grupo de administradores locales.1.

Crear un GPO que prohíba que Explorador de Internet y los scripts de VBS se ejecuten en los controladores dedominio.

2.

Tarea 1: Configurar grupos restringidos para el grupo de administradores locales

Si se requiere, abra la GPMC, abra la carpeta Objetos de directiva de grupo y luego edite Default DomainPolicy.

1.

Vaya a Configuración de equipo, expanda Directivas, luego Configuración de Windows, expandaConfiguración de seguridad, haga clic con el botón secundario en Grupos restringidos y luego haga clic enAgregar grupo.

2.

Agregue el grupo Administradores y luego haga clic en Aceptar.3.

En el cuadro de diálogo Administradores Propiedades, agregue los siguientes grupos:4.

Woodgrovebank\AdminsTI_WoodgroveGG

Woodgrovebank\ Admins. del Dominio


Tarea 2: Prohibir que se ejecute Explorador de Internet y los scripts de VBS en los controladores de dominio

Edite Default Domain Controllers Policy.1.

Vaya a Configuración de Windows, expanda Configuración de seguridad, haga clic con el botónsecundario en Directivas de restricción de software y luego haga clic en Nueva directiva de restricciónde nuevo software.

2.

Haga clic con el botón secundario en Reglas adicionales y luego haga clic en Regla de nuevo hash.3.

Examine y busque C:\Archivos de programa\ Internet Explorer\iexplore.exe y luego haga clic en Abrir.Asegúrese de que Nivel seguridad esté en No permitido.

4.

Haga clic con el botón secundario en Reglas adicionales y luego haga clic en Regla de nueva ruta.5.

En el campo Ruta de acceso, escriba *.vbs y luego haga clic en Aceptar.6.


Resultado: Al finalizar este ejercicio, se habrán configurado las directivas de grupos restringidos y de restricción desoftware.


Ejercicio 4: Configuración de las plantillas de seguridad

Ejercicio 4: Configuración de las plantillas de seguridad

Se creará una plantilla de seguridad para los servidores de archivos y de impresión que cambiarán el nombre de lacuenta Administrador y que no muestra el último nombre de usuario que inició sesión. Luego se usará el Asistente paraconfiguración de seguridad para crear una directiva de seguridad que protege el servidor de archivos y de impresión eincluye la plantilla de seguridad. Se usará la interfaz de SCW para aplicar la directiva en el servidor de archivos y deimpresión NYC-SVR1. Finalmente, convertirá la directiva en un GPO denominado SeguridadFP.


Crear una plantilla de seguridad para los servidores de archivos y de impresión.1.

Iniciar NYC-SVR1, unirse al dominio y deshabilitar Firewall de Windows.2.

Ejecutar Asistente de configuración de seguridad e importar la plantilla SeguridadFP.3.

Transformar la DirectivaFP en un GPO.4.

Tarea 1: Crear una plantilla de seguridad para los servidores de archivos y de impresión

Cree una nueva MMC, luego agregue el complemento para Plantillas de seguridad.1.

Expanda Plantillas de seguridad, haga clic con el botón secundario en C:\Users\Administrador\Documents\Security\Templates y luego haga clic en Nueva plantilla.

2.

Escriba el nombre SeguridadFP para la plantilla.3.

Busque Directivas locales y luego Opciones de seguridad. Defina Cuentas: cambiar el nombre de lacuenta de administrador con el valor AdminFP.

4.

Establezca Inicio de sesión interactiva: No mostrar el último nombre de usuario en Habilitada.5.

En el panel de la carpeta, haga clic con el botón secundario en SeguridadFP y luego haga clic en Guardar.6.

Cierre la MMC sin guardar los cambios.7.

Tarea 2: Iniciar NYC-SVR1, unirse al dominio y deshabilitar el Firewall de Windows

Inicie NYC-SVR1 e inicie la sesión como AdminLocal, usando la contraseña Pa$$w0rd.1.

Una NYC-SVR1 al dominio WoodgoveBank.com.2.

Reinicie el equipo e inicie sesión como Administrador.3.

Deshabilite Firewall de Windows.4.

Nota: Este paso se lleva a cabo para simplificar las tareas del laboratorio; no es un procedimiento recomendado.

Tarea 3: Ejecutar el Asistente para configuración de seguridad e importar la plantilla SeguridadFP

En NYC-DC1, inicie Asistente para configuración de seguridad.1.

En la página Bienvenida, haga clic en Siguiente.2.

En la pantalla Acción de configuración, haga clic en Siguiente.3.

En la pantalla Seleccionar servidor, escriba NYC-SVR1.woodgrovebank.com y luego haga clic enSiguiente.

4.

Después de que se procesan las bases de datos de la configuración de seguridad, haga clic en Siguiente.5.

En la pantalla Configuración de servicio basado en funciones, haga clic en Siguiente.6.

En la pantalla Seleccionar funciones del servidor, desactive la casilla junto a Servidor DNS.7.

Seleccione la casilla junto a Servidor de archivos.8.

Seleccione la casilla junto a Servidor de impresión y luego haga clic en Siguiente.9.

En la pantalla Seleccionar características de cliente, haga clic en Siguiente.10.

En la pantalla Seleccionar opciones de administración y otras, haga clic en Siguiente.11.

En la pantalla Seleccionar servicios adicionales, haga clic en Siguiente.12.

En la pantalla Tratamiento de servicios sin especificar, continúe haciendo clic en Siguiente hasta llegar a lapantalla Nombre de archivo de directiva de seguridad.

13.

En la pantalla Nombre de archivo de directiva de seguridad, escriba DirectivaFP al final de la rutaC:\Windows\security\msscw\Policies\.

14.

Haga clic en Incluir plantillas de seguridad y luego en Agregar.15.

Agregue la directiva Documentos\security\Templates\SeguridadFP.16.

En la pantalla Aplicar directiva de seguridad, haga clic en Aplicar ahora y luego en Siguiente.17.

En la pantalla Aplicar directiva de seguridad, haga clic en Siguiente y luego en Finalizar.18.

Tarea 4: Transformar la DirectivaFP en un GPO

En NYC-DC1, inicie la Línea de comandos y escriba scwcmd transform/p:” C:\Windows\security\msscw\Policies\DirectivasFP.xml” /g:FileServerSecurity.

1.

Abra la GPMC de ser necesario y luego abra la carpeta Objetos de directiva de grupo. Haga doble clic enSeguridadArchivoServidor GPO y luego examine la configuración.

2.

Cierre la GPMC y cierre sesión en NYC-DC1.3.

Resultado: Al finalizar este ejercicio, habrá configurado plantillas de seguridad.


Ejercicio 5: Comprobación de la configuración de seguridad

Ejercicio 5: Comprobación de la configuración de seguridad

Iniciará sesión como diversos usuarios para probar los resultados de Directiva de grupo.


Iniciar sesión como Administrador Local del equipo con Windows Vista y comprobar la pertenencia al grupode administradores locales.

Iniciar sesión en el equipo con Windows Vista como un usuario común y probar la directiva de cuenta.

Iniciar sesión en el controlador de dominio como el administrador de dominio y probar las restricciones desoftware y los servicios.

Usar la modelación de directivas de grupo para probar la configuración en el servidor de archivos y deimpresión.

Cerrar todas las máquinas virtuales y descartar los discos para deshacer.

Tarea 1: Iniciar sesión como Administrador Local del equipo con Windows Vista y comprobar la pertenencia al grupo deadministradores locales

Inicie sesión en NYC-CLI como NYC-CL1\administrador usando la contraseña Pa$$w0rd.1.

Inicie Comando Preguntar y ejecute el comando GPupdate /force.2.

Asegúrese de que el menú Ejecutar aparezca en la carpeta Accesorios en el menú Inicio.3.

Abra Panel de control, haga clic en Cuentas de usuario, haga clic en Administrar cuentas de usuario,luego en la ficha Opciones avanzadas, haga clic en Opciones avanzadas, luego en Grupos, abra el grupoAdministradores y luego asegúrese de que los grupos globales Admins. del dominio eAdminsTI_WoodgroveGG estén presentes.

4.

Reinicie NYC-CL1.5.

Tarea 2: Iniciar sesión en el equipo con Windows Vista como un usuario común y probar la directiva

Inicie sesión en NYC- CL1 como Woodgrovebank\Roya usando la contraseña Pa$$w0rd.1.

Asegúrese de que el menú Ejecutar no aparezca en la carpeta Accesorios del menú Inicio.2.

Presione Alt derecho + Suprimir y luego haga clic en Cambiar una contraseña.3.

En el campo Contraseña anterior, escriba Pa$$w0rd.4.

En los campos Nueva contraseña y Confirmar contraseña, escriba w0rdPa$$. No se podrá actualizar lacontraseña ya que no ha expirado la duración mínima de la contraseña.

5.


Tarea 3: Iniciar sesión en el controlador de dominio como el administrador de dominio y probar las restricciones de software yservicios


Inicie Símbolo del sistema y luego ejecute el comando GPupdate /force.2.

Intente iniciar Explorador de Internet, lea el mensaje de error y luego haga clic en Aceptar.3.

Busque D:\6824\Allfiles\mod07\LabFiles, haga doble clic en Hello.vbs, lea el mensaje de error y luego hagaclic en Aceptar.

4.

Abra la MMC Servicios en Herramientas administrativas. Deslícese hacia abajo hasta el servicio Registroremoto y asegúrese de que esté establecido en Deshabilitado.

5.

Tarea 4: Usar el Modelado de directivas de grupo para probar la configuración en el servidor de archivos y de impresión

Abra la GPMC y luego inicie Asistente de Modelado de directivas de grupo.1.

Aceptar todos los valores predeterminados excepto los de la ventana Seleccionar usuario y equipo.2.

Haga clic en Equipo y luego escriba Woodgrovebank\NYC-SVR1.3.

Una vez que finaliza el asistente, observe la configuración de la directiva.4.


Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto para máquina virtual.1.



Resultado: Al finalizar este ejercicio, habrá comprobado la configuración de seguridad.




Observaciones para implementar la seguridad usando Directiva de grupo

Tenga en cuenta lo siguiente al implementar la seguridad usando Directiva de grupo.

Las directivas de seguridad son reglas que protegen los recursos en equipos y redes y pueden implementarseusando Directiva de grupo.

La Directiva de dominio predeterminada y la Directiva predeterminada de los controladores de dominio se creande manera predeterminada.

Las directivas de cuenta deben implementarse en el nivel de dominio.

Todas las directivas de nivel de dominio pueden entregar directivas de cuenta.

Los clientes reciben directivas de cuenta desde los controladores de dominio.

Por lo general, las directivas locales afectan a todos los usuarios del equipo local, incluyendo los usuarios dedominio.

Las directivas de seguridad de red pueden controlar la configuración inalámbrica para Windows XP y versionesposteriores.

Las directivas de seguridad de red pueden controlar la configuración alámbrica para Windows Vista y versionesposteriores.

El Firewall de Windows es compatible con reglas de salida.

El reconocimiento de la red puede determinar automáticamente su perfil de firewall.

Hoy en día, la configuración de firewall y la configuración de IPsec están integradas.

Las contraseñas de personalización avanzada permiten que diferentes usuarios o grupos globales cuenten condiversas directivas de cuenta.

Las directivas de personalización avanzada no se entregan a través de Directiva de grupo.

Se deben crear directivas de personalización avanzada usando Edición de ADSI o LDIFDE.

Tanto la pertenencia a grupos locales como a grupos de dominio pueden controlarse a través de Directiva degrupo.

El acceso a software puede controlarse mediante Directiva de grupo.

Los administradores locales pueden estar exentos de las restricciones de software.

Existen cuatro tipos de reglas para controlar el acceso a software.

Las plantillas de seguridad pueden usarse para brindar un conjunto consistente de configuraciones deseguridad.

El Asistente para configuración de seguridad puede usarse a modo de ayuda para crear directivas deseguridad.

Las preferencias pueden reemplazar muchas de las funciones de los scripts de inicio de sesión.

Las preferencias se aplican una vez, pero no son obligatorias y los usuarios pueden modificarlas.

Las preferencias pueden establecerse para ser actualizadas con la misma regularidad que Directiva de grupo.

Las preferencias pueden tener objetos como destino.


Desea implementar una directiva de restricción de software en un nuevo tipo de archivo ejecutable. ¿Qué debehacer antes de poder crear una regla para dicho código ejecutable?

1.

¿Qué valor se debe configurar para garantizar que los usuarios sólo cuenten con tres intentos de inicio desesión inválidos?

2.

Desea brindar una configuración de seguridad consistente para todos los equipos cliente en la organización.Las cuentas de equipo están distribuidas en múltiples unidades organizativas. ¿Cuál es la mejor manera debrindarlo?

3.

Un administrador de su organización ha modificado accidentalmente la Directiva predeterminada decontroladores de dominio. Se necesita restaurar la directiva a su configuración predeterminada original. ¿Cómose lograría esto?

4.

Modulo 8 : Implementación de un plan de supervisión de Servicios dedominio de Active Directory

Módulo 8

Implementación de un plan de supervisión de Servicios de dominio deActive Directory

Para controlar y administrar el sistema operativo de una organización, es importante comprender las herramientas quepueden usarse para supervisar el mantenimiento del sistema. Al usar herramientas como Visor de eventos, Monitor deconfiabilidad y rendimiento y las directivas de auditoría podrá anticiparse a los problemas y administrar los eventos decada día.

Lección 1: Supervisión de AD DS usando Visor de eventosLección 2: Supervisión de los Servidores de dominio de Active Directory usando el Monitor de confiabilidad yrendimientoLección 3: Configuración de la auditoría de AD DSLaboratorio: Supervisión de AD DS

Lección 1: Supervisión de AD DS usando Visor de eventos

Lección 1:

Supervisar Servicios de dominio de Active Directory usando Visor deeventos

La supervisión del rendimiento del servidor es una parte importante del mantenimiento y la administración de unsistema operativo. Visor de eventos es una aplicación que le permite examinar, administrar y supervisar los eventosregistrados en los registros de eventos.

Características de Visor de eventos

Características de Visor de eventos

Puntos clave

Visor de eventos es uno de los primeros lugares a los que debe recurrir para solucionar problemas de Microsoft

Windows. Se incorporaron una serie de nuevas características en Visor de eventos para Windows Vista® y Windows

Server®°2008.

Visor de eventos se ha vuelto a escribir por completo con una nueva interfaz de usuario que facilita el filtrado y laordenación de eventos, además de controlar qué eventos se registran. También es posible realizar ciertas tareasbásicas de diagnóstico desde Visor de eventos. Visor de eventos, además, brinda varios nuevos archivos de registros.


Artículo de Microsoft Technet: Visor de eventos

Artículo de Microsoft Technet: Online Event Information (Información de eventos en línea)

Demostración: Descripción general de Visor de eventos

Demostración: Descripción general de Visor de eventos

Pregunta: Existe un problema con Directiva de grupo. ¿Qué registro debe consultar para conocer los eventosdetallados de Directiva de grupo?

Registros de AD DS

Registros de AD DS

Puntos clave

Los Registros de aplicaciones y del sistema aún brindan información general y eventos de registro de varias áreas,aunque Visor de eventos también ofrece en la actualidad una amplia gama de registros de aplicaciones y servicios.Estos registros pueden brindar información detallada sobre Servicios de dominio de Active Directory (AD DS) y otrosservicios como Directiva de grupos, los archivos sin conexión, el cliente de Windows Update, entre varios otros.

¿Qué son las Vistas personalizadas?

¿Qué son las Vistas personalizadas?

Puntos clave

Las Vistas personalizadas son filtros que reciben un nombre y se guardan. Después de crear y guardar una vistapersonalizada, podrá volver a usarla sin crear nuevamente su filtro subyacente. Para volver a usar una vistapersonalizada, navegue hasta la categoría Vistas personalizadas en el árbol de consola y seleccione el nombre de lavista personalizada. Al seleccionar la vista personalizada, se aplica el filtro subyacente y se muestran los resultados. Esposible importar y exportar las vistas personalizadas, lo que le permitirá compartirlas entre los usuarios y equipos.


Artículo de Microsoft Technet: Crear una Vista personalizada

¿Qué son las suscripciones?

¿Qué son las suscripciones?

Puntos clave

Visor de eventos le permite ver los eventos en un único equipo remoto. Sin embargo, la solución de un problemapuede requerir el análisis de un conjunto de eventos almacenados en varios registros de diferentes equipos. Visor deeventos permite recopilar las copias de eventos desde varios equipos remotos y almacenarlas localmente. Paraespecificar los eventos que se desean recopilar, debe crear una suscripción de eventos. Una vez que la suscripciónestá activa y se recopilan los eventos, es posible ver y controlar los eventos reenviados como lo haría con cualquierevento almacenado localmente.

Pregunta: ¿Cuándo sería más útil aplicar las suscripciones en su organización?


Artículo de Microsoft Technet: Event Subscriptions (Suscripciones de eventos)

Artículo de Microsoft Technet: Configurar Equipos para reenviar y recopilar eventos

Demostración: Configuración de Vistas personalizadas y Suscripciones

Demostración: Configuración de Vistas personalizadas y Suscripciones

Pregunta: Desea supervisar un grupo determinado de eventos a través de múltiples servidores web. ¿Cuál es lamejor manera de lograrlo?

Lección 2: Supervisión de los Servidores de dominio de Active Directoryusando el Monitor de confiabilidad y rendimiento

Lección 2:

Supervisión de Servidores de dominio de Active Directory usandoMonitor de confiabilidad y rendimiento

Por lo general, el rendimiento es la medida de velocidad con la que un equipo finaliza las tareas del sistema y lasaplicaciones. Es posible usar la supervisión de rendimiento para realizar un seguimiento de ciertos procesos y mostrarlos resultados. También se puede usar la supervisión de rendimiento a modo de ayuda para optimizar la planeación,rastrear procesos que necesitan optimizarse y comprender las cargas de trabajo y sus efectos en el uso de recursos afin de identificar los cuellos de botella. El rendimiento total del sistema debe estar limitado por la velocidad de accesoa los discos duros físicos, la cantidad de memoria disponible, la velocidad del procesador o la capacidad detransferencia de las interfaces de red.

Características de Monitor de confiabilidad y rendimiento

Características de Monitor de confiabilidad y rendimiento

Puntos clave

Monitor de confiabilidad y rendimiento de Windows le permite realizar un seguimiento del impacto de rendimiento delas aplicaciones y los servicios, además de generar alertas o acciones cuando se exceden los umbrales definidos porel usuario para un rendimiento óptimo. Monitor de confiabilidad y rendimiento de Windows presenta las característicasque se describen a continuación.

Vista de recursos

Monitor de confiabilidad

Conjuntos de recopiladores de datos

Realizar un seguimiento del rendimiento de aplicaciones y servicios

Asistentes y plantillas para crear registros

Generar alertas y acciones al alcanzar los umbrales

Generar informes

Acceso a Monitor de confiabilidad y rendimiento


Artículo de Microsoft Technet: Monitor de confiabilidad y rendimiento de Windows

Demostración: Descripción general de Monitor de confiabilidad yrendimiento

Demostración: Descripción general de Monitor de confiabilidad y rendimiento

Pregunta: ¿Dónde puede encontrar información en tiempo real sobre la actividad de la red?

Supervisión de AD DS usando Monitor de rendimiento

Supervisión de AD DS usando Monitor de rendimiento

Puntos clave

Supervisar el servicio distribuido de AD DS y los servicios que lo respaldan ayuda a mantener la consistencia de losdatos del directorio y el nivel necesario del servicio en todo el bosque. Se pueden supervisar indicadores importantespara descubrir y resolver problemas menores antes de que se conviertan en potenciales interrupciones prolongadasdel servicio.

Además de los contadores de la línea de base normales que supervisa para todos los servidores, hay objetos ydecenas de contadores que son específicos para AD DS.


Artículo de Microsoft Technet: Monitoring Active Directory (Supervisión de Active Directory)

¿Qué es una Línea de base de Active Directory?

¿Qué es una Línea de base de Active Directory?

Puntos clave

Una línea de base del equipo es una medida del comportamiento especificado de los recursos durante la actividadnormal, que indica cómo funciona el recurso o una colección de recursos del sistema. Luego, esta información secompara con la actividad posterior a fin de supervisar el uso y la respuesta del sistema frente a las condicionesaleatorias.


Artículo de Microsoft Technet: Deploying Active Directory for Branch Office Environments, Chapter 9 - PostDeployment Monitoring of Domain Controllers (Implementar Active Directory para entornos de sucursales,Capítulo 9: Supervisión posterior a la implementación de controladores de dominio)

Supervisión de la disponibilidad del servicio con Monitor de confiabilidad

Supervisión de la disponibilidad del servicio con Monitor de confiabilidad

Puntos clave

La confiabilidad de un sistema es la medida que analiza la frecuencia con la que el sistema se aparta delcomportamiento configurado y esperado. Monitor de confiabilidad calcula el Índice de estabilidad del sistema, querefleja si los problemas inesperados redujeron la confiabilidad del sistema. Un gráfico del Índice de estabilidad a travésdel tiempo identifica con rapidez las fechas en las que comenzaron a ocurrir problemas.

Pregunta: Desea consultar un registro histórico de software que ha sido agregado o eliminado del equipo. ¿Dóndebuscaría esa información?


Artículo de Microsoft Technet: Guía paso a paso de supervisión del rendimiento y la confiabilidad de WindowsVista

Supervisión de Servicios de dominio de Active Directory usando losConjuntos de recopiladores de datos

Supervisión de Servicios de dominio de Active Directory usando los Conjuntos de recopiladoresde datos

Puntos clave

Una nueva característica incluida en Monitor de confiabilidad y rendimiento de Windows es el Conjunto derecopiladores de datos, que agrupa a los recopiladores de datos en elementos reutilizables que se ajustan a diversosescenarios de supervisión de rendimiento.

Pregunta: Desea crear una alerta que le notifique cuando el espacio disponible en disco sea reducido. ¿Cómo lacrearía?


Artículo de Microsoft Technet: Creación de conjuntos de recopiladores de datos

Demostración: Supervisión de AD DS

Demostración: Supervisión de AD DS

Pregunta: ¿Cuál es la manera más fácil de registrar el mismo conjunto de datos en varios equipos?

Lección 3: Configuración de la auditoría de AD DS

Lección 3:

Configuración de la Auditora de Servicios de dominio de ActiveDirectory

En los entornos seguros es necesario supervisar AD DS de modo activo. Como parte de la estrategia de seguridadglobal, se debe determinar el nivel de auditoría adecuado para el entorno. La auditoría debe identificar las acciones, yasean correctas o no, que han modificado o intentado modificar los objetos de Active Directory.

¿Qué es la Auditoría de AD DS?

¿Qué es la Auditoría de AD DS?

Puntos clave

Un registro de auditoría registra una entrada cada vez que los usuarios realizan determinadas acciones. Por ejemplo, lamodificación de un objeto o una directiva puede generar una entrada de auditoría que muestre la acción realizada, lacuenta de usuario asociada y la fecha y hora de la acción. Es posible auditar tanto los intentos satisfactorios como nosatisfactorios de realizar acciones.

Antes de implementar la directiva de auditoría, debe determinar qué categorías de eventos desea editar. Laconfiguración de auditoría que seleccione para las categorías de eventos definirá su directiva de auditoría. En losservidores miembros y las estaciones de trabajo que se unen a un dominio, la configuración de auditoría para lascategorías de eventos no está definida de manera predeterminada. En los controladores de dominio, algunas tareasde auditoría se activan de manera predeterminada.


Artículo de Microsoft Technet: Windows Server "Longhorn" Beta 3 Auditing AD DS Changes Step-by-StepGuide (Guía paso a paso de cambios de auditoría de AD DS “Longhorn” Beta 3 de Windows Server)

Soporte técnico de Microsoft: Cómo usar la Directiva de grupo para establecer la configuración de auditoría deseguridad en detalle para los equipos con Windows Vista y Windows Server 2008 en un dominio de WindowsServer 2008, en un dominio de Windows Server 2003 y en un dominio de Windows 2000

Artículo de Microsoft Technet: Conjunto de Auditpol

Demostración: Configuración de Directiva de auditoría

Demostración: Configuración de Directiva de auditoría

Pregunta: ¿Qué registros muestran los resultados de la auditoría?

Tipos de eventos para auditar

Tipos de eventos para auditar

Puntos clave

Aunque la categoría Acceso del servicio de directorio aún ofrece información acerca de todos los eventos deldirectorio y está habilitada de manera predeterminada, puede obtenerse información más detallada en lassubcategorías.

Pregunta: Desea realizar un seguimiento de los detalles relacionados con las modificaciones realizadas a los objetosde Active Directory para una unidad organizativa (OU) determinada y las unidades organizativas secundarias. ¿Quéentrada de control de acceso (ACE) deberá configurar para capturar esa información?


Artículo de Microsoft Technet: Guía paso a paso sobre la auditoría de cambios en AD DS en Windows Server2008

Demostración: Configuración de la Auditoría de AD DS

Demostración: Configuración de la Auditoría de AD DS

Pregunta: ¿Cómo habilitaría el seguimiento de los eventos de error para la subcategoría de cambio de servicio dedirectorio?

Laboratorio: Supervisión de AD DS

Laboratorio: Supervisión de AD DS

Escenario

Woodgrove Bank ha finalizado la instalación de AD DS. Como administrador de AD DS, debe supervisar ladisponibilidad y el rendimiento de AD DS. El administrador del servidor brindó un plan de supervisión que incluye ladisponibilidad y el rendimiento del servicio, además de los componentes de supervisión del registro de eventos. Alusar Supervisión de confiabilidad y rendimiento, Visor de eventos y otras herramientas, supervisará los controladoresde dominio de AD DS.

Ejercicio 1: Supervisión de AD DS usando Visor de eventos

Ejercicio 1: Supervisión de AD DS usando Visor de eventos

Como administrador de red, desea recopilar información de Visor de eventos del servicio de directorio de todos loscontroladores de dominio. Creará una vista personalizada para capturar los eventos Error crítico, Error y Advertenciapara AD DS y el servidor DNS. Luego, exportará la vista a una carpeta de red compartida e importará la vistapersonalizada a NYC-DC2. Además, desea supervisar cuándo los servicios se detienen y comienzan en NYC-DC2.Creará una suscripción para reenviar el evento 7036 de NYC-DC2 a NYC-DC1 y luego comprobará el resultado.Finalmente, adjuntará una tarea a un registro del programa de instalación de Windows para recibir una notificación cadavez que se genera un evento en el registro de instalación en NYC-DC1 a fin de que pueda realizar un seguimiento delas instalaciones de la aplicación. Además, adjuntará una tarea al evento 7036 que le informará sobre los problemasexistentes con los servicios.



Crear una vista personalizada para capturar los eventos relevantes.2.

Exportar una vista personalizada.3.

Importar una vista personalizada.4.

Configurar equipos para reenviar y recopilar eventos.5.

Crear una suscripción para reenviar eventos de NYC-DC2 a NYC-DC1.6.

Adjuntar una tarea a un registro de eventos y a un evento.7.



1.



Inicie sesión en NYC- DC1 como Administrador usando la contraseña Pa$$w0rd.4.

Inicie sesión en NYC-DC2 como Administrador usando la contraseña Pa$$w0rd.5.


Tarea 2: Crear una vista personalizada para capturar los eventos relevantes

En NYC-DC1, inicie la sesión como Administrador usando la contraseña Pa$$w0rd.1.

Inicie Visor de eventos desde la carpeta Herramientas administrativas.2.

Haga clic con el botón secundario en Personalizar vistas y luego haga clic en Crear vista personalizada.3.

Seleccione la casilla junto a Crítico, Advertencia y Error.4.

Haga clic en la flecha desplegable junto a Registros de eventos, expanda Aplicación y registros deservicios, seleccione Servicio de directorio y Servidor DNS y luego haga clic en Aceptar.

5.

Denomine la vista personalizada Servicio de directorio.6.

Tarea 3: Exportar una vista personalizada

Haga clic con el botón secundario en la vista personalizada Servicio de directorio y luego haga clic enExportar vista personalizada.

1.

Guarde la vista exportada como C:\Datos\ Active Directory.2.

Tarea 4: Hacer clic con el botón secundario en Vistas personalizadas y luego hacer clic en Crear una vista personalizada


Inicie Visor de eventos desde la carpeta Herramientas administrativas.2.

Haga clic con el botón secundario en Vistas personalizadas y luego haga clic en Importar vistapersonalizada.

3.

Importe la vista personalizada desde \\NYC-DC1\Datos\Active Directory.xml.4.

Tarea 5: Configurar equipos para reenviar y recopilar eventos

En NYC-DC1 (el equipo recopilador), abra Línea de comandos, escriba wecutil qc e Y y luego presioneENTER para realizar los cambios.

1.

Cierre el símbolo del sistema.2.

Cambie a NYC-DC2 (el equipo de origen).3.

Abra Línea de comandos, escriba winrm configrápida e Y y luego presione ENTER para realizar loscambios.

4.


Tarea 6: Crear una suscripción para reenviar eventos de NYC-DC2 a NYC-DC1

En NYC-DC1, en Visor de eventos, haga clic con el botón secundario en Subscripciones y luego haga clicen Crear Subscripción.

1.

Escriba el nombre de la suscripción Servicio de eventos, haga clic en Colector Iniciado y luego haga clic enSeleccionar equipos.

2.

Haga clic en Agregar dominio de equipos y luego agregue NYC-DC2.3.

Haga clic en Seleccionar eventos y luego seleccione los eventos Información.4.

Haga clic en la flecha desplegable junto a Registros de eventos, expanda Registros de Windows y luegoseleccione el registro Sistema.

5.

En el campo ID del evento, escriba 7036 y luego haga clic en Aceptar.6.

Haga clic en Avanzado, luego en Usuario específico y finalmente en Usuario y contraseña.7.

Asegúrese de que el nombre de usuario sea Woodgrovebank\Administrador y luego escriba la contraseñaPa$$w0rd.

8.

Haga clic en Minimizar latencia y luego en Aceptar dos veces. Haga clic en Sí en caso de que aparezcan losmensajes de Visor de eventos.

9.

En el panel de la carpeta, haga clic en la carpeta Subscripciones y asegúrese de que el estado de lasuscripción Eventos de servicio sea Activo.

10.

En NYC-DC2, abra Símbolo del sistema.11.

En Símbolo del sistema, escriba net stop dns y luego presione ENTER.12.

Escriba Inicio net de DNS y luego presione ENTER.13.

En NYC-DC1, haga clic en el registro Eventos reenviados. Examine los eventos de información.14.

Nota: Es posible que los eventos reales demoren unos minutos en aparecer en el registro Eventos reenviados. Iniciey detenga el servicio DNS nuevamente si resulta necesario.

Tarea 7: Adjuntar una tarea a un registro de eventos y a un evento

En NYC-DC1, expanda Registros de Windows, haga clic con el botón secundario en el registro Instalación yluego haga clic en Adjuntar una tarea a este registro.

1.

En Crear un asistente básico de tarea, haga clic en Siguiente.2.

En la ventana Cuando se registra un evento específico, haga clic en Siguiente.3.

En la ventana Acción, haga clic en Enviar un e-mail y luego en Siguiente.4.

En la ventana Enviar un e-mail, escriba Visor de eventos en el campo De.5.

Escriba [email protected] en el campo A.6.

Escriba Instalación de la aplicación en el campo Asunto.7.

Escriba Mail.Woodgrovebank.com en el campo Servidor SMTP, haga clic en Siguiente y luego enFinalizar. Haga clic en Aceptar.

8.

Haga clic en el registro Eventos reenviados para abrirlo.9.

Haga clic con el botón secundario en uno de los eventos 7036 y luego haga clic en Adjuntar tarea a esteevento.

10.

En la pantalla Crear una tarea básica, haga clic en Siguiente.11.

En la pantalla Cuando se registra un evento específico, haga clic en Siguiente.12.

En la pantalla Acción, haga clic en Mostrar un mensaje y luego en Siguiente.13.

En la pantalla Mostrar un mensaje, escriba Evento de servicio en el campo Título, escriba Serviciodetenido o iniciado en el campo Mensaje, haga clic en Siguiente, luego en Finalizar y finalmente haga clicen Aceptar para reconocer el mensaje de Visor de eventos.

14.

Cambie a NYC-DC2 y repita los pasos para detener e iniciar el servicio DNS.15.

Cuando aparece el cuadro de mensaje mostrando el mensaje, haga clic en Aceptar para reconocer el mensaje.16.

Nota: Es posible que el cuadro de mensaje esté oculto detrás de la ventana Visor de eventos. Búsquelo en la Barrade tareas.

Cierre todas las ventanas.17.

Resultado: Al finalizar este ejercicio, habrá supervisado AD DS usando Visor de eventos.


Ejercicio 2: Supervisión de AD DS usando el Monitor de confiabilidad yrendimiento

Ejercicio 2: Supervisión de AD DS usando el Monitor de confiabilidad y rendimiento

Como administrador de red, podrá configurar Monitor de confiabilidad y rendimiento para supervisar algunos de loscontadores de servicio del directorio. Además, creará Conjuntos de recopiladores de datos, supervisará el rendimientodel servidor usando Monitor de rendimiento y configurará una alerta que se activará cuando el espacio disponible endisco sea reducido.

Las principales tareas para estos ejercicios son:

Configurar Monitor de confiabilidad y rendimiento para supervisar AD DS.1.

Crear un conjunto de recopiladores de datos.2.

Tarea 1: Configurar Monitor de confiabilidad y rendimiento para supervisar AD DS

En NYC-DC1, abra el Monitor de rendimiento y confiabilidad en Herramientas administrativas y luego hagaclic en Monitor de rendimiento.

1.

Haga clic en el signo verde Más de la barra de herramientas para agregar objetos y contadores.2.

En el cuadro de diálogo Agregar contadores, expanda el objeto Servicios de directorio y luego agregue elcontador DRA Total de bytes de entrada/sec.

3.

Repita el paso anterior para agregar los siguientes contadores:4.

Bytes Totales DRA de salida/seg.5.

DS Subprocesos en uso6.

DS Directory lee/seg.7.

DS Directory escribe/seg.8.

Expanda Estadísticas de seguridad para todo el sistema y luego agregue el contador de AutenticacionesKerberos.

9.

Expanda DNS y luego agregue el contador UDP Query received.10.

Tarea 2: Crear un conjunto de recopiladores de datos

En el panel de la carpeta, haga clic con el botón secundario en Monitor de rendimiento, haga clic en Nuevo yluego en Conjunto de Recopiladores de datos

1.

Asigne el nombre Active Directory al conjunto de recopiladores de datos.2.

Deje el directorio Raíz como la ruta predeterminada y luego haga clic en Finalizar.3.

Expanda Conjunto de Recopiladores de datos, luego expanda Definido por el Usuario, haga clic con elbotón secundario en Active Directory y luego presione Iniciar.

4.

Expanda Informes, luego Definido por el Usuario, después Active Directory y, finalmente, haga clic enMonitor de registro del sistema.blg. El estado del informe muestra que el registro está recopilando datos.

5.

Haga clic con el botón secundario en el conjunto de recopiladores de datos de Active Directory y luego hagaclic en Detener.

6.

Haga clic en Monitor de registro del sistema.blg. El gráfico del registro se muestra en el panel de detalles.7.

Resultado: Al finalizar este ejercicio, habrá supervisado AD DS usando Monitor de confiabilidad yrendimiento.


Ejercicio 3: Configuración de la auditoría de AD DS

Ejercicio 3: Configuración de la auditoría de AD DS

Como administrador de red, se le asignó la tarea de implementar una directiva de auditoría para realizar un seguimientode los eventos específicos que suceden en AD DS. Primero, deberá analizar el estado actual de la directiva deauditoría. Luego, deberá configurar la auditoría a fin de realizar un seguimiento de las modificaciones correctas oincorrectas que se realizaron a los objetos de Active Directory, incluyendo los valores de atributos nuevos y anteriores.Finalmente, probará la directiva.


Examinar el estado actual de la directiva de auditoría.1.

Habilitar el Acceso del servicio de directorio de auditoría en los controladores de dominio.2.

Configurar la SACL para el dominio.3.

Probar la directiva.4.


Tarea 1: Examinar el estado actual de la directiva de auditoría

En NYC-DC1, abra Símbolo del sistema.1.

En la ventana del símbolo del sistema, escriba Auditpol.exe /get /category:* y luego presione ENTER.Analice la configuración predeterminada de la directiva de auditoría.

2.

Minimice el símbolo del sistema.3.

Tarea 2: Habilitar el Acceso del servicio de directorio de auditoría en los controladores de dominio

En NYC-DC1, abra Administración de directiva de grupo.1.

Abra la carpeta Objetos de directivas de grupo y luego edite la Directiva de controladores de dominiopredeterminado.

2.

Expanda Configuración del equipo, luego Configuración de Windows, después Configuración deseguridad, expanda Directivas locales y luego haga clic en Directiva de auditoría. Tenga en cuenta quetodos los valores de la directiva están configurados como No esta definido.

3.

Haga doble clic en Auditar el acceso al servicio de directorio, defina la configuración de la directiva paraÉxito y error y luego haga clic en Aceptar.

4.

Cierre el Editor de administración de directivas de grupo y luego cierre la consola Administración dedirectiva de grupo.

5.

Restaure Símbolo del sistema y luego escriba gpupdate6.

Una vez finalizada la actualización, vuelva a ejecutar el comando Auditpol.exe /get /category* y luego examinela configuración predeterminada de la directiva de auditoría.

7.


Tarea 3: Configurar la SACL para el dominio


Haga clic en el menú Ver y luego en Características avanzadas.2.

Haga clic con el botón secundario en el objeto woodgrovebank.com dominio y luego haga clic enPropiedades.

3.

En el cuadro de diálogo Propiedades, haga clic en la ficha Seguridad, luego en Oopciones Avanzadas,haga clic en la ficha Auditoria y luego en Agregar.

4.

En el cuadro de diálogo Seleccionar usuarios, escriba Todos y luego haga clic en Aceptar.5.

En el cuadro de diálogo Entrada de auditoría para Woodgrovebank, seleccione la casilla para auditar Éxito yerror al escribir todas las propiedades y luego haga clic en Aceptar dos veces.

6.

Tarea 4: Probar la directiva

Cambie el nombre de la unidad organizativa Toronto por GTA.1.

Abra Visor de eventos, expanda Registros de Windows y luego haga clic en Seguridad.2.

Abra el evento 4662 y examine el evento.3.

Vuelva a Usuarios y equipos de Active Directory y edite las cuentas de usuario para cambiar el número deteléfono.

4.

Vuelva a Visores de eventos y analice los eventos de cambios resultantes del servicio de directorio.5.

Cierre todas las ventanas.6.

Apague todas las máquinas virtuales sin guardar los cambios.7.


Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto de máquina virtual.1.



Resultado: Al finalizar este ejercicio, habrá configurado la Auditoría de AD DS.





¿Qué tipos de eventos se registran en el registro Instalación?1.

¿Para qué identificador de eventos aplicaría un filtro a fin de ver las cuentas de usuario eliminadas?2.

¿Qué servicio debe habilitar en los equipos que recopilan eventos de suscripción de equipos remotos?3.

¿Dónde puede encontrar información actualizada acerca de los identificadores de eventos?4.

¿Dónde puede encontrar información histórica acerca de los errores de la aplicación?5.

El contador NTDS/N° de sincronizaciones de duplicación DRA pendientes es actualmente superior al valorbásico establecido para el contador. ¿Qué podría indicar esto?

6.

Desea ver todas las repeticiones de un identificador de eventos determinado en varios registros. ¿Cuál es lamejor manera de lograrlo?

7.

Observaciones para implementar el Plan de supervisión de AD DS

Tenga en cuenta lo siguiente cuando desee implementar un plan de supervisión de AD DS:

Visor de eventos permite guardar los filtros como vistas personalizadas reutilizables.

Las consultas entre registros le permiten visualizar los datos de varios registros en una vista única.

Las suscripciones le permiten reunir eventos de equipos remotos.

Los Registros de aplicaciones y servicios ofrecen registros más detallados que corresponden a serviciosespecíficos de Windows.

Los registros de eventos en línea brindan información actualizada acerca de los eventos.

Los registros de aplicaciones y servicios incluyen los registros operativos, analíticos, de administración y dedepuración.

Se creará un registro para cada función del servidor que instale.

Es posible importar y exportar las vistas personalizadas.

Las suscripciones requieren configuración tanto en los equipos de recopilación como en los equipos de origen.

Monitor de confiabilidad y rendimiento de Windows brinda información en tiempo real en la vista de recursos.

Monitor de confiabilidad brinda gráfico de la estabilidad del sistema a través del tiempo.

Es posible generar informes fáciles de usar.

Monitor de rendimiento ofrece una amplia gama de objetos y contadores de AD DS.

Debe establecer líneas de base a fin de determinar el rendimiento de un equipo durante una carga de trabajonormal.

Informe de estabilidad del sistema realiza un seguimiento de varias categorías de eventos y desarrolla unregistro histórico.

Conjuntos de recopiladores de datos le permite agrupar recopiladores de datos en elementos reutilizables.

Hay varios Conjuntos de recopiladores de datos integrados, aunque también puede definir el suyo.

La auditoría de AD DS puede realizar un seguimiento de todos los eventos que ocurren en AD DS.

El Acceso del servicio de directorio de auditoría está dividido en cuatro subcategorías.

La subcategoría Cambios de servicio del directorio ofrece los valores nuevos y anteriores al modificar losatributos.

Debe utilizar Auditpol.exe para configurar las subcategorías.

Las SACL deben establecerse en los objetos para permitir la auditoría antes de recopilar los resultados.

La subcategoría Cambios de servicio del directorio ofrece los valores nuevos y anteriores al modificar losatributos.

Debe utilizar Auditpol.exe para configurar las subcategorías.

Las SACL deben establecerse en los objetos para permitir la auditoría antes de recopilar los resultados.

Modulo 9 : Implementación de un plan de mantenimiento de Servicios dedominio de Active Directory

Módulo 9

Implementación de un plan de mantenimiento de Servicios de dominiode Active Directory

Como administrador de Windows Server®°2008, una de las tareas que deberá realizar es el mantenimiento de loscontroladores de dominio de Servicios de dominio de Active Directory® (AD DS) de la organización. Un componenteimportante para el mantenimiento de los controladores de dominio es administrar, hacer copias de seguridad yrestaurar el almacén de datos de AD DS.

Lección 1: Mantenimiento de los controladores de dominio de AD DSLección 2: Copias de seguridad de Servicios de dominio de Active DirectoryLección 3: Restauración de AD DSLaboratorio: Implementación de un plan de mantenimiento de AD DS

Lección 1: Mantenimiento de los controladores de dominio de AD DS

Lección 1:

Mantenimiento de los controladores de dominio de AD DS

El mantenimiento de la base de datos de AD DS es una tarea administrativa importante que se debe programarregularmente para garantizar que, ante un desastre, se puedan recuperar los datos perdidos o dañados y reparar labase de datos de AD DS.

AD DS cuenta con su propio motor de base de datos, el Motor de almacenamiento extensible (ESE), que administra elalmacenamiento de todos los objetos de AD DS en una base de datos de AD DS. Al comprender cómo se escribenen la base de datos los cambios realizados a los atributos de AD DS, también se comprenderá cómo la modificaciónde los datos afecta el rendimiento y la fragmentación de la base de datos y la integridad de los datos.

Base de datos y archivos de registro de AD DS

Base de datos y archivos de registro de AD DS

Puntos clave

El motor de base de datos de AD DS, ESE, almacena todos los objetos de AD DS. El ESE usa transacciones yarchivos de registro para asegurar la integridad de la base de datos de AD DS.


Artículo de Microsoft Technet: How the Data Store Works (Cómo funciona el almacén de datos)

Cómo se modifica la base de datos de AD DS

Cómo se modifica la base de datos de AD DS

Puntos clave

Los puntos clave en el proceso de modificación de datos de AD DS son los siguientes:

Una transacción es un conjunto de cambios realizados a la base de datos de AD DS y a los metadatosasociados.

El proceso básico de modificación de datos consta de 6 pasos:

La solicitud de escritura da inicio a una transacción.1.

AD DS escribe la transacción en el búfer de transacciones de la memoria.2.

AD DS escribe la transacción en el registro de transacciones.3.

AD DS escribe la transacción en la base de datos desde el búfer de memoria.4.

AD DS compara los archivos de la base de datos y los archivos de registro para asegurarse de que latransacción se haya guardado en la base de datos.

5.

AD DS actualiza el archivo de punto de control.6.

El hecho de contar con una memoria caché y un registro le permite a AD DS procesar transaccionesadicionales antes de escribirlas en la base de datos, mejorando así el rendimiento de la base de datos.

Preguntas:

¿Qué otros servicios de Microsoft usan un modelo transaccional para realizar cambios en la base de datos?

¿Cómo se compara el modelo de AD DS con estos otros servicios?


Artículo de Microsoft Technet: How the Data Store Works (Cómo funciona el almacén de datos)

Administración de la base de datos de Active Directory usando laherramienta NTDSUtil

Administración de la base de datos de Active Directory usando la herramienta NTDSUtil

Puntos clave

Ntdsutil.exe es una herramienta de línea de comandos que se puede usar para administrar AD DS. Se pueden realizarmuchas tareas de mantenimiento que no pueden hacerse en la interfaz gráfica de usuario (GUI), incluso desfragmentarla base de datos sin conexión, mover la base de datos y su registro de transacciones, quitar y restaurar los objetoseliminados de AD DS, asumir las funciones del maestro de operaciones (también denominado Flexible Single MasterOperations; FSMO) y administrar las instantáneas de la base de datos. También se pueden incluir estos comandos enun archivo por lotes.

Pregunta: Ha olvidado la contraseña de modo de restauración de servicios de directorio para su controlador dedominio. ¿De qué manera puede recuperar la contraseña?


NTDSUtil Help (Ayuda para la herramienta NTDSUtil)

Data Store Tools and Settings (Herramientas y configuración del almacén de datos)

¿Qué es la desfragmentación de la base de datos de AD DS?

¿Qué es la desfragmentación de la base de datos de AD DS?

Puntos clave

Con el tiempo, se produce la fragmentación a medida que los registros se eliminan de la base de datos de AD DS y seagregan o se expanden nuevos registros. Cuando se fragmentan los registros, el equipo debe buscar en el disco paraencontrar y reensamblar todas las partes cada vez que se abre la base de datos. Si se realizan muchos cambios en labase de datos de AD DS, la fragmentación podría reducir su rendimiento.

Pregunta: ¿Con cuánta frecuencia deberá realizar una desfragmentación sin conexión de las bases de datos de AD DSen su entorno?


Performing offline defragmentation of the AD DS database (Realizar la desfragmentación sin conexión de labase de datos de AD DS)

Data Store Tools and Settings (Herramientas y configuración del almacén de datos)

¿Qué son los Servicios de dominio de Active Directory reiniciables?

¿Qué son los Servicios de dominio de Active Directory reiniciables?

Puntos clave

En Windows Server 2008, AD DS puede ser detenido y reiniciado mientras que la máquina se inicia. En las versionesanteriores, si un administrador deseaba iniciar un controlador de dominio sin cargar AD DS, el servidor debía serreiniciado en Modo de restauración de Active Directory. Esto iniciaba el servidor como un servidor independiente, sinAD DS. Luego se podían realizar tareas de mantenimiento sin conexión, como una desfragmentación sin conexión, omover la base de datos y archivos de registro. Con Windows Server 2008, el servicio de directorio puede serdesconectado mientras la máquina se está ejecutando, causando sólo una mínima interrupción en los demás servicios.


AD DS: Servicios de dominio de AD DS reiniciables

Biblioteca técnica de Windows Server 2008

Demostración: Tareas de mantenimiento de la base de datos de AD DS

Demostración: Tareas de mantenimiento de la base de datos de AD DS

Pasos de demostración

Para realizar estos pasos se debe ser miembro del grupo integrado Administradores en el controlador de dominio.

Detener AD DS.1.

Abrir un símbolo del sistema.2.

Iniciar ntdsutil.3.

En el símbolo de ntdsutil: escribir Activate Instance NTDSy luego presionar ENTER.4.

En el símbolo de ntdsutil: escribir files y luego presionar ENTER.5.

Compactar la base de datos usando un directorio temporal para el nuevo ntds.dit.6.

Sobrescribir el ntds.dit anterior con la versión nueva compactada y eliminar cualquier archivo de registro (*.log)en la carpeta %raíz del sistema (systemroot)%\NTDS\.

7.

En la ventana del comando Mantenimiento de archivo de ntdsutil, escribir Integrity para comprobar la integridadde la nueva base de datos compactada.

8.

En la ventana del comando Mantenimiento de archivo, escribir mover db a nombre de ruta y luego presionarENTER. El archivo ntds.dit se moverá a la nueva ubicación y se establecerán los permisos en consecuencia.

9.

Iniciar AD DS.10.

Preguntas:

¿Por qué es necesario detener AD DS antes de desfragmentar?

¿Por qué es necesario compactar primero la base de datos en un directorio temporal?


Compact the directory database file (offline defragmentation) ((Compactar el archivo de directorio de la base dedatos (desfragmentación sin conexión))

Bloqueo de servicios en los controladores de dominio de AD DS

Bloqueo de servicios en los controladores de dominio de AD DS

Puntos clave

Como parte de un amplio plan de seguridad, se puede incrementar la seguridad de un controlador de dominioeliminando todos los servicios y características innecesarios. Esto minimiza la superficie de ataque y mejora elrendimiento.


Security Configuration Wizard Overview (Descripción general del Asistente para configuración de seguridad)

Lección 2: Copias de seguridad de Servicios de dominio de ActiveDirectory

Lección 2:

Copia de seguridad de Servicios de dominio de Active Directory

Debido a la importancia que tiene AD DS para la mayoría de las organizaciones, es importante poder restaurar lafuncionalidad de AD DS en caso de daños en la base de datos, errores del servidor o un desastre mucho mayor, comoel error de un centro de datos que contiene múltiples servidores. Para prepararse para la recuperación ante desastresse debe implementar una directiva consistente para hacer una copia de seguridad de la información de AD DS que seencuentra en los controladores de dominio.

Introducción a la copia de seguridad de AD DS

Introducción a la copia de seguridad de AD DS

Puntos clave

Puede usar Copias de seguridad de Windows Server para hacer una copia de seguridad de AD DS. Copias deseguridad de Windows Server no está instalada de manera predeterminada. Debe instalarla usando Agregarcaracterísticas en Administrador de servidores antes de que poder usar la herramienta de línea de comandosWbadmin.exe y la herramienta Copia de seguridad en Herramientas administrativas.

Pregunta: ¿Qué otro proceso se podría usar para hacer una copia de seguridad de los datos de estado del sistemaque se encuentran en un controlador de dominio?


Step-by-Step Guide for Windows Server 2008 Beta 3 Active Directory Domain Services Backup and Recovery(Guía paso a paso para operaciones de copia de seguridad y recuperación de Servicios de dominio de ActiveDirectory de Windows Server 2008 Beta 3)

Características de las copias de seguridad de Windows Server

Características de las copias de seguridad de Windows Server

Puntos clave

Copias de seguridad de Windows Server es la nueva utilidad de copias de seguridad que brinda Windows Server2008. Para usar Copias de seguridad de Windows Server, debe instalarla como una característica. Si desea usar lasherramientas de línea de comandos Copias de seguridad de Windows Server también debe instalar la característicaWindows PowerShell.


Biblioteca técnica de Windows Server 2008

Demostración: Copia de seguridad de AD DS

Demostración: Copia de seguridad de AD DS

Preguntas:

¿Por qué deberían programarse las copias de seguridad?

¿Con cuánta frecuencia debería hacerse una copia de seguridad completa? ¿Con cuánta frecuencia debería hacerseuna copia de seguridad incremental o diferencial?



Lección 3: Restauración de AD DS

Lección 3:

Restauración de AD DS

Luego de implementar el sistema de copias de seguridad de AD DS, puede comenzar a planear e implementar larestauración de AD DS. Windows Server 2008 brinda varias opciones para restaurar la información de AD DS. Estalección describe cuándo y cómo usar cada opción.

Descripción general de la restauración de AD DS

Descripción general de la restauración de AD DS

Puntos clave

Windows Server 2008 brinda varias opciones para restaurar la información de AD DS. La opción que elija dependerádel escenario de recuperación ante desastres que deba abordar.



¿Qué es una restauración no autoritativa de AD DS?

¿Qué es una restauración no autoritativa de AD DS?

Puntos clave

Se puede usar una copia de seguridad para realizar una restauración no autoritativa de un controlador de dominio. Unarestauración no autoritativa devuelve el servicio de directorio al estado en que se encontraba en el momento en que sehizo la copia de seguridad. Una vez finalizada la operación de restauración, la replicación de AD DS actualiza elcontrolador de dominio con los cambios ocurridos desde el momento en que se hizo la copia de seguridad. De estamanera, el controlador de dominio es recuperado a un estado actual.

Pregunta: ¿Qué sucedería si no escribe el segundo comando bcdedit después de restaurar la base de datos de ADDS?



¿Qué es una restauración autoritativa de AD DS?

¿Qué es una restauración autoritativa de AD DS?

Puntos clave

Una restauración autoritativa brinda un método para la recuperación de objetos y contenedores que han sidoeliminados de AD DS. Cuando se marca un objeto para su restauración autoritativa, se modifica su número de versiónpara que sea mayor que el número de versión existente del objeto (eliminado) en el sistema de replicación de AD DS.Este cambio asegura que cualquier dato que se restaure de manera autoritativa se replicará desde el controlador dedominio restaurado a otros controladores de dominio del bosque.

Pregunta: ¿Qué sucedería si no escribe el segundo comando bcdedit después de restaurar la base de datos de ADDS?



Performing an Authoritative Restore of Active Directory Objects (Realizar una restauración autoritativa deObjetos de Active Directory)

¿Qué es la herramienta de minería de datos?

¿Qué es la herramienta de minería de datos?

Puntos clave

La herramienta de montaje de bases de datos (Dsamain.exe) permite a los administradores visualizar y comparardatos en instantáneas de base de datos (copias de seguridad) sin la necesidad de restaurar esas copias de seguridad.Esto reduce el tiempo de inactividad y acelera el proceso de recuperación del dominio.


AD DS: herramienta de montaje de bases de datos

Step-by-Step Guide for Using the Active Directory Database Mounting Tool in Windows Server 2008 Beta 3(Guía paso a paso para usar la Herramienta de montaje de bases de datos de Active Directory en WindowsServer 2008 Beta 3)

Demostración: Uso de la herramienta de minería de datos

Demostración: Uso de la herramienta de minería de datos

Pasos de demostración

Para realizar este procedimiento, debe haber iniciado sesión en un controlador de dominio ya sea como miembro delgrupo Administradores de empresas o como miembro del grupo Administradores de dominio.

Iniciar un símbolo del sistema con privilegios administrativos.1.

En el símbolo del sistema, escriba ntdsutil y luego presione ENTER.2.

En el símbolo de ntdsutil, escriba instantánea y luego presione ENTER.3.

En el símbolo de la instantánea, escriba Activate Instance y luego presione ENTER.4.

En el símbolo de la instantánea, escriba create y luego presione ENTER. El comando devuelve el siguienteresultado: Snapshot set {GUID} generated successfully [Conjunto de instantáneas {GUID} correctamentegenerado].

5.

En el símbolo de la instantánea, escriba mount {GUID}. La instantánea montada aparecerá en el sistema dearchivos.

6.

Nota: Asegúrese de escribir el número GUID entre llaves.

Escriba quit dos veces para volver al símbolo del sistema.7.

En el símbolo del sistema, escriba lo siguiente (en una línea) y luego presione ENTER:8.

Dsamain -dbpath:C:\$SNAP_200708311630_VOLUMEC$\WINDOWS\NTDS\ntds.dit -ldapport:51389-sslport:51390 -gcport:51391 -gcsslport:51392

Nota: Su ruta de acceso a la instantánea probablemente será diferente.

Un mensaje indica que el inicio de Servicios de dominio de Active Directory se ha completado. Deje queDsamain.exe continúe ejecutándose. No cierre el símbolo del sistema.

9.

En la línea de ejecución, escriba LDP y luego haga clic en Aceptar.10.

Haga clic en Conexión y luego haga clic en Conectar.11.

En Servidor, escriba localhost; en Puerto, escriba 51389 y luego haga clic en Aceptar.12.

Haga clic en Conexión y luego haga clic en Enlazar.13.

En Tipo de enlace, haga clic en Enlazar como usuario con sesión iniciada y luego haga clic en Aceptar.14.

Haga clic en Ver y luego en Árbol.15.

En BaseDN, escriba dc=woodgrovebank,dc=com.16.

Busque en los contenedores un objeto de usuario y luego haga doble clic en el usuario para ver suspropiedades.

17.

Cierre LDP.exe.18.

Detenga Dsmain.exe presionando Ctrl+C.19.

Preguntas:

¿Cuándo sería útil montar múltiples instantáneas al mismo tiempo?

¿Por qué es necesario especificar diferentes puertos LDAP, SSL y GC para cada instancia montada de la base dedatos?


Step-by-Step Guide for Using the Active Directory Database Mounting Tool in Windows Server 2008 Beta 3(Guía paso a paso para usar la Herramienta de montaje de bases de datos de Active Directory en WindowsServer 2008 Beta 3)

Reanimación de objetos desechados de AD DS

Reanimación de objetos desechados de AD DS

Puntos clave

Un objeto desechado es un objeto que se marca como eliminado en AD DS. Cuando un administrador elimina unobjeto, éste se convierte en un desecho. Los objetos desechados permanecen en la base de datos de AD DS enestado desactivado durante 180 días (duración predeterminada de los objetos desechados). Los objetos desechadosse replican a los demás controladores de todo el dominio y luego se eliminan en cada controlador de dominio alfinalizar su tiempo de vida.

Cuando un objeto se marca como desecho, el atributo esEliminado en el objeto se establece en valor True y lamayoría de los atributos son eliminados. Sólo se conservan algunos atributos importantes (SID, ObjectGUID,LastKnownParent y SAMAccountName). Esto significa que si el administrador reanima el objeto, éste ya no contarácon toda la información que solía tener. Se deben recrear manualmente los valores de atributo que falten.

Nota: La Herramienta de montaje de bases de datos puede usarse para ver los atributos de los objetos eliminados enuna instantánea realizada antes de la eliminación del mismo. Esto hace que sea más fácil recuperar el elementoeliminado


How to restore deleted user accounts and their group memberships in Active Directory (Cómo restaurar cuentasde usuario eliminadas y su pertenencia a grupos en Active Directory)

Laboratorio: Implementación de un plan de mantenimiento de AD DS

Laboratorio: Implementación de un plan de mantenimiento de Serviciosde dominio de Active Directory

Escenario

Woodgrove Bank ha finalizado la implementación de AD DS. Para garantizar una alta disponibilidad y rendimiento delos servidores de AD DS, la organización está implementando un plan de mantenimiento que incluye el mantenimientocontinuo de la base de datos de AD DS y la implementación de un plan de recuperación ante desastres. Eladministrador del servidor ha preparado un plan de copias de seguridad que incluye el volumen diario del sistema deun controlador de dominio, en cada dominio. El administrador del servidor también ha preparado planes para larecuperación de datos de AD DS en varios escenarios. Debe implementar estos planes.

Ejercicio 1: Mantenimiento de los controladores de dominio de AD DS

Ejercicio 1: Mantenimiento de los controladores de dominio de AD DS

En este ejercicio, se implementará un plan para el mantenimiento de los controladores de dominio de AD DS. Lastareas incluyen la ejecución de SCW para deshabilitar todos los servicios que no se requieren en los controladores dedominio, mover las bases de datos de AD DS a un disco duro alternativo y realizar una desfragmentación sin conexiónde la base de datos de AD DS.



Usar el Asistente para configuración de seguridad para bloquear servicios y configurar el firewall en NYC-DC1.2.

Realizar una desfragmentación sin conexión de la base de datos de AD DS.3.

Mover la base de datos de AD DS.4.

Tarea 1: Iniciar la máquina virtual y luego iniciar sesión

En el equipo, haga clic en Inicio, elija Todos los programas, luego Microsoft Learning y haga clic en6824A. Se inicia Iniciador de laboratorio.

1.




Tarea 2: Usar el Asistente para configuración de seguridad para bloquear servicios y configurar el firewall en NYC-DC1

Inicie el Asistente para configuración de seguridad desde el Administrador del servidor.1.

Elija la opción para crear una nueva directiva de seguridad para NCY-DC1.2.

Ejecute el Asistente para configuración de seguridad con las siguientes opciones:3.

Asegúrese de que esté seleccionada la función del servidor Controlador de dominio (Active Directory).

Habilite el servicio Active Directory: Modo de Planeamiento de RsoP.

Acepte los valores predeterminados de la configuración de Firewall de Windows.4.

Establezca Configuraciones de registro como se detalla a continuación:5.

Requerir: Firmas de seguridad SMB.

Habilitar sólo equipos cliente que ejecuten Windows 2000 Service Pack 3 o posterior.

Permitir sólo Windows NT 4.0 Service Pack 6a o sistemas operativos posteriores y Relojes que estánsincronizados con el reloj del servidor seleccionado.

No permitir la conexión de Equipos que requieren autenticación del administrador de LAN y Equipos queno están configurados para usar autenticación NTLMv2.

Configure Directiva de auditoría para auditar actividades correctas e incorrectas.6.

Guarde la directiva de seguridad usando el nombre de archivo c:\windows\seguridad\msscw\directivas\NYC-DC1.xml.

7.

Elija la opción para aplicar la directiva más adelante.8.

Tarea 3: Realizar una desfragmentación sin conexión de la base de datos de AD DS

En NYC-DC1, detenga Servicios de dominio de Active Directory.1.

Abra un símbolo del sistema e inicie la herramienta ntdsutil.2.

Active la instancia de NTDS.3.

Use el comando files para compactar la base de datos de AD DS en C:\temp.4.

Compruebe la integridad de la base de datos desfragmentada.5.

Copie el archivo c:\temp\ntds.dit en c:\Windows\NTDS\ntds.dit.6.

Elimine todos los archivos de registro de la carpeta C:\Windows\NTDS.7.

Inicie Servicios de dominio de Active Directory.8.

Tarea 4: Mover la base de datos de AD DS

En NYC-DC1, detenga Servicios de dominio de Active Directory.1.

Abra un símbolo del sistema e inicie la herramienta ntdsutil.2.

Active la instancia de NTDS.3.

Use el comando Mantenimiento de archivos para mover la base de datos de AD DS a C:\Datos.4.

Inicie Servicios de dominio de Active Directory.5.

Resultado:Al finalizar este ejercicio, habrá instalado SCW para bloquear servicios en un controlador de dominio deAD DS y realizado tareas de mantenimiento de la base de datos de AD DS.


Ejercicio 2: Copia de seguridad de AD DS

Ejercicio 2: Copia de seguridad de AD DS

En este ejercicio, se instalará la característica Copias de seguridad de Windows Server, que luego se usará paraprogramar las copias de seguridad de la información de AD DS. También se harán copias de seguridad del volumendel sistema a petición.


Instalar las características Copias de seguridad de Windows Server.1.

Crear una Copia de seguridad programada.2.

Completar una Copia de seguridad a petición.3.

Tarea 1: Instalar la característica Copias de seguridad de Windows Server

En Administrador del servidor, instale las características Copias de seguridad de Windows Server.

Tarea 2: Crear una copia de seguridad programada

Inicie Copias de seguridad de Windows Server y cree copias de seguridad programadas con la siguienteconfiguración:

1.

Tipo de copia de seguridad: Personalizada

Elementos de copia de seguridad: C: unidad única

Hora de la copia de seguridad: 12:00 a.m. todos los días

Disco de destino: Disco 1

Abra Programador de tareas y revise la tarea de copia de seguridad programada que acaba de crear.2.

Tarea 3: Completar una copia de seguridad a petición

En la ventana Copias de seguridad de Windows, en el panel Acciones, haga clic en Copia de seguridadúnica.

1.

Establezca la copia de seguridad de manera tal que su configuración sea la siguiente:2.

Tipo de copia de seguridad: Personalizada

Elementos de copia de seguridad: C: unidad única

Opción avanzada: Copia de seguridad completa de VSS

La copia de seguridad demorará entre 10 y 15 minutos en completarse. Cuando haya finalizado, cierre Copiasde seguridad de Windows Server.

3.

Resultado: Al finalizar este ejercicio, habrá instalado la característica Copias de seguridad deWindows Server y la habrá usado para programar copias de seguridad de la información de AD DS ypara hacer copias de seguridad a petición.


Ejercicio 3: Restauración no autoritativa de la base de datos de AD DS

Ejercicio 3: Restauración no autoritativa de la base de datos de AD DS

En este ejercicio, se realizará una restauración autoritativa de la base de datos de AD DS. Luego, se comprobará quela replicación no sobrescriba los datos restaurados.


Eliminar la unidad organizativa Toronto.1.

Reiniciar NYC-DC1 en Modo de restauración de servicios de directorio.2.

Restaurar los datos de estado del sistema.3.

Marcar como autoritativa la información restaurada y luego reiniciar el servidor.4.

Comprobar que los datos eliminados hayan sido restaurados.5.


Tarea 1: Eliminar la unidad organizativa Toronto


Elimine la unidad organizativa Toronto.2.

Tarea 2: Reiniciar NYC-DC1 en Modo de restauración de servicios de directorio

Inicie un símbolo del sistema con permisos de administrador.1.

Use bcdedit /set safeboot dsrepair para configurar el servidor a fin de que se inicie en Modo de restauración deservicios de directorio.

2.

Reinicie el servidor.3.

Tarea 3: Restaurar los datos de estado del sistema

Inicie sesión como Administrador usando la contraseña Pa$$w0rd.1.


Use el comando wbadmin get versions -backuptarget:D: -machine:NYC-DC1 para obtener la informaciónde la versión de la copia de seguridad que hizo.

3.

Restaure la información de estado del sistema usando el comando wbadmin start systemstaterecovery-version:versión -machine:NYC-DC1.

4.

Tarea 4: Marcar como autoritativa la información restaurada y reiniciar el servidor

En el símbolo del sistema, use NTDS para realizar una restauración autoritativa de“OU=Toronto,DC=Woodgrovebank,DC=com”

1.

Para reiniciar el servidor normalmente después de realizar la operación de restauración, escriba bcdedit/deletevalue safeboot y luego presione ENTER.

2.

Reinicie el servidor.3.

Tarea 5: Comprobar que los datos eliminados hayan sido restaurados

Luego de que se reinicia el servidor, inicie sesión como Administrador.1.

Abra Usuarios y equipos de Active Directory y compruebe que la unidad organizativa Toronto haya sidorestaurada.

2.

En NYC-DC2, abra Usuarios y equipos de Active Directory. Compruebe que la unidad organizativa Toronto3.

también haya sido restaurada en este servidor.


Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto de máquinas virtuales.1.


Cierre Iniciador de laboratorio 6824A.3.

Resultado: Al finalizar este ejercicio, habrá realizado una restauración autoritativa de la información de AD DS.


Ejercicio 4: Restauración autoritativa de la base de datos de AD DS

Ejercicio 4: Restauración autoritativa de la base de datos de AD DS

En este ejercicio, se usará la herramienta de montaje de bases de datos de AD DS para ayudar a restaurar los datosde un objeto de AD DS eliminado. Las tareas incluyen el uso de NTDSUtil para crear instantáneas de volumen de ADDS, la eliminación de una cuenta de usuario desde AD DS y el uso de NTDSUtil para montar la instantánea. Luegorestaurará la cuenta usando LDP y verá los detalles de la cuenta desde la instantánea.

Las principales tareas en este ejercicio son:

Iniciar la máquina virtual y luego iniciar sesión.1.

Crear y montar una instantánea de la información de AD DS.2.

Modificar y luego eliminar una cuenta de usuario en AD DS.3.

Usar LDP para restaurar la cuenta de usuario eliminada.4.

Ver la información de la cuenta de usuario eliminada en la instantánea montada.5.


En la máquina host, haga clic en Inicio, elija Todos los programas, luego Microsoft Learning y haga clic en6824A. Se inicia Iniciador de laboratorio.

1.




Tarea 2: Crear y montar una instantánea de la información de AD DS

En NYC-DC1, en Usuarios y equipos de Active Directory, en la unidad organizativa AdminsTI, haga clic conel botón secundario en Axel Delgado y luego haga clic en Propiedades. Agregue la siguiente información alas propiedades de la cuenta de usuario y luego haga clic en Aceptar:

1.

Descripción: Administrador TI

Oficina: Casa Matriz

Número de teléfono: 555-5555


En el símbolo del sistema, escriba ntdsutil y luego presione ENTER.3.

En el símbolo de ntdsutil, escriba instantánea y luego presione ENTER.4.

En el símbolo de la instantánea, escriba Activate Instance NTDSy luego presione ENTER.5.

En el símbolo de la instantánea, escriba crear y luego presione ENTER. El comando devuelve el siguienteresultado: Conjunto de instantáneas {GUID} generadas correctamente. Deje abierta esta ventana.

6.

En el símbolo de la instantánea, escriba mount {GUID} y luego presione ENTER. El GUID es el GUID que semostró en el comando anterior. La instantánea montada aparecerá en el sistema de archivos.

7.

En el símbolo de la instantánea, escriba listar todo y luego presione ENTER. Identifique el número asignado ala instantánea que acaba de crear.

8.

En el símbolo de la instantánea, escriba mount número y luego presione ENTER. El número es el número quese mostró en el comando anterior. La instantánea montada aparecerá en el sistema de archivos.

9.

Salga de NTDSUtil, pero mantenga abierto el símbolo del sistema.10.

Tarea 3: Eliminar una cuenta de usuario

Elimine la cuenta de Axel Delgado.

Tarea 4: Usar LDP para restaurar la cuenta de usuario eliminada

En el símbolo del sistema, escriba el siguiente comando y luego presione ENTER.1.

Dsamain -dbpath <ruta de acceso a la instantánea ntds.dit>-ldapport 51389

No cierre el símbolo del sistema.2.

Inicie LDP y luego conecte y enlace al servidor local.3.

En el menú Opciones, agregue el control Devolución de objetos eliminados.4.

En el menú Visualizar, haga clic en Árbol y luego en Aceptar.5.

ExpandaDC=Woodgrove Bank,DC=com y luego haga clic en CN=Deleted Items,DC=WoodgroveBank,DC=com.

6.

Haga clic con el botón secundario en CN=Axel Delgado y luego haga clic en Modificar.7.

En el cuadro Atributos, escriba esEliminado debajo de Operación, luego haga clic en Eliminar y presioneENTER.

8.

En el cuadro Atributos, escriba distinguishedName.9.

En el cuadro Valores, escriba CN=Axel Delgado,ou=AdminsTI,dc=woodgrovebank,dc=com.10.

En Operación, haga clic en Reemplazar y luego presione ENTER.11.

Seleccione la casilla Extendido y luego haga clic en Ejecutar.12.

Abra Usuarios y equipos de Active Directory y compruebe que la cuenta de Axel Delgado haya sidorestaurada en la unidad organizativa AdminsTI y que la cuenta esté deshabilitada.

13.

Tarea 5: Ver la información de la cuenta de usuario eliminada en la instantánea montada

Haga clic en Inicio y en Ejecutar, escriba LDP y luego haga clic en Aceptar.1.

Conecte y enlace al localhost, usando el puerto 51389.2.

En BaseDN, escriba dc=woodgrovebank,dc=com.3.

Busque la unidad organizativa AdminsTI y haga doble clic en CN=Axel Delgado. Visualice los atributosDescripción, NombreOficinaFísicaEntrega y Número de teléfono. Ahora puede agregar la información que seencuentra en estos atributos al objeto de usuario de Usuarios y equipos de Active Directory. Cierre LDP.exe.

4.



En el cuadro Cerrar, seleccione Apagar la máquina y descartar los cambios y luego haga clic en Aceptar.2.

Cierre Iniciador de laboratorio de 6824A.3.

Resultado: Al finalizar este ejercicio, habrá restaurado una cuenta de usuario eliminada y habrá visualizado laspropiedades del usuario restaurado usando la herramienta de montaje de bases de datos de AD DS.





Uno de los controladores de dominio se está quedando sin espacio en el disco duro. Ha modificado elcontrolador de dominio para que ya no sea un servidor de catálogo global, pero advierte que el tamaño de labase de datos de AD DS no se reduce. ¿Qué debería hacer para recuperar espacio de disco duro en elservidor?

1.

Le preocupa la cantidad de espacio en disco que usan la base de datos de AD DS y los archivos de registro.¿Cómo determina el tamaño de la base de datos y de los archivos de registro?

2.

Ha instalado Copias de seguridad de Windows Server en el controlador de dominio. Sólo cuenta con dosunidades en el equipo y ambas están siendo usadas para los archivos de datos o de sistema. ¿Qué tipos decopias de seguridad debería usar para asegurar su entorno de AD DS?

3.

No funciona ningún controlador de dominio en su dominio. Está intentando reconstruir el dominio a partir de lacopia de seguridad de AD DS en un controlador de dominio. ¿Qué tipo de restauración debe usar parareconstruir el dominio?

4.

Accidentalmente eliminó una cuenta de usuario de AD DS. ¿Qué opciones tiene para lograr que la cuentavuelva a estar disponible?

5.

Observaciones para el mantenimiento de AD DS


La supervisión es un componente esencial para el mantenimiento de un entorno de AD DS. Un programa eficazde supervisión puede alertarlo acerca de las situaciones en que deberá realizar tareas de mantenimiento antesde que éstas se vuelvan más graves.

Compare el esfuerzo realizado en la restauración de objetos de AD DS con el esfuerzo que se realiza en larestauración de los objetos y en la reanimación de los objetos eliminados. Si se ha eliminado una sola cuentade usuario, por lo general es mucho más fácil recrear la cuenta que restaurarla. Si se ha eliminado una unidadorganizativa completa, por lo general es más rápido realizar una restauración autoritativa que recrear todas lascuentas de la unidad organizativa.

El paso más importante en la preparación para abordar los errores que se producen en los controladores dedominio es implementar más de un controlador de dominio en un dominio. Si cuenta con un segundocontrolador de dominio disponible, los servicios de AD DS continuarán estando disponibles y se puede instalarfácilmente un controlador de dominio adicional para reemplazar el servidor en el que se ha producido el error. Sicuenta con un solo controlador de dominio en el dominio y se produce un error, deberá restaurar AD DS a partir

de la copia de seguridad.

Si anticipa que necesitará usar las instantáneas Herramienta de montaje de bases de datos de manera regular,considere crear una tarea programada para generar una instantánea regularmente.

Herramientas

Use las siguientes herramientas al configurar sitios y replicaciones de AD DS:


Copias de seguridad deWindows Server

Hacer copias de seguridad y restaurarla información de AD DS u otros datosen un equipo con Windows Server2008.

Debe estar instalado como unacaracterística de Windows Server 2008.

Haga clic en Inicio, elija Herramientasadministrativas y luego haga clic enCopias de seguridad de WindowsServer.

LDP.exe Ver y modificar información acerca delos objetos de AD DS; reanimar losobjetos eliminados.

Está instalada de manerapredeterminada y es accesible desde unsímbolo del sistema.

NTDSUtil Administrar el almacén de datos de ADDS y las funciones del maestro deoperaciones.

Está instalada de manerapredeterminada y es accesible desde unsímbolo del sistema.

Herramienta de montaje debases de datos

Usada para crear y montar instantáneasdel almacén de datos de AD DS.

Accesible por medio de NTDSUtil.

Modulo 10 : Solución de problemas de Active Directory, DNS y replicación

Módulo 10

Solución de problemas de Active Directory DNS Problemas frecuentesde replicación

Como administrador del sistema operativo Windows Server®°2008, existe la posibilidad de que se deban solucionarproblemas relacionados con Servicios de dominio de Active Directory® (AD DS). Cuando AD DS está diseñado eimplementado de manera apropiada, proporciona una infraestructura de servicios de directorio muy estable. Sinembargo, incluso en los entornos más estables, en ocasiones puede necesitarse solucionar problemas de AD DSrelacionados con la autenticación, autorización, replicación o configuración del Sistema de nombres de dominio (DNS).

Lección 1: Solución de problemas de Servicios de dominio de Active DirectoryLección 2: Solución de problemas de integración de DNS y AD DSLección 3: Solución de problemas de replicación de AD DSLaboratorio: Solución de problemas de AD DS, DNS y replicación

Lección 1: Solución de problemas de Servicios de dominio de ActiveDirectory

Lección 1:

Solución de problemas de Servicios de dominio de Active Directory

Cuando los usuarios no puedan autenticarse en la red o no puedan obtener acceso a los recursos de red, se debedeterminar si la causa del problema es un inconveniente de AD DS. El problema puede ser la conectividad de red,puede tratarse de un error de los servicios de red o un inconveniente de AD DS. En esta lección aprenderá a identificary solucionar problemas de AD DS.

Introducción a solución de problemas de AD DS

Introducción a solución de problemas de AD DS

Puntos clave

AD DS es un sistema distribuido compuesto de muchos servicios diferentes de los que depende para funcionarcorrectamente. Al solucionar problemas de AD DS, es necesario identificar el origen del problema y luego resolver elinconveniente específico.


Overview of Active Directory Troubleshooting (Descripción de la solución de problemas de Active Directory)

Active Directory Product Operations Guide (Guía de operaciones del producto Active Directory)

Discusión: Cómo resolver problemas de Servicios de dominio de ActiveDirectory

Discusión: Cómo resolver problemas de Servicios de dominio de Active Directory

Preguntas:

¿Qué herramientas se usarían?

¿Cómo podría comprobarse que la solución es la adecuada?

Solución de problemas ante errores de acceso de usuario

Solución de problemas ante errores de acceso de usuario

Puntos clave

Existen varias razones posibles por las que un usuario no puede tener acceso a los recursos de red. Se pueden dividiren tres categorías básicas.

Demostración: Herramientas para solucionar problemas ante errores deacceso de usuario

Demostración: Herramientas para solucionar problemas ante errores de acceso de usuario

Preguntas:

Según su experiencia, ¿cuál es la razón más común de errores de acceso de usuario en su organización?

¿Qué pasos se pueden llevar a cabo para reducir la cantidad de errores de acceso de usuario y continuar conservandola seguridad en la red?

Solución de problemas de rendimiento del controlador de dominio

Solución de problemas de rendimiento del controlador de dominio

Puntos clave

Como un servicio distribuido, AD DS depende de varios servicios dependientes entre sí que se distribuyen ennumerosos dispositivos y ubicaciones remotas. A medida que aumenta el tamaño de la red para aprovechar laescalabilidad de AD DS, el rendimiento del controlador de dominio podría convertirse en un problema.


Windows Server 2003 Active Directory Branch Office Guide (Guía para sucursales de Active Directory deWindows Server 2003)

Analizar datos de rendimiento

Lección 2: Solución de problemas de integración de DNS y AD DS

Lección 2:

Solución de problemas de integración de DNS y Servicios de dominiode Active Directory

AD DS no puede funcionar sin DNS. Los clientes y servidores de aplicaciones como Microsoft Exchange Server usanDNS para buscar controladores de dominio y servicios. Los controladores de dominio y los servidores de catálogoglobal usan DNS para localizarse y luego replicarse unos a otros. Debido a esta integración estrecha de AD DS y DNS,por lo general la solución de problemas de AD DS comienza solucionando los problemas de DNS.

Descripción general de la solución de problemas de DNS y AD DS

Descripción general de la solución de problemas de DNS y AD DS

Puntos clave

Una de las razones más comunes para los inconvenientes de AD DS es un problema con la infraestructura de DNS. Enparticular, la solución de problemas de DNS debe comenzar cuando se presentan los inconvenientes enumerados enla diapositiva.

Solución de problemas de resolución de nombres DNS

Solución de problemas de resolución de nombres DNS

Puntos clave

Para comprobar que los clientes pueden resolver nombres y registros, se deben llevar a cabo los siguientes pasos:

Comprobar la conectividad de red en todos los equipos.

Usar Ipconfig para asegurarse de que todos los equipos, incluyendo los clientes, servidores miembro,controladores de dominio y servidores DNS, estén usando un servidor DNS que sea autoritativo para el dominiode Active Directory. A veces, los equipos están mal configurados manualmente para usar el servidor DNSequivocado, como por ejemplo un servidor de memoria caché para Internet o un servidor DNS de Proveedor deservicios de Internet (ISP).

Usar NetDiag para probar la conectividad de DNS.

Garantizar que el servidor DNS esté funcionando correctamente. Se puede realizar la Autoprueba simple enlas propiedades del servidor DNS para comprobar que la base de datos responde. Además, se debe limpiar lamemoria caché del servidor DNS, con el fin de garantizar que la memoria caché no se encuentre contaminada yque cuente con la información de zona más reciente.

Usar ipconfig /flushdns para limpiar la memoria caché de resolución de DNS del cliente.

Si la zona parece estar dañada, restaure desde la copia de seguridad. De ser necesario, conviene eliminar losregistros dinámicos de la zona DNS y reconstruir la base de datos.

Comprobar si hay errores en el registro del servidor DNS en Visor de eventos.

Usar DNSLint o NSlookup para ver qué resultados devuelve el servidor DNS. Se requieren los siguientesregistros DNS para la funcionalidad apropiada de Active Directory.

Pregunta: ¿Cuáles son los problemas más comunes relacionados con DNS en su organización?


Diagnosing Name Resolution Problems (Diagnóstico de problemas de resolución de nombres)

Solución de problemas de registro de nombres DNS

Solución de problemas de registro de nombres DNS

Puntos clave

Todos los servidores deben contar con al menos un (host) A y posiblemente registros PTR (búsqueda inversa) enDNS. Además, todos los controladores de dominio deben contar con sus registros de recursos SRV actualizados enDNS. A continuación se enumeran los servicios responsables de actualizar de manera dinámica el DNS:

El servicio al cliente de DNS del equipo actualiza los registros A.

Los registros PTR se configuran manualmente.

El servicio Netlogon del controlador de dominio actualiza los registros SRV.

Pregunta: ¿Para qué se usan los registros PTR? ¿Qué errores aparecerán si los registros PTR no se encuentranregistrados para los controladores de dominio?

Solución de problemas de la replicación de zona DNS

Solución de problemas de la replicación de zona DNS

Puntos clave

Cada vez que se actualiza un registro DNS, ya sea en una zona Principal (Maestra) tradicional o en una zona integradade AD DS, dicha actualización debe replicarse en una transferencia de zona a todos los servidores DNS que sonautoritativos para esa zona. Un administrador puede elegir conservar el ancho de banda durante el horario de mayoruso de la red al programar la replicación para los horarios de menor uso. Incluso, el registro deberá ser replicado enalgún momento para que la base de datos de DNS sea consistente.

Cuando los problemas relacionados con DNS no son consistentes para todos los usuarios y pueden rastrearse hastaun servidor DNS específico, se debe considerar la replicación de zona DNS como una posible causa del problema.


Solución de problemas de zona

Lección 3: Solución de problemas de replicación de AD DS

Lección 3:

Solución de problemas de replicación de Active Directory

AD DS usa una topología de replicación con varios maestros que depende de todos los controladores de dominio en una reddisponible. La replicación es importante para garantizar que todos los usuarios obtengan una respuesta consistente por partede los controladores de dominio, sin importar a qué controlador de dominio se encuentra conectado el usuario.

En esta lección aprenderá cómo solucionar los problemas de replicación de AD DS.

Requisitos para la replicación de AD DS

Requisitos para la replicación de AD DS

Puntos clave

Consulte los requisitos enumerados en la diapositiva para que la replicación de AD DS se realice correctamente.

Problemas frecuentes de replicación

Problemas frecuentes de replicación

Puntos clave

Cuando aparecen problemas de replicación en AD DS, el primer paso es identificar los síntomas y causas posibles.

Pregunta: ¿Cuál es la razón más común por la que aparecen errores de replicación en su organización?



¿Qué es la herramienta Repadmin?

¿Qué es la herramienta Repadmin?

Puntos clave

Se utiliza la herramienta de línea de comandos Repadmin.exe para ver la topología de replicación desde la perspectivade cada uno de los controladores de dominio. También se puede usar Repadmin.exe para crear de manera manual latopología de replicación, forzar eventos de replicación entre los controladores de dominio y ver los metadatos dereplicación, que representan la información sobre los datos y el estado actualizado de los vectores.



¿Qué es la herramienta DCDiag?

¿Qué es la herramienta DCDiag?

Puntos clave

La herramienta dcdiag.exe realiza una serie de pruebas para comprobar los diferentes aspectos del sistema. Dichaspruebas incluyen conectividad, replicación, integridad de la topología y mantenimiento entre sitios.

Identificación de la causa de los errores de replicación

Identificación de la causa de los errores de replicación

Puntos clave

Los problemas de replicación de AD DS pueden tener diversos orígenes. Por ejemplo, los problemas de DNS,inconvenientes en la red o problemas de seguridad pueden causar que la replicación de AD DS no se lleve a cabo.

Se pueden realizar pruebas usando las herramientas de línea de comandos Repadmin.exe y DCDiag.exe paradeterminar la causa principal del problema.

Discusión: Solución de problemas de replicación de AD DS entre sitios

Discusión: Solución de problemas de replicación de AD DS entre sitios

En clase, debatan las preguntas de la diapositiva.

Solución de problemas de replicación de archivos distribuidos

Solución de problemas de replicación de archivos distribuidos

El contenido de la carpeta SYSVOL se replica a todos los controladores de dominio en un dominio. Si el dominio seencuentra en Windows Server 2003 o en un nivel funcional inferior, el FRS es el encargado de replicar el contenido dela carpeta SYSVOL entre los controladores de dominio. Cuando se actualiza el nivel funcional a Windows Server 2008,DFSR se usa para replicar el contenido de la carpeta SYSVOL. En ambos casos, la topología y el programa de objetode conexión que el KCC crea para la replicación de AD DS se usan para administrar la replicación entre loscontroladores de dominio.

Tanto el FRS como la DFRS requieren conectividad LDAP y RPC entre los controladores de dominio. Para solucionarlos problemas de replicación de FRS, se usan los comandos Ntfrsutl y FRSDiag. Para solucionar los problemas dereplicación de DFSR, se usa la herramienta DFRSAdmin.

Laboratorio: Solución de problemas de AD DS, DNS y replicación

Laboratorio: Solución de problemas de Active Directory Problemas deDNS y replicación

Escenario

Woodgrove Bank ha finalizado la implementación de Windows Server 2008. Como administrador de AD DS, una de lasprincipales tareas en esta instancia es solucionar problemas de AD DS que el Departamento deAdminsTI_WoodgroveGG de la compañía le ha transferido a usted. Cuenta con la responsabilidad de resolverproblemas relacionados con el acceso de usuarios a los recursos, la integración de DNS y AD DS y la replicación deAD DS.

Ejercicio 1: Solución de problemas en la autenticación y autorización

Ejercicio 1: Solución de problemas en la autenticación y autorización

Escenario

En este ejercicio, se solucionarán los errores de autenticación y autorización. Se revisarán los tickets de problema y seresolverán inconvenientes relacionados con ellos.

Preparación de laboratorio: Asegúrese de que NYC-DC1, NYC-DC2 y NYC-CL1 se iniciaron y están ejecutándose.Apague las demás máquinas virtuales.


Iniciar los servidores virtuales.1.

Ejecutar el archivo Lab10_Prep.bat.2.

Resolver tickets de problema.3.

Tarea 1: Iniciar los servidores virtuales


1.





En Iniciador de laboratorio, junto a 6824A-NYC-CL1, haga clic en Iniciar.6.


Tarea 2: Ejecutar el archivo Lab10_Prep.bat

En NYC-DC1, abra una ventana de Windows Explorer y luego busque D:\6824\Allfiles\Mod10\Labfiles1.

Haga doble clic en Lab10_Prep.bat.2.

Tarea 3: Resolver tickets de problema

Ticket de problema N°1: Una usuaria llamada Chris McGurk tiene inconvenientes para iniciar sesión en su equipo,que se ejecuta con el sistema operativo Windows Vista®. Ha estado trabajando fuera de la empresa en un proyecto deinvestigación durante varios meses y ahora necesita tener acceso a la red para preparar su informe para la altagerencia. Apagaron su equipo de escritorio durante el período que estuvo afuera. Le han transferido el asunto.

Intente iniciar sesión en NYC- CL1 como Chris, usando la contraseña Pa$$w0rd.1.

¿Se inició sesión correctamente? Observe el mensaje de error que se muestra a continuación:2.

_________________________________________________________________

Compruebe que la cuenta de equipo de NYC-CL1 todavía exista en el dominio.3.

¿Cuál cree que es el inconveniente? ¿Cómo lo solucionará?4.

_________________________________________________________________

Inicie sesión en NYC- CL1 como NYC-CL1\AdminLocal usando la contraseña Pa$$w0rd.5.

Complete los pasos de solución de problemas.6.

Cierre sesión en NYC-CL1 como AdminLocal e inicie sesión como Chris.7.

¿Pudo hacerlo correctamente?8.

_________________________________________________________________


Ticket de problema N°2: A un miembro del Departamento de AdminsTI_WoodgroveGG, llamado Markus Breyer, sele ha otorgado la tarea de agregar personas contratadas recientemente a la unidad organizativa NYC GerentesSucursalen el dominio Woodgrovebank.com. Markus es un miembro del grupo global AdminsTI_WoodgroveGG Todos losmiembros del grupo AdminsTI_WoodgroveGG deben poder administrar cuentas de usuario desde estaciones detrabajo de clientes usando Escritorio remoto. Cuando Markus intenta agregar nuevas personas contratadas, no lo logra.Le han transferido el asunto.

Inicie sesión en NYC-CL1 como Markus, usando la contraseña Pa$$w0rd.1.

Intente conectarse a NYC-DC1 usando Escritorio remoto. ¿Pudo hacerlo correctamente? En caso de haberrecibido mensajes de error, ¿cuáles fueron?

2.

_________________________________________________________________

¿Cuál cree que es el problema?3.

_________________________________________________________________

Realice los pasos requeridos para resolver el mensaje de error.4.

Intente conectarse nuevamente a Escritorio remoto. ¿Pudo lograrlo esta vez? Si no pudo, lleve a cabo lossiguientes pasos para solucionar el problema.

5.

_________________________________________________________________

Después de haberse conectado correctamente a Escritorio remoto, intente abrir Usuarios y equipos de ActiveDirectory. Si no puede hacerlo, lleve a cabo los pasos para solucionar el problema.

6.

En Usuarios y equipos de Active Directory, intente crear una cuenta de usuario de prueba en la unidadorganizativa Gerentes de sucursal. ¿Pudo hacerlo correctamente? En caso de haber recibido mensajes deerror, ¿cuáles fueron?

7.

_________________________________________________________________

¿Qué pasos adicionales, si hubiera, piensa que deberá llevar a cabo?8.

_________________________________________________________________

Resuelva los demás problemas.9.


Resultado: Al finalizar este ejercicio, se habrán resuelto dos tickets de problema con inconvenientes de autenticacióny autorización.


Ejercicio 2: Solución de problemas de la integración de DNS y AD DS

Ejercicio 2: Solución de problemas de la integración de DNS y AD DS

Escenario

En este ejercicio, se resolverán los problemas identificados en los tickets de solución de problemas transferidos alequipo del servidor en lo que se refiere a la integración de DNS y AD DS. Se identificará el problema en cada ticket, selo resolverá y luego se comprobará que la resolución fue correcta.

La tarea principal en este ejercicio consiste en resolver el ticket de problema.

Tarea 1: Resolver el ticket de problema

Ticket de problema N°3: Algunos usuarios en WoodgroveBank.com informan que tienen inconvenientes para obteneracceso a los recursos de red. El Departamento de AdminsTI_WoodgroveGG ya ha establecido que todos los equiposcliente que se ven afectados por este problema usan NYC-DC2 como el servidor DNS preferido. Se usará NYC-CL1para probar todas las soluciones y garantizar que todos los usuarios puedan iniciar sesión en el dominio usando tantoNYC-DC1 como NYC-DC2 como servidores DNS principales.

¿Cuáles cree que podrían ser los problemas?1.

_________________________________________________________________

_________________________________________________________________

_________________________________________________________________

¿Qué pasos llevará a cabo para probar y resolver los problemas?2.

_________________________________________________________________

_________________________________________________________________

_________________________________________________________________

Use NSlookup para comprobar los registros DNS para la zona WoodgroveBank.com tanto en NYC-DC1 comoen NYC-DC2.

3.

Use Administrador de DNS para examinar la configuración para las zonas WoodgroveBank.com y_msdcs.WoodgroveBank.com en ambos servidores DNS.

4.

Lleve a cabo los pasos requeridos para solucionar el problema.5.

¿Cuáles fueron los problemas reales y cómo los resolvió?6.

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

__________________________________________________________________

Resultado: Al finalizar este ejercicio, habrá resuelto un ticket de problema con inconvenientes de integración de DNSy AD DS.


Ejercicio 3: Solución de problemas de replicación de AD DS

Ejercicio 3: Solución de problemas de replicación de AD DS

Escenario

En este ejercicio, se resolverán los problemas identificados en los tickets de solución de problemas transferidos alequipo del servidor. Entre los problemas potenciales se encuentran las cuentas de usuario que no se replican a otroscontroladores de dominio, errores de replicación y errores de replicación de archivos de AD DS. Se identificará elproblema en cada ticket, se lo resolverá y luego se comprobará que la resolución fue correcta.

La tarea principal en este ejercicio consiste en resolver los tickets de problema.

Tarea 1: Resolver los tickets de problema

Ticket de problema N°4: Se le asignó al Departamento de AdminsTI_WoodgroveGG la tarea de crear cuentas deusuario para las personas contratadas recientemente. Debido a que los nuevos empleados viajarán de una sucursal aotra, es fundamental que puedan iniciar sesión desde cualquier ubicación. El Departamento deAdminsTI_WoodgroveGG ha notado que la replicación entre NYC-DC1 y NYC-DC2 no funciona. Cuando un miembrodel equipo crea una cuenta de usuario en el controlador de dominio NYC-DC1, el controlador de dominio NYC-DC2 nomuestra la cuenta de usuario. Le han transferido el asunto.

Compruebe que la replicación de AD DS no funciona.1.

¿Cuáles cree que podrían ser los problemas?

_________________________________________________________________

_________________________________________________________________

_________________________________________________________________

¿Qué pasos de solución de problemas llevará a cabo para resolver los inconvenientes?

_________________________________________________________________

_________________________________________________________________

_________________________________________________________________

Implemente los pasos de solución de problemas. Se obtiene un resultado satisfactorio cuando se pueda crearun usuario de prueba en cualquier controlador de dominio y luego replicar la cuenta en otro controlador dedominio.

2.

Ticket de problema N°5: El Departamento de AdminsTI_WoodgroveGG se ha dado cuenta de que cuando algunosusuarios de la sucursal Nueva York de WoodgroveBank.com inician sesión no obtienen las asignaciones automáticasde unidades esperadas. Todos los usuarios deben obtener una asignación de unidad que asigne la unidad H: a \\NYC-DC1\data. El Departamento de AdminsTI_WoodgroveGG ha confirmado que el Objeto de directiva de grupo (GPO)está configurado correctamente. El script de inicio de sesión se denomina MapDataDir.bat y debería encontrarseubicado en el recurso compartido Netlogon.

¿Cuáles cree que podrían ser los problemas?1.

_________________________________________________________________

_________________________________________________________________

_________________________________________________________________

¿Qué pasos de solución de problemas llevará a cabo para resolver los inconvenientes?2.

_________________________________________________________________

_________________________________________________________________

_________________________________________________________________

_________________________________________________________________

¿Cómo comprobará que los problemas se han resuelto?3.

_________________________________________________________________

_________________________________________________________________

_________________________________________________________________

_________________________________________________________________

Implemente los pasos de solución de problemas. ¿Cuáles fueron los problemas reales y cómo los resolvió?4.

_________________________________________________________________

_________________________________________________________________

_________________________________________________________________




Cierre Iniciador de laboratorio 6824A.3.

Resultado: Al finalizar este ejercicio, se habrá resuelto un ticket de problema con inconvenientes dereplicación de AD DS.




Observaciones para el mantenimiento de AD DS


Al solucionar problemas de AD DS, siempre conviene comenzar por el nivel de red. En la mayoría de los casos,será más rápido y sencillo comprobar la conectividad de red.

Usar Visor de eventos cuando se solucionan problemas de AD DS. Varios de los errores de AD DS seregistrarán en los registros de Visor de eventos y los detalles del error generalmente proporcionan informaciónvaliosa para resolver los inconvenientes.

En una organización grande, conviene considerar la implementación de Microsoft® System Center OperationsManager con Active Directory Management Pack. El Operations Manager puede supervisar todos loscontroladores de dominio en el entorno y brindar una orientación detallada sobre cómo resolver inconvenientesde AD DS. Microsoft System Center Operations Manager es una actualización de Microsoft OperationsManager.

Herramientas

Usar las siguientes herramientas al solucionar problemas de AD DS:

Herramienta Usada para Dónde encontrarla

Administrador de servidores Obtener acceso a las herramientas deadministración de AD DS en una única consola.

Haga clic en Inicio, elijaHerramientas administrativas yluego haga clic en Administradorde servidores.

Sitios y servicios de ActiveDirectory

Crear y configurar sitios, subredes, movercontroladores de dominio entre sitios y forzar lareplicación.

Haga clic en Inicio, elijaHerramientas administrativas yluego haga clic en Usuarios yequipos de Active Directory.

DNSConfigurar y ver zonas DNS

Haga clic en Inicio, elijaHerramientas administrativas yluego haga clic en DNS.


Un usuario puede iniciar sesión en su equipo, pero cuando intenta tener acceso a un recurso de red se le1.

solicita que ingrese un nombre de usuario y contraseña. ¿Cómo se podría garantizar que el usuario tengaacceso a los recursos de red sin que se le solicite un nombre de usuario y contraseña después de iniciarsesión?

Se necesita comprobar que todos los registros SRV del controlador de dominio se encuentran registrados enDNS. Todos los servidores DNS en su organización usan un producto DNS de terceros en lugar de un DNS deWindows Server 2008. ¿Cómo se pueden ver los registros en DNS?

2.

Los usuarios en una sucursal de una organización están experimentando demoras en el inicio de sesión. Sepuede crear un controlador de dominio en la casa matriz y luego enviar el controlador de dominio a la sucursal.Se configura la sucursal como un segundo sitio en el bosque. Se modificó la configuración de la dirección IPdel controlador de dominio, se ha confirmado la conectividad de red y se ha confirmado la actualización de ladirección IP del controlador de dominio en DNS. No obstante, algunos usuarios en la sucursal siguen iniciandosesión con demoras. ¿Qué más debería hacer?

3.

La organización cuenta con cinco oficinas, cada una de ellas configuradas como un sitio individual en AD DS.Se ha implementado al menos un controlador de dominio en cada oficina. En la casa matriz se lleva a cabo laadministración de cuentas de usuario. Es posible que al crear una nueva cuenta de usuario en la casa matriz, senecesiten 3 horas como máximo antes de que el usuario pueda iniciar sesión usando dicha cuenta en lasucursal. ¿Qué debería hacerse para asegurar que el usuario pueda iniciar sesión correctamente después deque se ha creado la cuenta?

4.

Modulo 11 : Solución de problemas de Directiva de grupo

Módulo 11

Solución de problemas de Directiva de grupo

Este módulo describe los procedimientos de solución de problemas para los clientes y equipos de procesamiento deDirectiva de grupo. Los procedimientos de solución de problemas pueden incluir una configuración incorrecta oincompleta de la directiva o bien la ausencia de una aplicación de la directiva para el equipo o usuario. Este módulodescribe la información y las destrezas necesarias para solucionar estos problemas.

Lección 1: Introducción a la Solución de problemas de la Directiva de grupoLección 2: Solución de problemas de la aplicación de la Directiva de grupoLección 3: Solución de problemas de configuración de la Directiva de grupoLaboratorio: Solución de problemas de la Directiva de grupo

Lección 1: Introducción a la Solución de problemas de la Directiva degrupo

Lección 1:

Introducción a la Solución de problemas de Directiva de grupo

La implementación y administración de Directiva de grupo puede ser compleja y, algunas veces, un valor puedegenerar consecuencias no deseadas para los usuarios o equipos. Esta lección brinda información detallada acerca delprocesamiento de Directiva de grupo y las áreas problemáticas frecuentes y, además, describe algunas de lasherramientas disponibles para la solución de problemas.

Escenarios para la Solución de problemas de Directiva de grupo

Escenarios para la Solución de problemas de Directiva de grupo


Artículo de Microsoft Technet: Solución de problemas de Directiva de grupo

Preparación para la Solución de problemas de directivas de grupo

Preparación para la Solución de problemas de directivas de grupo

Puntos clave

El primer paso para solucionar los problemas de Directiva de grupo es determinar el origen del problema. Losproblemas de Directiva de grupo pueden ser un síntoma de otros problemas no relacionados, como por ejemplo laconectividad de la red, los problemas de autenticación, la disponibilidad del controlador de dominio o los errores deconfiguración de Servicio de nombres de dominio (DNS). Por ejemplo, el error de un enrutador o un servidor DNSpuede impedir que los clientes establezcan contacto con un controlador de dominio.

Pregunta: ¿Qué herramienta de diagnóstico usaría para determinar la expiración de la concesión de una dirección deProtocolo de configuración dinámica de host (DHCP) emitido para un equipo cliente?


Solución de los problemas de los sistemas con el Diagnóstico de red

Uso de NSlookup.exe

Artículo de Microsoft Technet: No se puede obtener acceso al controlador de dominio

Kerbtray.exe: Bandeja de Kerberos

Herramientas para la solución de problemas de las directivas de grupo

Herramientas para la solución de problemas de las directivas de grupo

Puntos clave

Existen numerosas herramientas de diagnóstico y registros que pueden usarse para comprobar si se puede rastrearun problema en la Directiva de grupo principal.

Registro de la Directiva de grupo

Si las otras herramientas no ofrecen la información necesaria para identificar los problemas que afectan la aplicaciónde la Directiva de grupo, es posible habilitar el registro detallado y examinar los archivos de registro resultantes.Pueden generarse archivos de registro tanto en el cliente como el servidor a fin de brindar información detallada.

Pregunta: ¿Qué herramienta de diagnóstico mostrará rápidamente el umbral actual del vínculo lento de la Directiva degrupo?


Group Policy Modeling and Results (Modelación y resultados de la Directiva de grupo)

Cómo crear GPO predeterminado de dominios manualmente

Herramienta GPOTool (del Kit de recursos del servidor de Windows 2000)

Artículo de Microsoft Technet: Actualizar la configuración de Directiva de grupo con GPUpdate.exe

Fixing Group policy problems by using log files (Solución de problemas de la Directiva de grupo con archivosde registro)

Demostración: Uso de las herramientas de diagnóstico de Directiva degrupo

Demostración: Uso de las herramientas de diagnóstico de Directiva de grupo

Pregunta: ¿Qué pasos deben realizarse antes de ejecutar el informe de Directiva de grupo RSoP en un equiporemoto?

Lección 2: Solución de problemas de la aplicación de la Directiva de grupo

Lección 2:

Solución de problemas de aplicaciones de Directiva de grupo

Al solucionar los problemas de Directiva de grupo, es necesario comprender correctamente la interacción entreDirectiva de grupo y sus tecnologías compatibles y las maneras en que se administran, instalan y aplican los Objetosde directiva de grupo.

Solución de problemas de Herencia de directivas de grupo

Solución de problemas de Herencia de directivas de grupo

Puntos clave

El bloqueo de la herencia le permitirá evitar que los valores con niveles elevados afecten las unidades organizativas olas unidades organizativas secundarias. Únicamente es posible bloquear la herencia para las unidades organizativas ensu totalidad y no para los objetos individuales. El bloqueo de la herencia puede dificultar la solución de problemas yaque contrarresta las reglas habituales de la herencia.

Pregunta: ¿Existen escenarios en su organización que se beneficiarían aplicando el bloqueo de la herencia?


Artículo de Microsoft Technet: Fixing Group Policy problems by using log files (Solución de problemas deDirectiva de grupo con archivos de registro)

Solución de problemas de Filtrado de directivas de grupo

Solución de problemas de Filtrado de directivas de grupo

Puntos clave

El Filtrado de directivas de grupo determina los usuarios y los equipos que recibirán la configuración de los GPO. Elfiltrado de objetos de directiva de grupo (GPO) está basado en dos factores:

El filtrado de seguridad en los GPO

Todos los filtros Instrumental de administración de Windows (WMI) en los GPO

Pregunta: Se aplicó el filtrado de seguridad a fin de limitar la aplicación del GPO únicamente al grupo Gerentes. Estofue posible gracias a la configuración de los siguientes permisos de GPO:

Se denegó el permiso Aplicar directiva de grupo a los usuarios autenticados.

El grupo Gerentes recibió el permiso Leer y aplicar directiva de grupo.

Ninguno de los gerentes recibe la configuración de GPO. ¿Cuál es el problema?


Artículo de Microsoft Technet: Fixing Group Policy scoping issues (Solución de problemas del ámbito deDirectiva de grupo)

Solución de problemas de Replicación de directivas de grupo

Solución de problemas de Replicación de directivas de grupo

Puntos clave

En un dominio que posee más de un controlador de dominio, la información de Directiva de grupo demora endifundirse o replicarse de un controlador de dominio a otro. Un GPO consta de dos partes, la Plantilla de directivas degrupo (GPT) y el Contenedor de directivas de grupo (GPC). Se realiza un seguimiento de los cambios en los GPOusando los números de la versión. Cada cambio incrementa el número de versión de la GPT y el GPC.

Pregunta: ¿Qué herramienta puede usar para forzar la replicación en todos los controladores de dominio deldominio?


Troubleshooting File Replication Service (Solución de problemas de Servicio de replicación de archivos)

Artículo de Microsoft Technet: Replication of Group Policy settings between domain controllers fails (Error dereplicación de la configuración de Directiva de grupo entre los controladores de dominio)

Solución de problemas de actualización de Directiva de grupo

Solución de problemas de actualización de Directiva de grupo

Puntos clave

La actualización de Directiva de grupo hace referencia a la recuperación periódica de los GPO que realiza el cliente.Durante la actualización de Directiva de grupo, el cliente establece contacto con un controlador de dominio disponible.Si se modifica algún GPO, el controlador de dominio ofrece una lista de todos los GPO adecuados. De manerapredeterminada, los GPO se procesan en el equipo sólo si el número de versión de al menos un GPO ha cambiado enel controlador de dominio al que el equipo está obteniendo acceso.

Pregunta: Se implementó una redirección de carpetas para una unidad organizativa determinada. Algunos usuariosnotifican que sus carpetas no están siendo redirigidas al recurso compartido de red. ¿Cuál es el primer paso quedebería realizar para solucionar el problema?


Group Policy does not refresh (Directiva de grupo no se actualiza)

Discusión: Solución de problemas de configuración de Directiva de grupo

Discusión: Solución de problemas de configuración de Directiva de grupo

Pregunta: Se le aplica a un usuario una configuración que nadie más recibe. ¿Cuál podría ser el problema y cómocomenzaría a solucionarlo?

Lección 3: Solución de problemas de configuración de la Directiva degrupo

Lección 3:

Solución de problemas de configuración de Directiva de grupo

Con frecuencia, los problemas de configuración de Directiva de grupo se deben a la detección de vínculo lento o a unaconfiguración incorrecta. Comprender cómo funcionan las Extensiones de cliente y cómo se determinan los vínculoslentos ayuda a solucionar estos problemas.

Cómo funciona el procesamiento de Extensiones de cliente

Cómo funciona el procesamiento de Extensiones de cliente

Puntos clave

Extensiones de cliente son bibliotecas de vínculos dinámicos (DLL) que realizan el procesamiento real de laconfiguración de Directiva de grupo. Los valores de la directiva se agrupan en diferentes categorías, tales comoPlantillas administrativas, Configuración de seguridad, Redirección de carpetas, Cuotas de disco e Instalación desoftware. La configuración de cada categoría requiere una Extensión de cliente específica que pueda procesarla ycada Extensión de cliente cuenta con sus propias reglas para procesar la configuración. El proceso de Directiva degrupo principal solicita a las Extensiones de cliente adecuadas que procesen dicha configuración.

Algunas Extensiones de cliente se comportan de manera diferente dependiendo de las circunstancias. Por ejemplo,ciertas Extensiones de cliente no se procesarán si se detecta un vínculo lento. Configuración de seguridad y Plantillasadministrativas se aplican siempre y no es posible desactivarlas. Es posible controlar el comportamiento de otrasExtensiones de cliente a través de los vínculos lentos.

A medida que se procesa la Directiva de grupo, el proceso de Winlogon envía la lista de los GPO por procesar a todaslas Extensiones de cliente de Directiva de grupo. Entonces, la extensión usa la lista para procesar la directiva correctacuando corresponda.

Pregunta: Los usuarios en una sucursal inician sesión a través de una conexión de módem lenta. Se necesita aplicarRedirección de carpetas para los usuarios aún a través del vínculo lento. ¿Cómo se lograría esto?


Identificar extensiones de cliente de Directiva de grupo

Directiva de equipo para Extensiones de cliente http://www.microsoft.com/technet/prodtechnol/windows2000serv/reskit/distrib/dsec_pol_ooyn.mspx?mfr=true

Group Policy and Network Bandwidth (Directiva de grupo y Ancho de banda de red)

Solución de problemas de configuración de Directiva de plantillasadministrativas

Solución de problemas de configuración de Directiva de plantillas administrativas

Puntos clave

Algunos valores de Plantilla administrativa pueden ser preferencias (en lugar de directivas) que no pueden quitarse confacilidad, mientras que los sistemas operativos anteriores pueden no aceptar otros valores administrativos.

Pregunta: Su red tiene equipos con Windows XP y Windows Vista. Se configuró Plantilla administrativa para quitar elvínculo de juegos del menú Inicio, pero únicamente los equipos con Windows Vista están aplicando este valor. ¿Cuáles el problema?


Artículo de Microsoft Technet: Fixing Administrative Template policy setting problems (Solucionar problemas deconfiguración de la directiva de Plantillas administrativas)

Solución de problemas de configuración de Directiva de seguridad

Solución de problemas de configuración de Directiva de seguridad

Puntos clave

Directivas de seguridad protegen la integridad del entorno informático controlando varios aspectos de éste, como porejemplo las directivas de contraseña, las opciones de seguridad, los grupos restringidos, las directivas de red, losservicios, las directivas de claves públicas, entre otros.

Características de Directivas de seguridad

Directivas de seguridad se actualizan cada 16 horas aunque no se hayan modificado.

Directivas de seguridad se procesan siempre, aún a través de conexiones lentas.

Pregunta: Se configuró una Directiva de contraseña en un GPO y se vinculó la directiva con la unidad organizativaInvestigación. La directiva no afecta a todos los usuarios de dominio en la unidad organizativa. ¿Cuál es el problema?


Solución de problemas de aplicación de la directiva de grupos

Solución de problemas de configuración de Directiva de scripts

Solución de problemas de configuración de Directiva de scripts

Puntos clave

La Extensión de scripts de cliente actualiza el registro con la ubicación de los archivos de scripts para que el procesoUserInit pueda encontrar esos valores durante su procesamiento normal. Cuando una Extensión de cliente informa quese produjo correctamente, quizá sólo signifique que la ubicación del script se encuentra en el registro. Aunque el valorse encuentra en el registro, podrían ocurrir problemas que impidan que se le aplique ese valor al cliente. Por ejemplo,si un script especificado en un valor Script tiene un error que le impide finalizar, Extensión de cliente no detectará unerror.

Directiva de grupo procesa un GPO y almacena la información del script en el registro en las siguientes ubicaciones:

HKCU\Software\Directivas\Microsoft\Windows\Sistema\Scripts (Scripts de usuario)

HKLM\Software\Directivas\Microsoft\Windows\Sistema\Scripts (Scripts del equipo)

Pregunta: Se asigna un script de inicio de sesión para una unidad organizativa. El script se ejecuta correctamente paratodos los usuarios, pero algunos usuarios notifican que obtienen un mensaje de acceso denegado cuando intentaningresar a la unidad asignada. ¿Cuál es el problema?


Artículo de Microsoft Technet: Fixing Scripts policy settings problems (Solucionar problemas de configuraciónde directivas de scripts)

Laboratorio: Solución de problemas de la Directiva de grupo

Laboratorio: Solución de problemas de Directiva de grupo

Escenario

Woodgrove Bank ha finalizado la instalación de Windows Server 2008. Como administrador de AD DS, una de lastareas principales es solucionar los problemas de AD DS que le transfiere el Departamento de soporte técnico de lacompañía. Además, es responsable de solucionar los problemas relacionados con la aplicación y la configuración deDirectiva de grupo.

Nota: Algunas de las tareas de este laboratorio están diseñadas para ilustrar las técnicas de solución de problemasde GPO y puede que no siempre sigan los procedimientos recomendados.

Ejercicio 1: Solución de problemas de scripts de Directiva de grupo

Ejercicio 1: Solución de problemas de scripts de Directiva de grupo

Se creará y vinculará un GPO que realice las siguientes acciones para todos los usuarios de dominio y equipos:

Establecer en Internet Explorer® como página principal para http://WoodgroveBank.com.

Forzar el menú Inicio clásico.

Forzar al cliente para que espere que se inicialice la red durante el inicio y luego iniciar sesión.

Configurar el Firewall de Windows para permitir la administración remota de entrada.

Luego, deberá aplicar a todos los usuarios de dominio un GPO preconfigurado que asigne una unidad a la carpetacompartida Datos y, además, deberá observar y solucionar los problemas de los resultados.

Todos los usuarios de dominio tendrán una unidad asignada a una carpeta compartida denominada Data. El GPO ya hasido creado y se hizo una copia de seguridad. Debe restaurar y aplicar el GPO que envía la directiva al dominio ysolucionar todos los problemas de la directiva.

Un usuario en la unidad organizativa Miami ha presentado el siguiente vale de soporte técnico:

Nombre de usuario: Roya Asbari

Nombre del equipo: NYC-CL1

Descripción del problema: No hay ninguna unidad asignada a la carpeta Datos.

El vale fue transferido al equipo del servidor para su resolución.

Las principales tareas son:

Iniciar la máquina virtual 6824A-NYC-DC1 e iniciar sesión como Administrador.1.

Crear y vincular una Directiva de escritorio del dominio.2.

Establecer el Internet Explorer® como página principal para http://WoodgroveBank.com.

Forzar el menú Inicio clásico para todos los usuarios de dominio.

Forzar al equipo cliente para que espere que se inicialice la red durante el inicio y luego iniciar sesión.

Configurar el Firewall de Windows para permitir la administración remota de entrada.

Restaurar el GPO Lab11A.3.

Vincular el GPO Lab11A con el dominio.4.

Iniciar la máquina virtual 6824A-NYC-CL1 e iniciar sesión como Administrador.5.

Probar el GPO.6.

Solucionar los problemas del GPO.7.

Solucionar el problema y probar su resolución.8.

Tarea 1: Iniciar la máquina virtual 6824A-NYC-DC1 e iniciar sesión como Administrador

Abra Control remoto de cliente de servidor virtual y luego haga doble clic en 6824A-NYC-DC1.1.


Tarea 2: Crear y vincular una directiva de escritorio del dominio

Abra Administración de directiva de grupo.1.

Cree y vincule un GPO denominado Escritorio con el dominio WoodgroveBank.2.

Edite la directiva como se detalla a continuación:3.

Busque Configuración del equipo, vaya a Plantillas administrativas, luego a Sistema y finalmente a Iniciode sesión. Habilite la directiva Siempre a la red en el inicio e inicio de sesión.

1.

Vaya a Red, luego a Conexiones de red, a Firewall de Windows y finalmente a Perfil de dominio. Habilite ladirectiva Firewall de Windows: Permitir excepciones de administración remota entrante y luego escribasubredlocal en el campo y haga clic en Aceptar.

2.

Vaya a Configuración del usuario, luego a Configuración de Windows, a Mantenimiento de InternetExplorer, a Direcciones URL y finalmente a Direcciones URL importantes.

3.

En el cuadro de diálogo Direcciones URL importantes, personalice la URL de la página principal para quesea http://WoodgroveBank.com.

4.

Vaya a Plantillas administrativas, luego a Menú inicio y Barra de herramientas y luego habilite el valorForzar menú inicio clásico.

5.

Cierre el Editor de administración de directiva de grupo.4.

Tarea 3: Restaurar el GPO Lab11A

En la GPMC, haga clic con el botón secundario en la carpeta Objetos de directiva de grupo y luego haga clicen Administrar copias de seguridad.

1.

En el cuadro de diálogo Administrar copias de seguridad, escriba D:\6824 en el campo Ubicación de lascopias de seguridad.

2.

Seleccione el GPO Lab 11A, haga clic en Restaurar y luego en Aceptar dos veces.3.

Cierre el cuadro de diálogo Administrar copias de seguridad.4.

Tarea 4: Vincular el GPO Lab11A con el dominio

En la GPMC, haga clic con el botón secundario en el dominio WoodgroveBank.com y luego en Vincular unGPO existente.

1.

En el cuadro de diálogo Seleccionar GPO, seleccione el GPO Lab 11A y luego haga clic en Aceptar.2.

Tarea 5: Iniciar la máquina virtual 6824A-NYC-CL1 y luego iniciar sesión como Administrador

Inicie NYC-CL1 e inicie la sesión como WoodgroveBank\Administrador con la contraseña Pa$$w0rd.

Tarea 6: Probar el GPO

Cierre sesión y luego inicie sesión como Administrador.1.

Nota: Se requieren dos inicios de sesión para ver la configuración de Directiva de grupo ya que Administrador iniciasesión usando las credenciales almacenadas en la memoria caché.

Haga clic en el botón Inicio y asegúrese de ver el menú Inicio clásico.2.

Haga doble clic en Internet Explorer y luego en la X roja para detener el intento de conexión con la página deinicio predeterminada. Haga clic en el icono Página principal en la barra de herramientas y asegúrese de quehttp://WoodgroveBank.com sea la página principal.

3.

Haga doble clic en Internet Explorer y luego en la X roja para detener el intento de conexión con la página deinicio predeterminada. Haga clic en el icono Página principal en la barra de herramientas y asegúrese de quehttp://WoodgroveBank.com sea la página principal.

4.

Cierre el Internet Explorer.5.

Haga doble clic en Equipo en el escritorio y asegúrese de que cuenta con una unidad asignada para la carpetacompartida denominada Data.

6.

Cierre sesión.7.

Inicie sesión en NYC-CL1 como Roya, usando la contraseña Pa$$w0rd.8.

Cierre Centro de Bienvenida.9.

Haga clic en el botón Inicio y asegúrese de que Roya vea el menú Inicio clásico.10.

En el escritorio, haga doble clic en Internet Explorer y luego haga clic en el icono Página principal de la barrade herramientas para asegurarse de que http://WoodgroveBank.com sea la página principal.

11.

Cierre el Internet Explorer.12.

En el Escritorio, haga doble clic en Equipo y compruebe la unidad asignada a la carpeta compartidadenominada Datos.

13.

Tarea 7: Solución de problemas del GPO

Cambie nuevamente a NYC-DC1.1.

En la GPMC, haga clic con el botón secundario en Resultados de directiva de grupo y luego en el Asistentede resultados de directiva.

2.

En la pantalla Selección de equipo, haga clic en Otro equipo y luego escriba NYC-CL1 en el campo.3.

En la ventana Selección de usuario, seleccione WoodgroveBank\Roya y luego haga clic en Finalizar.4.

En la sección Resumen de configuración del usuario, haga clic en Objetos de directiva de grupo y luegoen GPO aplicados.

5.

Haga clic en la ficha Configuración.6.

Expanda Configuración de Windows, luego Scripts y finalmente Inicio de sesión.7.

Cambie nuevamente a NYC-CL1 como Roya.8.

Pruebe el permiso de Roya para obtener acceso a la ubicación de scripts abriendo un comando Ejecutar,escribiendo \\nyc-dc1\scripts y luego presionando ENTER.

9.

Haga clic en Aceptar para descartar el cuadro de diálogo de error.10.

Nota: Si cuenta con tiempo suficiente, puede visualizar el registro funcional de Directiva de grupo como Administradoren NYC-CL1. Si aplica un filtro a la vista para mostrar los eventos que genera Roya, podría ver que el registro nodetecta errores o advertencias para este usuario. Esto se debe a que el GPO establece únicamente un valor en elregistro que define la ubicación de la carpeta de scripts. Directiva de grupo ignora si el usuario tiene acceso a laubicación y si se logró escribir correctamente en el registro. Por lo tanto, el registro de Directiva de grupo no presentaerrores. Se debería auditar el Acceso a objetos para la carpeta de scripts a fin de determinar los problemas deacceso.

Tarea 8: Determinar y probar la solución

Cambie nuevamente a NYC-DC1 y abra Explorador de Windows.1.

Vaya a la carpeta D:\6824\scripts.2.

Agregue Usuarios autenticados a la lista de permisos Compartir y concédales Permiso de lectura.3.

Cambie a NYC-CL1 como Roya, cierre sesión y luego inicie sesión.4.

En el escritorio, haga doble clic en Equipo.5.

Nota: Otra manera de resolver el problema sería moviendo el script al recurso compartido Netlogon.

Cierre sesión.6.

Resultado: Al finalizar este ejercicio, habrá solucionado un problema de scripts de Directiva de grupo.


Ejercicio 2: Solución de problemas del GPO Laboratorio 11B

Ejercicio 2: Solución de problemas del GPO Laboratorio 11B

Los usuarios de dominio en la unidad organizativa Miami y todas las unidades organizativas secundarias no debentener acceso al Panel de control. Deberá restaurar y aplicar el GPO que envía la directiva a la unidad organizativaMiami.

El técnico local in situ presentó un vale de soporte técnico y transfirió el siguiente problema al equipo del servidor:

Nombre de usuario: Técnico local




Descripción del problema: Ningún usuario debería tener acceso al Panel de control. Sin embargo, algunosusuarios tienen acceso al Panel de control mientras que otros no. Específicamente, un gerente de la sucursalde Miami, Roya, tiene acceso al Panel de control.



Restaurar el GPO Lab11B.1.

Vincular el GPO Lab11B con la unidad organizativa Miami.2.

Probar el GPO usando diferentes usuarios.3.

Solucionar los problemas del GPO usando RSoP.4.

Determinar y probar la resolución.5.

Tarea 1: Restaurar el GPO Lab11B

Desde NYC-DC1, en la GPMC, haga clic con el botón secundario en la carpeta Objetos de directiva de grupoy luego haga clic en Administrar copias de seguridad.

1.

En el cuadro de diálogo Administrar copias de seguridad, escriba D:\6824\Copia de Seguridad GPO en elcampo Ubicación de copia de seguridad.

2.

Restaure el GPO Lab 11B.3.

Tarea 2: Vincular el GPO Lab11B con la unidad organizativa Miami

En la GPMC, haga clic con el botón secundario en la unidad organizativa Miami y luego en Vincular un GPOexistente.

1.

En el cuadro de diálogo Seleccionar GPO, seleccione el GPO Lab 11B y luego haga clic en Aceptar.2.


Inicie sesión en NYC-CL1 como Rich, usando la contraseña Pa$$w0rd.1.

Asegúrese de que la configuración del GPO Escritorio esté aplicada.2.

Asegúrese de que el ícono Panel de control no se muestre en el escritorio o en Menú inicio.3.

Cierre sesión.4.

Inicie sesión en NYC-CL1 como Roya.5.

Cierre sesión.6.

Tarea 4: Solución de problemas del GPO


En la GPMC, haga clic con el botón secundario en Resultados de directiva de grupo y luego en el Asistentede resultados de directiva de grupo.

2.

En la ventana Selección de equipo, haga clic en Otro equipo y luego escriba NYC-CL1 en el campo.3.

En la ventana Selección de usuario, seleccione WoodgroveBank\Rich y luego haga clic en Finalizar.4.


5.


Expanda Configuración de Windows y luego Panel de control.7.

Haga clic con el botón secundario en Resultados de directiva de grupo, consulte Roya en NYC-CL1 en elpanel izquierdo y luego haga clic en Volver e ejecutar la consulta.

8.


9.

Haga clic en GPO negados.10.

Tarea 5: Determinar y probar la resolución

En la GPMC, expanda la carpeta Objetos de directiva de grupo, haga clic en el GPO Lab 11B, luego en laficha Delegación y finalmente en Avanzado.

1.

En la ficha Seguridad, haga clic en MIA_GerentesSucursalGG.2.

Elimine MIA_GerentesSucursalGG de la lista de permisos y haga clic en Aceptar.3.

Cambie a NYC-CL1 e inicie sesión nuevamente como Roya.4.

Resultado: Al finalizar este ejercicio, habrá solucionado un problema de Objetos de directiva de grupo.


Ejercicio 3: Solución de problemas del GPO Laboratorio 11C

Ejercicio 3: Solución de problemas del GPO Laboratorio 11C

Los usuarios de la unidad organizativa Miami no deberían tener acceso al comando Ejecutar en el menú Inicio. Deberestaurar y vincular el GPO Lab 11C a fin de aplicar este valor.

El técnico del escritorio local ha transferido el siguiente problema al equipo del servidor:



Descripción del problema: Ningún usuario debería tener acceso al comando Ejecutar en el menú Inicio, perotodos los usuarios de la unidad organizativa Miami tienen acceso al comando Ejecutar.



Restaurar el GPO Lab11C.1.

Vincular el GPO Lab11C con la unidad organizativa Miami.2.

Probar el GPO.3.


Determinar y probar la resolución.5.

Tarea 1: Restaurar el GPO Lab11C


1.

En el cuadro de diálogo Administras copias de seguridad, escriba D:\6824\Copia de Seguridad GPO en elcampo Ubicación de copia de seguridad.

2.

Restaure el GPO Lab 11C.3.

Tarea 2: Vincular el GPO Lab11C con la unidad organizativa Miami

En la GPMC, haga clic con el botón secundario en la unidad organizativa Miami y luego en Vincular un GPOexistente.

1.

Seleccione el GPO Lab 11C y luego haga clic en Aceptar.2.



Cierre sesión.2.

Tarea 4: Solucionar los problemas del GPO

Cambie a NYC-DC1.1.

En la GPMC, vuelva a ejecutar la consulta Roya en NYC-CL1.2.


3.


En la sección Configuración del usuario, expanda Plantillas administrativas y luego haga clic en Menúinicio y Barra de tareas.

5.


Expanda la carpeta Objetos de directiva de grupo, haga clic con el botón secundario en el GPO Lab 11C yluego haga clic en Edición.

1.

Vaya a Configuración del usuario, a Plantillas administrativas, luego a Menú inicio y finalmente a Barrade tareas.

2.

Haga doble clic en el valor Agregar el comando Ejecutar al menú inicio, haga clic en No configurado yluego en Aceptar.

3.

Busque Quitar el menú Ejecutar del menú inicio y habilite la configuración.4.

Cierre el Editor de objetos de directiva de grupo.5.


No cierre sesión.7.



Ejercicio 4: Solución de problemas del GPO Laboratorio 11D

Ejercicio 4: Solución de problemas del GPO Laboratorio 11D

Debe restaurar el GPO Lab 11D y vincularlo con la carpeta Bucle invertido. Este GPO está diseñado para optimizar laseguridad.

Un usuario en la unidad organizativa Miami ha presentado el siguiente vale de soporte técnico:

Nombre de usuario: Roya Asbari


Descripción del problema: Desde la aplicación del GPO, Roya ya no posee el menú Inicio clásico o laasignación de unidad y ya no puede ejecutar Internet Explorer.



Crear una nueva unidad organizativa denominada Bucle invertido.1.

Restaurar el GPO Lab11D.2.

Vincular el GPO Lab11D con la unidad organizativa Bucle invertido.3.

Mover NYC-CL1 a la unidad organizativa Bucle invertido.4.

Probar el GPO.5.


Solucionar el problema y probar su resolución.7.

Tarea 1: Crear una nueva unidad organizativa denominada Loopback

Use Usuarios y equipos de Active Directory para crear una nueva unidad organizativa denominada Bucleinvertido en el dominio WoodgroveBank.com.

Tarea 2: Restaurar el GPO Lab11D


1.

En el cuadro de diálogo Administrar copias de seguridad, escriba D:\6824\Copia de Seguridad GPO en elcampo Ubicación de copia de seguridad.Restaure el GPO Lab 11D.

2.

Tarea 3: Vincular el GPO Lab11D con la unidad organizativa Bucle invertido

En la GPMC, haga clic con el botón secundario en la unidad organizativa Bucle invertido y luego en Vincularun GPO existente.

1.

En el cuadro de diálogo Seleccionar GPO, seleccione el GPO Lab 11D y luego haga clic en Aceptar.2.

Tarea 4: Mover NYC-CL1 a la unidad organizativa Bucle invertido

Haga clic en Inicio, luego en Herramientas administrativas y finalmente haga clic en Usuarios y equipos deActive Directory.

1.

Expanda el dominio WoodgroveBank.com y luego haga clic en el contenedor Equipos.2.

Haga clic con el botón secundario en la cuenta de equipo NYC-CL1 y luego haga clic en Mover.3.

Seleccione la unidad organizativa Bucle invertido y luego haga clic en Aceptar.4.


Cambie a NYC-CL1 y luego reinicie el equipo.1.

Inicie sesión como WoodgroveBank\Roya usando la contraseña Pa$$w0rd.2.

Cierre Centro de Bienvenida.3.

Presione el botón Inicio.4.

Haga doble clic en Internet Explorer.5.

Cierre Internet Explorer.6.

Tarea 6: Solucionar los problemas del GPO


En la GPMC, ejecute Asistente de resultados de directiva.2.

En la ventana Selección de equipo, haga clic en Otro equipo, escriba NYC-CL1 en el cuadro de texto y luegohaga clic en Siguiente.

3.

En la ventana Selección de usuario seleccione WoodgroveBank\Roya y luego haga clic en Finalizar.4.

En la sección Resumen de configuración del equipo, haga clic en Objetos de directiva de grupo y luegoen GPO aplicados.

5.

En la sección Configuración del equipo, haga clic en Plantillas administrativas y luego enSistema/Directiva de grupo.

6.


En la GPMC, haga clic con el botón secundario en la unidad organizativa Admins y deshabilite el vínculo con elGPO Lab 11D.

1.

Reinicie el equipo NYC-CL1.2.

Inicie sesión como Roya.3.





Observaciones

Tenga en cuenta lo siguiente cuando desee implementar un plan de supervisión de AD DS:

Las Extensiones de cliente controlan la aplicación de Directiva de grupo a intervalos regulares configurables.

Los números de versión de GPO indican si se ha modificado una Directiva de grupo.

No todas las Extensiones de cliente procesan a través de un vínculo lento.

La configuración de seguridad se actualiza cada 16 horas.

Windows XP y las versiones anteriores se registran en el registro Userenv para la mayoría de los problemasrelacionados con Directiva de grupo. Es posible modificar el registro para habilitar otros registros deExtensiones de cliente.

Windows Vista se registra en los registros funcionales de Visor de eventos.

El bloqueo de la herencia impedirá la aplicación de todas las directivas de nivel superior, a menos que dichasdirectivas estén aplicadas.

Es posible filtrar Directiva de grupo para que se aplique únicamente a ciertos principios de seguridad usando laconfiguración de seguridad o los scripts WMI.

Directiva de grupo consta de dos partes: Plantillas de directivas de grupo y Contenedores de directivas degrupo. Directiva de grupo replica estos objetos en momentos diferentes usando distintos mecanismos.

Windows XP y las versiones posteriores inician sesión de usuarios que poseen credenciales almacenadas enla memoria caché de manera predeterminada. Numerosas configuraciones de usuario requerirán dos inicios desesión por esta razón.

Windows XP y las versiones anteriores utilizan el ICMP para determinar la velocidad del vínculo. Windows Vistay las versiones posteriores usan el reconocimiento de la red para determinar la velocidad del vínculo.

Los principios de seguridad necesitan un permiso para obtener acceso a las ubicaciones de scripts a fin depoder ejecutarlos.

De manera predeterminada, los scripts de inicio del equipo se ejecutan de modo sincrónico.

De manera predeterminada, los scripts de inicio de sesión de usuario se ejecutan de modo asincrónico.

Herramientas

Usar las siguientes herramientas al solucionar problemas de Directiva de grupo:

Ping Probar la conectividad de la red.

NSlookup Probar las búsquedas DNS.

DCdiag Probar los controladores de dominio.

Set Mostrar, establecer o quitar las variables del entorno.

Kerbtray Mostrar la información del vale de Kerberos.

Informe de Directiva de grupo RSoP Presentar información sobre las directivas actuales que se envían a losclientes.

GPResult Una utilidad de línea de comandos que muestra la información de RSoP.

GPOTool Comprobar la estabilidad de Objetos de directiva de grupo y supervisar lareplicación de la directiva.

GPResult Actualizar la configuración local de Directiva de grupo basada en AD DS.

Dcgpofix Restaurar los objetos predeterminados de la Directiva de grupo a su estadooriginal luego de la instalación inicial.

GPOLogView Exportar los eventos relacionados con la Directiva de grupo del sistema y losregistros operativos a archivos de texto, HTML o XML. Compatible conWindows Vista y versiones posteriores.

Scripts de Administración de directivasde grupo

Los scripts de muestra que realizan diversas tareas de solución deproblemas y mantenimiento.


¿Qué herramienta puede probar la resolución de nombres DNS?1.

NSlookup

DCdiag

GPResult

Ping

¿Qué registro le brindará información detallada acerca de la redirección de carpetas?2.

________________________________________________________________

¿Qué indicador visual en la GPMC muestra que la herencia ha sido bloqueada?3.

________________________________________________________________

¿Qué configuración de GPO se aplica a través de vínculos lentos de manera predeterminada? Elija todas lasque correspondan:

4.

Directivas de scripts1.

Configuración de seguridad2.

Configuración administrativa3.

Mantenimiento de Internet Explorer4.

Directiva de recuperación EFS5.

Directiva IPSec6.

Modulo 12 : Implementación de una infraestructura de Servicios dedominio de Active Directory

Módulo 12

Implementación de una infraestructura de Servicios de dominio deActive Directory

Este módulo explica cómo implementar una infraestructura de Servicios de dominio de Active Directory® (AD DS). Elmódulo consta de cinco ejercicios que conforman los tres laboratorios. Estos ejercicios reforzarán los conceptos delcurso y ofrecerán la oportunidad de realizar diferentes operaciones que no se realizaron en los laboratorios anteriores.Cada uno de los ejercicios es independiente de los demás.

Lección 1: Descripción general del dominio de AD DSLección 2: Planeación de una estrategia de Directiva de grupoLaboratorio A: Implementación de Servicios de dominio de Active DirectoryLaboratorio B: Configuración de relaciones de confianza de bosqueLaboratorio C: Diseño de una estrategia de Directiva de grupo

Lección 1: Descripción general del dominio de AD DS

Lección 1:

Descripción general del dominio de AD DS

En esta lección, observará los componentes del dominio de AD DS con los que trabajará en el laboratorio.

Descripción general del diseño de dominio de AD DS

Descripción general del diseño de dominio de AD DS

Puntos clave

El gráfico de la diapositiva describe la configuración actual del dominio en Woodgrove Bank.

Descripción general del diseño requerido del dominio

Descripción general del diseño requerido del dominio

Puntos clave

El gráfico de la diapositiva describe la configuración requerida para el dominio en Woodgrove Bank. El dominioContoso se unirá al bosque Woodgrove Bank como un árbol independiente del mismo bosque.

Descripción general del diseño del sitio AD DS

Descripción general del diseño del sitio AD DS

Puntos clave

El gráfico de la diapositiva describe la configuración actual del sitio en Woodgrove Bank. Se ha abierto una nuevasucursal en Nueva York y se creará un nuevo sitio para controlar el tráfico de inicio de sesión.

Se crearán los siguientes dos sitios:

· El sitio Contoso.com, que incluirá la subred 192.168.0.0

· El sitio NYC-Sucursal, que incluirá la subred 10.30.0.0

Lección 2: Planeación de una estrategia de Directiva de grupo

Lección 2:

Planeación de una estrategia de Directiva de grupo

En esta lección se planearán Directivas de grupo y se implementarán en los laboratorios.

Descripción general de la implementación del controlador de dominio

Descripción general de la implementación del controlador de dominio

Puntos clave

El gráfico describe la implementación del nuevo controlador de dominio en Woodgrove Bank.

Se cambiará el nombre del equipo Server Core NYC-SRV2 a NYC-DC3 para reflejar la nueva función y seinstalará la función del controlador de dominio de sólo lectura (RODC) en NYC-DC3.

Se cambiará el nombre del equipo NYC-SRV1 a ContosoDC para reflejar la nueva función y luego se convertiráen el controlador de dominio Contoso.

Laboratorio A: Implementación de Servicios de dominio de ActiveDirectory

Laboratorio A: Implementación de Servicios de dominio de ActiveDirectory

Escenario

Woodgrove Bank está implementando AD DS del sistema operativo Windows Server®°2008. El administrador de laempresa ha creado un diseño para la implementación. Como administrador de AD DS, implementará este diseño ycomprobará que todos los componentes del diseño funcionen correctamente.

Información del sitio

Habrá dos nuevos sitios: NYC- Sucursal y Contoso.

Nombre del sitio: NYC-Casa Matriz

Subred: 10.10.0.0

Puerta de enlace: 10.10.0.1

Controlador de dominio: NYC-DC1 10.10.0.10

Nombre del sitio: NYC-Sucursal

Subred: 10.30.0.0


Controlador de dominio: NYC-DC3 (RODC) (previamente denominado NYC-SRV2) 10.30.0.10

Nombre del sitio: Contoso

Subred: 192.168.0.0


Controlador de dominio: ContosoDC (previamente denominado NYC-SRV1) 192.168.0.10

Información de dominio

Habrá dos dominios: WoodgroveBank.com y Contoso.com

WoodgroveBank y Contoso pertenecen al mismo bosque. WoodgroveBank es el dominio raíz del bosque y Contoso

es un árbol independiente del bosque.

WoodgroveBank.com

Controladores de dominio: NYC-DC1, NYC-DC2, NYC-DC3 (RODC) (previamente denominado NYC-SRV2)

Contoso.com

Controlador de dominio: ContosoDC (previamente denominado NYC-SRV1)

Nota: El siguiente laboratorio requiere que se ejecuten cuatro máquinas virtuales al mismo tiempo. Se recomiendaque los equipos de los alumnos estén configurados con un GB adicional de memoria RAM (para alcanzar un total de 3GB) y así mejorar el rendimiento de la máquina virtual en el laboratorio.

Ejercicio 1: Instalación de un RODC en un Server Core y creación de unsitio de una sucursal

Ejercicio 1: Instalación de un RODC en un Server Core y creación de un sitio de una sucursal

Escenario

Woodgrove Bank ha abierto una nueva sucursal en la ciudad de Nueva York. Las cuentas de usuarios de losempleados de la sucursal se ubicarán en una unidad organizativa (UO) independiente. Para controlar el tráfico de iniciode sesión, se ha decidido crear un sitio independiente para la nueva sucursal y un controlador de dominio de sólolectura (RODC) en una instalación Server Core en el sitio.

Se le ha asignado la tarea de crear y configurar el controlador de dominio de la nueva sucursal de la ciudad de NuevaYork. Usará un servidor existente, el NYC-SRV2, que es una instalación Server Core. Deberá realizar las siguientestareas en AD DS:

Preconfigurar la cuenta para el RODC de la sucursal.

Crear una unidad organizativa denominada Empleados de Sucursal, que incluirá las cuentas de usuarios.

Crear cuentas de usuarios para el gerente y los usuarios de la sucursal.

Crear un grupo global denominado UsuariosSucursalGG y agregarle los usuarios de la sucursal.

Se almacenarán en la memoria caché del RODC únicamente las contraseñas de los empleados de la sucursal.

También deberá crear el sitio y el objeto de subred 10.30.0.0 para la sucursal. Luego deberá cambiar el nombreNYC-SRV2 por NYC-DC3, para que refleje su función actual. Deberá configurar la dirección IP de manera tal querefleje la subred del sitio de la sucursal. Luego deberá instalar RODC en el servidor.

Por último, establecerá la configuración de manera tal que la replicación con el sitio de la oficina central se realice cada30 minutos.


Iniciar las máquinas virtuales e iniciar sesión.1.

Copiar el archivo de instalación desatendida y cambiar el nombre NYC-SRV2 por NYC-DC3.2.

Cambiar la dirección IP de NYC-SRV2 por 10.30.0.10.3.

Crear el sitio NYC-Sucursal y cambiar el nombre del sitio predeterminado.4.

Crear objetos de subred para los sitios de la oficina central y la sucursal NYC.5.

Configurar el programa de replicación.6.

Crear una unidad organizativa para la sucursal.7.

Crear usuarios y grupos para la sucursal.8.

Configurar el servicio DNS en NYC-DC1 de manera tal que permita transferencias de zona.9.

Realizar la preparación preliminar en la cuenta de equipo para el RODC.10.

Instalar la función de DNS en NYC-DC3.11.

Instalar RODC en NYC-DC3 y comprobar los resultados.12.

Cerrar NYC-SRV2 y descartar los discos para deshacer13.



1.




En Iniciador de laboratorio, junto a 6824A-NYC-RAS, haga clic en Iniciar.5.

Inicie sesión en todos los equipos como Administrador, usando la contraseña Pa$$w0rd.6.


Tarea 2: Copiar el archivo de instalación desatendida y cambiar el nombre NYC-SRV2 por NYC-DC3

Copie el archivo NYC-Rodc.txt de la carpeta D:\6824\Allfiles\Mod12\Labfiles de NYC-DC1 a la unidad C:.1.

En el símbolo del sistema, escriba Netdom renamecomputer %computername% /NewName:NYC-DC3/Force /REBoot:5 y luego presione ENTRAR. El equipo se reiniciará automáticamente después de 5segundos.

2.

Tarea 3: Cambiar la dirección IP de NYC-SRV2 por 10.30.0.10

En el símbolo del sistema, escriba netsh interface ipv4 show interfaces. Observe el número de índice de lainterfaz Conexión de área local (<Ind>).

1.

En el símbolo del sistema, escriba netsh interface ipv4 set address name=<Ind> source=staticaddress=10.30.0.10 mask=255.255.0.0 gateway=10.30.0.1 y luego presione ENTRAR.

2.

En el símbolo del sistema, escriba Ipconfig /all y asegúrese de que la información de la dirección IP seacorrecta y de que el Servidor DNS sea 10.10.0.10.

3.

Tarea 4: Crear el sitio NYC-Sucursal y cambiar el nombre del sitio predeterminado

En NYC-DC1, abra Sitios y servicios de Active Directory.1.

Haga clic con el botón secundario en Sites y luego haga clic en Nuevo sitio nombrado NYC-Sucursal.Seleccione DefaultIPSiteLink y luego haga clic en Aceptar.

2.

Cambie el nombre de Default-First-Site-Name por NYC-Casa-Matriz.3.

Tarea 5: Crear objetos de subred para los sitios de la oficina central y la sucursal NYC

Cree un nuevo objeto de subred para la subred 10.10.0.0/16. Seleccione el sitio NYC-Casa-Matriz y luegohaga clic en Aceptar.

1.

Cree un nuevo objeto de subred para 10.30.0.0/16. Seleccione el sitio NYC-Sucursal y haga clic en Aceptar.2.

Tarea 6: Configurar el programa de replicación

Abra las propiedades de la subred DEFAULTIPSITELINK.1.

Escriba 30 en el campo Replicar cada y luego haga clic en Aceptar.2.

Cierre Sitios y servicios de Active Directory.3.

Tarea 7: Crear una unidad organizativa para los usuarios de la sucursal


Cree una nueva unidad organizativa denominada NYC-Sucursal.2.

Tarea 8: Crear usuarios y grupos para la sucursal

Cree un nuevo usuario con los siguientes parámetros:1.

Nombre: Gerente Sucursal

Nombre de inicio de sesión: gerentesucursal


La contraseña nunca caduca

Cree un segundo usuario con los siguientes parámetros:2.

Nombre: Usuario sucursal

Nombre de inicio de sesión : usuariosucursal


La contraseña nunca caduca

Cree un nuevo grupo global denominado UsuariosSucursalGG.3.

Agregue las cuentas Gerente Sucursal y Usuario Sucursal al grupo global UsuariosSucursalGG.4.

Tarea 9: Configurar el servicio DNS en NYC-DC1 de manera tal que permita transferencias de zona

En NYC-DC1, abra la Consola Administrador de DNS.1.

Configure la zona WoodgroveBank.com en Permitir transferencias de zona.2.

Cierre el Administrador de DNS.3.

Tarea 10: Realizar la preparación preliminar de la cuenta de equipo para el RODC

Vuelva a Usuarios y equipos de Active Directory, haga clic con el botón secundario en la unidad organizativaDomain Controllers y luego haga clic en Crear previamente una cuenta de controlador de dominio desólo lectura.

1.

En la página Bienvenidos al asistente de instalación de servicios de dominio de Active, seleccione lacasilla Usar la instalación en modo avanzado y luego haga clic en Siguiente.

2.

En la página Compatibilidad del sistema operativo, haga clic en Siguiente.3.

En la página Credenciales de red, compruebe que esté seleccionada la opción Mis credenciales de iniciode sesión actuales y luego haga clic en Siguiente.

4.

En la página Especificar nombre del equipo, en el campo Nombre de equipo, escriba NYC-DC3 y luegohaga clic en Siguiente.

5.

En la página Seleccionar un sitio, haga clic en NYC-Sucursal y luego haga clic en Siguiente.6.

En la página Opciones adicionales del controlador de dominio, mantenga los valores predeterminados yluego haga clic en Siguiente.

7.

En la página Especificar la directiva de replicación de contraseñas, haga clic en Agregar y luegoseleccione Permitir la replicación en este RODC de contraseñas de la cuenta.

8.

Agregue UsuariosSucursalGG.9.

En la página Delegación de instalación y administración de RODC, haga clic en Establecer y luegoagregue la cuenta GerenteSucursal.

10.

Cierre el asistente para crear la cuenta RODC. Observe que la cuenta de equipo NYC-DC3 está enumerada enAD DS, y el Tipo de DC es Cuenta de DC no ocupada.

11.

Tarea 11: Instalar la función de DNS en NYC-DC3

{0>En NYC-DC3, escriba Oclist para visualizar las funciones actualmente instaladas.<0}{>Observe que no hayafunciones actualmente instaladas.<0}

1.

Escriba start /w ocsetup DNS-Server-Core-Role y luego presione ENTRAR para instalar el servidor DNS. Elnombre de la función del Server Core distingue mayúsculas de minúsculas.

2.

Tarea 12: Instalar RODC en NYC-DC3 y comprobar los resultados

Escriba dcpromo.exe /UseExistingAccount:Attach/unattend:C:\nyc-rodc.txt. Demorará varios minutos enrealizarse la promoción y se llevará a cabo el reinicio de sesión automáticamente para completar la instalación.

1.

Inicie sesión en NYC-DC3 como GerenteSucursal.2.

Cambie a NYC-DC1 y actualice la vista de la unidad organizativa Domain Controllers. Observe que el tipo DC deNYC-DC3 ahora está configurado como Sólo lectura, GC.

3.

Abra Sitios y servicios de Active Directory y examine el sitio NYC-Sucursal. Observe que NYC-DC3 ahoraestá enumerado en el contenedor de servidores.

4.

Abra el Administrador de DNS y conéctese al servidor DNS de NYC-DC3. Observe que NYC-DC3 hospedauna copia de la zona WoodgroveBank.com.

5.

Nota: Si el servidor no está disponible, espere unos minutos y vuelva a intentarlo. Observe que NYC-DC3hospeda una copia de la zona Woodgrovebank.com.

Cierre la consola DNS.2.


Cierre la ventana 6824A-NYC-SRV2 Control remoto de máquina virtual.1.


Resultado: Al finalizar el ejercicio, habrá creado un RODC en un equipo Server Core


Ejercicio 2: Creación de un dominio en un árbol y un sitio independientes

Ejercicio 2: Creación de un dominio en un árbol y un sitio independientes

Escenario

Woodgrove Bank ha adquirido una pequeña empresa denominada Contoso, Ltd. Por motivos legales, dicha empresadebe tener un dominio independiente en un nuevo árbol de dominios en el mismo bosque. Esto les permitirá mantenerel espacio de nombres Contoso.com. El dominio Contoso también estará en un sitio independiente.

Se le ha asignado la tarea de crear el dominio para Contoso, Ltd, que recibirá el nombre Contoso.com y tendrá unárbol de dominios independiente en el bosque WoodgroveBank. Convertirá un servidor existente, NYC-SRV1, en elnuevo controlador de dominio. Deberá cambiar el nombre del equipo a ContosoDC. También deberá crear un sitioindependiente para el dominio Contoso que use la subred 192.168.0.0 y configurar el equipo ContosoDC con ladirección IP 192.168.0.10. Configurará la replicación entre el sitio New York y el sitio Contoso de manera tal que serealice cada 4 horas, entre las 18:00 y las 06:00. Instalará y configurará el servicio DNS en ContosoDC de manera talque mantenga una zona secundaria de WoodgroveBank.com. Por último, convertirá ContosoDC en el controlador dedominio Contoso.com.


Iniciar NYC-SRV1.1.

Crear el sitio Contoso.2.

Crear la subred para el sitio Contoso.3.

Crear y configurar un nuevo vínculo de sitio para replicación.4.

Cambiar el nombre del servidor NYC-SRV1 por ContosoDC.5.

Cambiar la dirección IP de ContosoDC.6.

Configurar el servicio DNS en NYC-DC1 para permitir transferencias de zona (Si ha completado el Ejercicio 1,ya ha realizado este paso).

7.

Instalar DNS en ContosoDC.8.

Configurar el servicio DNS en ContosoDC.9.

Convertir el servidor en el controlador de dominio Contoso.10.

Cerrar NYC-SRV1 y NYC-DC2 y descartar los discos para deshacer.11.

Tarea 1: Iniciar NYC-SRV1

En Iniciador de laboratorio, junto a 6824A-NYC-SRV1, haga clic en Iniciar.1.


Tarea 2: Crear el sitio Contoso

En NYC-DC1, abra Sitios y servicios de Active Directory.1.

Cree un nuevo sitio denominado Contoso.2.

Seleccione el vínculo de sitio DefaultIPSiteLink, haga clic en Aceptar y luego en Aceptar para aceptar elmensaje.

3.

Tarea 3: Crear la subred para el sitio Contoso

Cree un nuevo objeto de subred para la subred 192.168.0.0/24. Seleccione el sitio Contoso y luego haga clicen Aceptar.

1.

Cierre Sitios y servicios de Active Directory.2.

Tarea 4: Crear y configurar un nuevo vínculo de sitio para replicación

Cree un nuevo vínculo a sitio denominado Contoso-NYC-CM.1.

Abra las propiedades del vínculo de sitio Contoso-NYC-CM y agregue los sitios Contoso y NYC-Casa-Matriz alvínculo de sitio.

2.

Escriba 240 en el campo Replicar cada y luego haga clic en Cambiar programación.3.

En el cuadro de diálogo Programación para Contoso-NYC-CM, haga clic y arrastre para seleccionar elhorario 06:00 A 18:00 de lunes a viernes, haga clic en Replicación no disponible y luego haga clic enAceptar dos veces.

4.

Tarea 5: Cambiar el nombre de NYC-SRV1 por ContosoDC

Inicie sesión en NYC-SRV1 como AdminLocal, usando la contraseña Pa$$w0rd.1.

Cambie el nombre del equipo a ContosoDC y luego reinicie el equipo.2.

Tarea 6: Cambiar la dirección IP de ContosoDC

Inicie sesión en ContosoDC como AdminLocal, usando la contraseña Pa$$w0rd.1.

Configure la dirección IPv4 como se detalla a continuación:2.

Dirección IP: 192.168.0.10

Máscara de subred: 255.255.255.0

Puerta de enlace predeterminada: 192.168.0.1

Servidor DNS preferido: 10.10.0.10

Tarea 7: Configurar el servicio DNS en NYC-DC1 para permitir transferencias de zona (Si ha completado el Ejercicio 1, ya harealizado este paso)

Cambie a NYC-DC1.1.

Abra la consola Administración de DNS.2.

Configure la zona WoodgroveBank.com en Permitir transferencias de zona.3.


Tarea 8: Instalar la función del servidor DNS en ContosoDC

Cambie a ContosoDC.1.

Instale la función del servidor DNS.2.

Deje el Administrador de servidor abierto.3.

Tarea 9: Configurar el servicio DNS en ContosoDC

Abra la consola Administración de DNS.1.

Cree una zona secundaria directa denominada WoodgroveBank.com.2.

Configure el Servidor maestro DNS como 10.10.0.10. La transferencia de zona demorará unos instantes.Deberá actualizar la consola para ver los cambios.

3.

Expanda Registros globales y luego haga clic en Sucesos DNS. Examine los eventos que describen latransferencia de zona.

4.


Tarea 10: Convertir el servidor en el controlador de dominio Contoso.

Utilice el Administrador del servidor para agregar la función Servicios de dominio de Active Directory.1.

Inicie DCPromo.exe.2.

En Asistente de instalación de servicios de dominio de Active Directory, seleccione Usar la instalaciónen avanzado.

3.

En la página Compatibilidad del sistema operativo, haga clic en Siguiente.4.

En la ventana Elegir configuración de implementación, haga clic en Bosque existente, haga clic en Crearun nuevo dominio en un bosque existente y luego seleccione Crear una raíz de árbol de dominio nuevaen lugar de un nuevo dominio secundario.

5.

En la pantalla Credenciales de red, escriba Woodgrovebank.com en el campo de nombre de dominio, hagaclic en Establecer y luego use las credenciales:

6.

Usuario: Administrador1.

Contraseña: Pa$$w0rd2.

Denomine la nueva raíz del árbol de dominio Contoso.com.7.

En la pantalla Nombre NetBIOS del dominio, haga clic en Siguiente.8.

Establezca el nivel funcional del dominio en Windows Server 2008.9.

En la ventana Seleccionar un sitio, haga clic en Siguiente.10.

En la ventana Opciones adicionales del controlador de dominio, seleccione la casilla Catálogo global yluego haga clic en Siguiente.

11.

En el cuadro de mensaje Asignación IP estática, haga clic en Sí, el equipo utilizará una dirección IPasignada dinámicamente y luego haga clic en Sí para continuar.

12.

Nota: Este mensaje hace referencia a la interfaz IPV6, que está configurada para usar DHCP.

En la ventana Controlador del dominio de origen, haga clic en Siguiente.13.

En la ventana Ubicación de la base de datos, los archivos de registro y SYSVOL, haga clic en Siguiente.14.

Establezca Pa$$w0rd como la contraseña de administrador de modo de restauración de servicios dedirectorio.

15.

En la ventana Resumen, haga clic en Siguiente y luego seleccione Reiniciar al completar.16.

Inicie sesión en el equipo ContosoDC como Contoso\Administrador.17.

Abra Consola de administración de DNS y examine las zonas de búsqueda directa. Observe la zonaContoso.com.

18.

Use el comando configIP /todos para examinar la configuración de IP. Observe que ContosoDC está usando127.0.0.1 como el servidor DNS preferido.

19.

Tarea 11: Apagar NYC-SRV1 y NYC-DC2 y descartar los discos para deshacer

Cierre la ventana 6824A-NYC-SRV1 Control remoto para máquina virtual.1.


Cierre la ventana 6824A-NYC-DC2 Control remoto para máquina virtual.3.


Resultado: Al finalizar este ejercicio, habrá creado un dominio en un árbol y un sitio independientes.


Descripción general de la relación de confianza de bosque

Descripción general de la relación de confianza de bosque

Puntos clave

Este tema es una introducción de la información que necesitará para el próximo laboratorio.

Al finalizar el próximo laboratorio, el bosque Fabrikam será actualizado al nivel Windows Server 2008 y se convertirá unservidor de Windows Server 2008 en un controlador de dominio adicional para el dominio. El bosque Fabrikam.comtendrá una relación de confianza de bosque con el bosque WoodgroveBank. La confianza usará autenticación selectivade manera que sólo se le permita al grupo Admins. Dominio de WoodgroveBank autenticarse en los recursos deldominio Fabrikam.

Laboratorio B: Configuración de relaciones de confianza de bosque

Laboratorio B: Configuración de relaciones de confianza de bosque

Escenario

Woodgrove Bank acaba de adquirir una nueva filial denominada Fabrikam, Inc. Fabrikam actualmente ejecutacontroladores de dominio del sistema operativo Windows Server®°2003. Una de las primeras tareas que deberánrealizar los administradores de Woodgrove Bank será actualizar los controladores de dominio para Windows Server2008. Fabrikam Inc continuará en un bosque independiente y confiará en el bosque Woodgrove Bank.

Ejercicio: Actualización del domino de Fabrikam y creación de unaconfianza de bosque con Woodgrove Bank

Ejercicio: Actualización del domino de Fabrikam y creación de una confianza de bosque conWoodgrove Bank

Escenario

Se le ha asignado la tarea de preparar el bosque y el dominio Fabrikam 2003 de manera tal que acepten loscontroladores de dominio de Windows Server 2008. También deberá configurar transferencias de zona DNS entre elbosque Fabrikam y el bosque WoodgroveBank. Luego convertirá un servidor Windows Server 2008 en un controladorde dominio del dominio Fabrikam. Por último, configurará una confianza de bosque entre WoodgroveBank.com yFabrikam.com. La confianza usará autenticación selectiva de manera que sólo se le permita al grupo Admin. Dominiode WoodgroveBank autenticarse en los recursos del dominio Fabrikam.

Use la siguiente información para realizar el ejercicio:

Nombre del sitio: Fabrikam

Subred: 10.20.0.0


Controlador de dominio: FabrikamDC 10.20.0.10


Iniciar VAN-DC1 y NYC-SVR1.1.

Preparar el bosque y el dominio de manera tal que permitan que el bosque Fabrikam.Com admita controladoresde dominio de Windows Server 2008.

2.

Configurar las transferencias de zona DNS de manera tal que sean recíprocas entre WoodgroveBank.com yFabrikam.com usando zonas de rutas internas.

3.

Cambiar el nombre de NYC-SRV1 por VAN-DC2.4.

Convertir el servidor Windows Server 2008 en un controlador de dominio del dominio Fabrikam.5.

Configurar una confianza de bosque entre WoodgroveBank.com y Fabrikam.com para autenticación selectiva.6.

Configurar la autenticación selectiva para el grupo Admin. Dominio WoodgroveBank.7.

Apagar los servidores.8.

Tarea 1: Iniciar VAN-DC1 y NYC-SVR1

En Iniciador de laboratorio, junto a 6824A-VAN-DC1, haga clic en Iniciar.1.



Tarea 2: Preparar el bosque y el dominio de manera tal que permitan que el bosque Fabrikam.Com admita controladores de dominiode Windows Server 2008

Inicie sesión en VAN- DC1 como Administrador, usando la contraseña Pa$$w0rd.1.


Haga clic con el botón secundario en Fabrikam.com y luego haga clic en Elevar el nivel funcional deldominio.

3.

Eleve el nivel funcional del dominio a Windows Server 2003.4.

Abra Dominios y confianzas de Active Directory.5.

Haga clic con el botón secundario en Dominios y confianzas de Active Directory y luego haga clic en Elevarel nivel funcional del bosque.

6.

Eleve el nivel funcional del bosque a Windows Server 2003.7.

Copie los archivos Windows Server 2008 ADPrep de la carpeta D:\6824\allfiles\Mod12\Adprep en NYC-DC1en C:\Adprep en VAN-DC1.

8.

Desde un símbolo del sistema, escriba el comando C:\Adprep\adprep /forestprep. Lea el mensaje deadvertencia y luego escriba C para continuar. La ejecución de forestprep demorará unos instantes.

9.

En la ventana de símbolo del sistema, escriba C:\ Adprep\adprep /domainprep.10.


Tarea 3: Configurar las transferencias de zona DNS de manera tal que sean recíprocas entre WoodgroveBank.com y Fabrikam.comusando zonas de rutas internas

En VAN-DC1, inicie la consola administración de DNS.1.

Configure la zona Fabrikam.com de manera tal que permita transferencias de zona.2.

En NYC-DC1, inicie la consola de Administración de DNS.3.

Inicie el Asistente para crear zona nueva.4.

En la ventana Tipo de zona, haga clic en Zona de rutas internas.5.

En la ventana Ámbito de replicación de zona de Active Directory, haga clic en Siguiente.6.

En la ventana Nombre de zona, escriba Fabrikam.com.7.

En la ventana Servidores DNS maestros, escriba 10.20.0.10 y luego cierre el asistente. La transferencia dezona demorará unos instantes. Debe actualizar la consola para ver los cambios.

8.


Cambie a VAN-DC1.10.

Inicie el Asistente para crear zona nueva.11.

En la ventana Tipo de zona, haga clic en Zona de rutas internas..12.

En la ventana Ámbito de replicación de zona de Active Directory, haga clic en Siguiente.13.

En la ventana Nombre de zona, escriba WoodgroveBank.com.14.

En la ventana Servidores DNS maestros, escriba 10.10.0.10 y luego cierre el asistente. La transferencia dezona demorará unos instantes. Deberá actualizar la consola para ver los cambios.

15.


Tarea 4: Cambiar el nombre de NYC-SRV1 por VAN-DC2

Inicie sesión en NYC-SRV1 como AdminLocal, usando la contraseña Pa$$w0rd.1.

Cambie la configuración de la dirección IP para la Conexión de área local a:2.

Dirección IP: 10.20.0.11

Máscara de subred: 255.255.0.0

Puerta de enlace predeterminada: 10.20.0.1

Servidor DNS preferido: 10.20.0.10

En Administrador del servidor, haga clic en Cambiar propiedades del sistema.3.

Cambie el nombre del equipo a VAN-DC2 y luego reinícielo.4.

Tarea 5: Convertir el servidor Windows Server 2008 en un controlador de dominio del dominio Fabrikam

Inicie sesión en VAN-DC2 como AdminLocal, usando la contraseña Pa$$w0rd.1.

Agregue la función Servicios de dominio de Active Directory.2.

Inicie DCPromo.exe.3.

En la ventana Elegir una configuración de implementación, haga clic en Bosque existente y mantenga laopción predeterminada Agregar una controlador de dominio a un dominio existente.

4.

En la ventana Credenciales de red, escriba Fabrikam.com en el campo de nombre de dominio, haga clic enEstablecer y use las credenciales:

5.

Usuario: Fabrikam\Administrador


En la ventana Seleccione un dominio, haga clic en Fabrikam.com y luego haga clic en Sí para aceptar elmensaje sobre los RODC.

6.

En la ventana Seleccione un sitio, haga clic en Siguiente.7.

En Opciones adicionales del controlador de dominio, desactive las casillas Servidor DNS y CatálogoGlobal.

8.

En la ventana Conflicto de configuración del maestro de infraestructura, haga clic en Transferir lafunción de maestro de infraestructura a este controlador de dominio.

9.

En la ventana Ubicación de la base de datos, los archivos de registro y Sysvol, haga clic en Siguiente.10.

En Contraseña de admin.del modo de restauración de servicios de directorio, escriba Pa$$w0rd en loscampos Contraseña.

11.

En la página Resumen, haga clic en Siguiente y luego haga clic en Reiniciar al completar.12.

Tarea 6: Configurar una confianza de bosque entre WoodgroveBank.com y Fabrikam.com para autenticación selectiva

Cambie a NYC-DC1.1.

Abra Dominios y confianzas de Active Directory.2.

En las propiedades de WoodgroveBank.com, haga clic en la ficha Confía y luego en Nueva confianza.3.

En el Asistente de nueva confianza, haga clic en Siguiente.4.

Denomine la confianza Fabrikam.com.5.

Cree una confianza de bosque.6.

Configure la confianza de manera tal que sea Unidireccional: de entrada.7.

En la ventana Partes de la relación de confianza, seleccione Ambos, este dominio y el dominioespecificado.

8.

Use las credenciales que se presentan a continuación:9.

Nombre de usuario: Administrador


En la ventana Nivel de autenticación de la confianza saliente-Bosque especificado, haga clic enAutenticación selectiva.

10.

En la ventana Se completo la creación de la confianzas, haga clic en Siguiente.11.

En la ventana Confirmar confianza entrante, haga clic en Siguiente y luego cierre el asistente.12.

Tarea 7: Configurar la autenticación selectiva para el grupo Admins Dominio, de dominio de WoodgroveBank

Cambie a VAN-DC1.1.


Habilite la Vista de Características avanzadas.3.

En la unidad organizativa Domain Controllers, abra las propiedades de VAN-DC1.4.

En la ventana Propiedades de VAN-DC1, haga clic en la ficha Seguridad y luego en Agregar.5.

Otorgue al grupo WoodgroveBank\Admins. del Dominio el permiso Permiso para autenticar.6.

Tarea 8: Apagar NYC-SRV1, NYC-RAS y VAN-DC1 y descartar los discos para deshacer

Cierre NYC-SRV1, NYC-RAS y VAN-DC1 y descarte los discos para deshacer.1.

Cierre la ventana 6824A-NYC-SRV1 Control remoto para máquina virtual.2.


Cierre la ventana 6824A-NYC-RAS Control remoto para máquina virtual.4.


Cierre la ventana 6824A-VAN-DC1 Control remoto para máquina virtual.6.


Resultado: Al finalizar este ejercicio, habrá creado una confianza de bosque.


Descripción general del Diseño de objetos de directiva de grupo de AD DS

Descripción general del Diseño de objetos de directiva de grupo de AD DS

Puntos clave

El gráfico de la diapositiva describe la configuración actual de la unidad organizativa en Woodgrove Bank.

Laboratorio C: Diseño de una estrategia de Directiva de grupo

Laboratorio C: Planeación de una estrategia de Directiva de grupo

Escenario

Como administrador de red de WoodgroveBank.Com, tiene la responsabilidad de desarrollar una directiva de escritorioy seguridad que pueda administrarse centralmente a través de Directiva de grupo.

Ejercicio 1: Planeación de una Directiva de grupo

Ejercicio 1: Planeación de una Directiva de grupo

Escenario

Se le ha asignado la tarea de crear una directiva de seguridad de equipo que pueda enviarse a través de Directiva degrupo. Deberá crear las unidades organizativas que se requieran y luego deberá crear y vincular a éstas las directivascorrespondientes. La directiva corporativa estipula que los servidores se ubicarán en la estructura de árbol de unaunidad organizativa independiente basada en su función. Deben considerarse los servidores de archivos e impresión,servidores SQL™ Server y servidores web.

Use el diagrama de dominio como ayuda para planear la estructura de Directiva de grupo y de la unidad organizativa.

Complete la tabla para describir los Objetos de directiva de grupo (GPO) que se deben crear, qué valores contendrácada uno y a dónde se vincularán los GPO.


Crear una directiva de seguridad global que deberá implementarse en todos los equipos del dominio como seindica a continuación:

1.

La cuenta Administrador integrada de todos los equipos se denominará Admin

El grupo global Admins TI se agregará al grupo local Administradores

Las actualizaciones de Windows se obtendrán de un servidor web denominado http://updates

Crear una directiva de seguridad que se implementará en todos los servidores con más valores de seguridadbasados en la función del servidor, tal como se indica a continuación:

2.

La cuenta Administrador integrada por todos los servidores miembro se denominará SRVAdmin

Los eventos de inicio de sesión de cuentas se auditarán en todos los servidores

No se permitirá ejecutar el Explorador de Internet® en ninguno de los servidores

Los servidores SQL Server impedirán la instalación de dispositivos extraíbles

Configurar una directiva de escritorio corporativo como se indica a continuación:3.

El acceso a la configuración de protector de pantalla estará bloqueada para todos los usuarios del dominio

No se permitirá a los usuarios de Toronto y Miami ejecutar Windows® Messenger

No se permitirá a los usuarios del dominio agregar nuevas impresoras. Los usuarios de la unidad organizativaAdmin estarán exentos de esta configuración.

El cifrado de archivos sin conexión será obligatorio para la unidad organizativa Executives

Se prohibirá el acceso de todos los usuarios al Panel de control, a excepción de los administradores dedominio


Ejercicio 2: Implementación de Directiva de escritorio corporativo

Ejercicio 2: Implementación de Directiva de escritorio corporativo

Escenario

Se le ha asignado la tarea de implementar Directiva de escritorio corporativo al dominio Woodgrove Bank. Creará yvinculará los GPO apropiados.

Las principales tareas de este ejercicio son:

Crear y vincular la Directiva de escritorio del dominio1.

Crear y vincular el GPO Prohibir panel de control2.

Crear y vincular el GPO Forzar cifrado de archivo sin conexión3.

Crear y vincular el GPO Bloquear Windows Messenger4.

Crear y vincular el GPO Permtir agregar impresoras5.

Tarea 1: Crear y vincular la Directiva de escritorio del dominio

En NYC-DC1, abra la consola Administración de directivas de grupo.1.

Cree un GPO denominado Directiva de escritorio del dominio y vincúlelo al dominio WoodgroveBank.com.2.

Edite Directiva de escritorio de dominio como se indica a continuación:3.

Expanda Configuración del usuario, luego Directivas, Plantillas administrativas, Panel de contol y, por último,Impresoras.

Habilite el valor Impedir la agregación de Impresoras.

En Panel de control, haga clic en Pantalla y luego habilite el valor Ocultar la ficha Protector de pantalla.4.


Tarea 2: Crear y vincular el GPO Prohibir panel de control

Expanda Configuración del usuario, luego Plantillas administrativas: definiciones de directivas y, porúltimo, Panel de control.

1.

Habilite el valor Prohibir acceso al panel de control.2.

Cierre el Editor de administración de directivas.3.

Haga doble clic en el GPO Prohibir panel de control, haga clic en la ficha Delegación en el panel de detallesy luego haga clic en Avanzadas.

4.

En el cuadro de diálogo Configuración de seguridad Prohibir panel de control, seleccione Admins. delDominio, luego seleccione la casilla Denegar Aplicar directiva de grupos y, por último, haga clic enAceptar.

5.

Haga clic en Sí para aceptar el mensaje. Esto excluirá al grupo Administradores de dominio de la directiva.6.

Tarea 3: Crear y vincular el GPO Forzar cifrado de archivo sin conexión

Haga clic con el botón secundario en OUEjecutivos y luego haga clic en Crear un GPO en este dominio yvincularlo aquí.

1.

En el cuadro de diálogo Nuevo GPO, escriba Forzar cifrado de archivo sin conexión en el campo Nombrey luego haga clic en Aceptar.

2.

Haga clic con el botón secundario en Forzar cifrado de archivo sin conexión y luego haga clic en Editar.3.

Expanda Configuración del equipo, luego Directivas, Plantillas administrativas, Red y luego haga clic en4.

Archivos sin conexión.

En el panel de detalles, haga doble clic en Cifrar la caché de archivos sin conexión.5.

En el cuadro de diálogo Propiedades de Cifrar la caché de archivos sin conexión, haga clic en Habilitaday luego en Aceptar.

6.


Tarea 4: Crear y vincular el GPO Bloquear Windows Messenger

Haga clic con el botón secundario en OU Miami y luego haga clic en Crear un GPO en este dominio yvincularlo aquí.

1.

En el cuadro de diálogo Nuevo GPO, escriba Bloquear Windows Messenger en el campo Nombre y luegohaga clic en Aceptar.

2.

Haga clic con el botón secundario en Bloquear Windows Messenger y luego haga clic en Editar.3.

Expanda Configuración del usuario, luego expanda Directivas, Plantillas administrativas, Componentesde Windows y luego haga doble clic en Windows Messenger.

4.

En el panel de detalles, haga doble clic en No permitir que se ejecute Windows Messenger.5.

En el cuadro de diálogo Propiedades de Permitir la ejecución de Windows Messenger, haga clic enHabilitada y luego haga clic en Aceptar.

6.


Haga clic con el botón secundario en OU Toronto y luego haga clic en Vincular un GPO existente.8.

En el cuadro de diálogo Seleccionar GPO, haga clic en Bloquear Windows Messenger y luego en Aceptar.9.

Tarea 5: Crear y vincular el GPO Permitir agregar impresoras

Haga clic con el botón secundario en OU AdminsTI y luego haga clic en Crear un GPO en este dominio yvincularlo aquí.

1.

En el cuadro de diálogo Nuevo GPO, escriba Permitir agregar impresoras en el campo Nombre y luegohaga clic en Aceptar.

2.

Haga clic con el botón secundario en Permitir agregar impresoras y luego haga clic en Editar.3.

Expanda Configuración del usuario, luego Directivas, Plantillas administrativas, Panel de control yfinalmente haga clic en Impresoras. En el panel de detalles, haga doble clic en Impedir la agregación deimpresoras.

4.

En el cuadro de diálogo Propiedades de Impedir la agregación de impresoras, haga clic en Deshabilitadqy luego haga clic en Aceptar.

5.


Cierre la GPMC.7.

Apague todas las máquinas virtuales y elimine todos los cambios.8.

Resultado: Al finalizar este ejercicio, habrá implementado una estrategia de Directivade grupo.




Observaciones

Tenga en cuenta lo siguiente cuando desee implementar una infraestructura de AD DS:

Es posible usar sitios para controlar el ámbito del tráfico de inicio de sesión.

Los árboles independientes del bosque permiten la existencia de múltiples espacios de nombres DNS.

Evaluación del curso

Evaluación del curso

La evaluación de este curso ayudará a Microsoft a comprender la calidad de su experiencia de aprendizaje.

Contáctese con su proveedor de cursos para obtener el formulario de evaluación.

Microsoft mantendrá la privacidad y confidencialidad de sus respuestas y usará esta información para mejorar su futuraexperiencia de aprendizaje. Se agradece y valora la honestidad y libertad de sus comentarios.

Active Directory Windows-2008 Microsoft

Documents

Transcript of Active Directory Windows-2008 Microsoft