Victorino

Active Directory en Windows Server 2k8 R2 En esta práctica instalaremos y configuraremos un Servidor con Active Directory, de modo que

cree un dominio y lo gestione y otros equipos se unan a dicho dominio para una gestión

centralizada de usuarios y otros dispositivos.

Lo primero que haremos será configurar nuestra máquina virtual como deseamos. En este caso

le configuraremos una tarjeta de red como Adaptador puente, de modo que esté al mismo nivel

que nuestras máquinas físicas de la red, y otra tarjeta en modo red interna, de modo que

podamos conectar un cliente a esa red interna y hacer pruebas.

Ilustración 1: Configurando nuestra máquina virtual

Una vez iniciada la máquina lo primero a hacer es configurar la red. En nuestro caso la interfaz

de adaptador puente (la que está al mismo nivel que nuestras máquinas físicas) tendrá la IP

192.168.1.151, mientras que la tarjeta de red interna tendrá una IP perteneciente a otra red, la IP

192.168.10.1. A continuación le cambiamos el nombre a la máquina (propiedades del sistema ->

cambiar nombre), y en nuestro caso le pondremos como nombre SERVIDOR. Al hacer esta

operación se nos pedirá reiniciar el sistema.

Ahora ya podemos comenzar a instalar y configurar nuestro Active Directory.

Agregaremos para ello el rol Servicios de Dominio de Active Directory (se nos indicará que hay

que instalar un componente .NET, aceptaremos). Pulsaremos en Siguiente hasta instalar por

completo el componente.

Victorino

Ilustración 2: Instalando Active Directory

Una vez instalado toca configurar el dominio de Directorio Activo. Para ello debemos ejecutar

el comando dcpromo.exe (se nos indica al finalizar el asistente).

Ilustración 3: Menú Inicio -> dcpromo.exe

Seleccionaremos la casilla de Usar instalación en modo avanzado.

A continuación, seleccionaremos la opción Crear un dominio nuevo en un bosque nuevo.

Victorino

Ilustración 4: Creamos un dominio nuevo

Introducimos el nombre del que será nuestro dominio. En nuestro caso, introducimos victor.mio.

Si introducimos un dominio de una sola palabra, el sistema nos indicará que deberá tener al

menos dos palabras separadas por un punto.

Ilustración 5: Asignamos nombre a nuestro dominio

Victorino

Ilustración 6: Error si intentamos crear un dominio de una sola palabra

A continuación introducimos el nombre NetBIOS de nuestro dominio. El sistema ya nos

propone uno, en nuestro caso lo dejaremos.

Ilustración 7: Nombre NetBIOS del dominio

A continuación seleccionaremos el nivel funcional de nuestro bosque. Esta selección es porque

si sabemos que en nuestro dominio va a haber servidores y clientes con versiones antiguas de

Windows Server nuestro servidor se adaptará a ellos.

En el caso de haber clientes con Windows XP (o servidores con Windows Server 2003),

seleccionaremos el nivel Windows Server 2003. Si nuestros clientes tendrán Windows Vista o

posteriores, seleccionaremos nivel Windows Server 2008, y para Windows 7 y posteriores,

seleccionaremos el nivel Windows Server 2008 R2.

Como en nuestro caso sabemos que queremos incorporar un cliente con Windows XP,

seleccionaremos el nivel Windows Server 2003.

Ilustración 8: Seleccionando nivel funcional del bosque

Victorino

La siguiente selección es lo mismo, pero esta vez a nivel de dominio. Dejaremos también la

selección Windows Server 2003.

En la siguiente pantalla se nos indica que es necesario instalar también el rol DNS para el

servidor, ya que Active Directory lo necesita para funcionar. Cuando pulsemos aceptar nos

saldrá un aviso indicando que necesitamos configurar un servidor DNS. Como lo haremos más

adelante, indicaremos que sí queremos continuar.

Ilustración 9: Aviso DNS

En la siguiente pantalla se nos pregunta la ubicación de los ficheros de la base de datos, los

ficheros de registro (logs) y la carpeta SYSVOL (System Volume). Dejaremos los valores por

defecto, aunque lo recomendable es tener estos ficheros en una unidad distinta a la del sistema,

para poder restaurarlos en caso de necesidad.

Ilustración 10: Ubicación de los ficheros

A continuación se nos pide la contraseña de Administrador del modo de restauración. Se trata de

una contraseña de un usuario que nos permitirá restaurar el dominio en caso de fallo. En nuestro

caso le pondremos la contraseña Victor123 (se incluye aquí por motivos de documentación, ya

que es una contraseña distinta a la del Administrador del dominio).

Victorino

Ilustración 11: Contraseña de administrador de restauración

La siguiente pantalla nos ofrece un resumen de la configuración de nuestro dominio, y permite

exportar dicha configuración a fichero de texto. Es muy recomendable exportar esta

configuración para poder reutilizarla si queremos configurar otros dominios, o si queremos

hacer una instalación desatendida utilizando esta misma configuración.

Ilustración 12: Resumen de la configuración

Tras pulsar en Aceptar se comenzará la configuración de nuestro dominio.

Ilustración 13: Configuración final

Victorino

Ilustración 14: Finalización del asistente

Y tras eso ya tendremos configurado nuestro directorio activo. El sistema ahora nos indicará que

reiniciemos la máquina, y cuando lo hagamos veremos que el inicio de sesión habrá cambiado

de la pantalla habitual, pues ya reconocerá el dominio que hemos creado.

Ilustración 15: Nos reconoce el dominio

Una vez iniciada sesión y con el dominio reconocido, lo primero que hay que hacer es

configurar el DNS.

NOTA: Antes de configurar el DNS, hay que ir a las propiedades de la

conexión de área local, y en la casilla del servidor DNS primario cambiar el

127.0.0.1 por la IP del equipo.

También pulsaremos en Opciones Avanzadas, y en la pestaña DNS

pondremos como Sufijo DNS para esta conexión nuestro dominio, en este

caso victor.mio

Victorino

Ilustración 16: Configuraciones a hacer en cuanto iniciamos sesión

Ahora ya podremos configurar el resto de opciones de nuestro DNS. Para ello iremos al menú

Inicio, Herramientas Administrativas, DNS. Aquí desplegaremos nuestro Servidor y tenemos

que crear nuestra Zona Inversa.

Haremos click derecho en Zona de búsqueda inversa y seleccionaremos Zona nueva.

Crearemos una Zona principal, y dejaremos marcada la casilla de abajo del todo.

Ilustración 17: Creando nuestra zona inversa

En la siguiente pantalla podemos elegir cómo se replicarán los datos de la zona. En nuestro caso

dejaremos la opción que viene marcada.

Victorino

Ilustración 18: Opciones de replicación de nuestra zona

En las siguientes pantallas seleccionaremos si queremos crear una zona de búsqueda inversa

IPv4 o IPv6. En nuestro caso estamos trabajando con IPv4, así que la dejaremos como está. Y

en la siguiente pantalla tendremos que introducir los tres primeros segmentos de nuestra IP

interna (en este caso nuestra IP es 192.168.10.1).

Ilustración 19: Opciones de zona inversa

Ilustración 20: Creando la zona de búsqueda inversa

En la siguiente pantalla seleccionaremos la opción que permita actualizaciones seguras y no

seguras.

Victorino

Ilustración 21: Opciones de DNS

Ya con esto tendremos nuestra zona de búsqueda inversa creada. Ahora entraremos en ella (la

desplegaremos en la ventana DNS) y crearemos un nuevo puntero (PTR). Para crearlo haremos

click derecho y seleccionaremos Nuevo Puntero. En la ventana que se nos abrirá pulsaremos

Examinar (1). Seleccionaremos SERVIDOR (2) (Es el nombre de nuestro servidor), y

aceptamos. Seleccionamos Zonas de búsqueda… (3) y aceptamos. Seleccionamos nuestro

dominio, en este caso victor.mio (4) y dentro del dominio seleccionaremos la opción que dice

Igual que la carpeta principal (5).

Ilustración 22: Creando nuestro nuevo puntero

Cuando pulsemos aceptar por última vez (en el paso 5), se nos rellenará la ficha del nuevo

puntero que estamos creando y quedará algo parecido a la imagen siguiente (la IP del servidor y

el nombre del host igual que el nombre de nuestro dominio):

Victorino

Ilustración 23: Nuestro nuevo puntero

A continuación haremos click derecho en el nombre de nuestro servidor e iremos a las

Propiedades del mismo.

Ilustración 24: Entrando en las propiedades del servidor

Dentro de las propiedades iremos a la pestaña Reenviadores y si no tenemos los reenviadores

configurados los añadiremos pulsando en el botón Editar.

Victorino

Ilustración 25: Configurando los reenviadores para nuestro servidor DNS

Aplicaremos los cambios, aceptaremos para cerrar la ventana y actualizaremos el servidor DNS.

Ilustración 26: Actualizamos el servidor

Ahora ya solo nos quedaría comprobar que el servidor DNS está configurado correctamente,

para lo que abriremos una ventana de comandos y ejecutaremos nslookup. Si todo va bien

veremos que el servidor DNS predeterminado es el propio servidor.

Ilustración 27: Configuración DNS correcta

Maquina cliente: Windows XP Pasamos ahora a configurar nuestra máquina cliente.

IMPORTANTE: Es recomendable iniciar sesión con la cuenta de Administrador del equipo

cliente para evitar problemas a la hora de añadirlo al dominio. Habilitaremos la casilla de login

enviando dos veces Ctrl+Alt+Sup (con VirtualBox dos veces CtrlDch+Sup).

Victorino

Ilustración 28: Realizaremos la configuración desde la cuenta de Administrador local

Esta máquina está configurada con una tarjeta de red en red interna, de modo que pueda ver a

nuestro servidor. La arrancaremos y le configuraremos una IP del mismo rango que nuestro

servidor. En nuestro caso le configuraremos la IP 192.168.10.2. NOTA: A la hora de configurar

la IP del cliente hay que indicarle que su servidor DNS es nuestro servidor, o sea, la IP 10.1.

Ilustración 29: Configuración de IP del cliente en la misma red que el servidor

Una vez configurada la red, y comprobado mediante nslookup que nuestro cliente tiene a

nuestro servidor como servidor DNS predeterminado, meteremos al equipo en el dominio.

Para ello abriremos la ventana de Cambios de nombre del equipo y en el dominio escribiremos

el nombre NetBIOS de nuestro dominio. (Lo hemos configurado en la imagen 7 del presente

documento, en este caso VICTOR).

Victorino

Ilustración 30: Introducimos el nombre NetBIOS del dominio

A continuación introduciremos el nombre de usuario del Administrador del dominio (no tiene

por qué coincidir con el administrador del servidor), y la contraseña de dicho administrador de

dominio.

Ilustración 31: Usuario y contraseña del Administrador del Dominio

Si todo ha ido bien un mensaje nos lo indicará.

Ilustración 32: Mensaje de bienvenida al dominio

Victorino

A continuación se nos pedirá que reiniciemos el equipo, y cuando el equipo termine de reiniciar

veremos que la pantalla de inicio de sesión ya ha cambiado, pues el equipo está ahora en un

dominio.

Creación de un usuario del dominio Crearemos ahora un usuario del dominio que pueda iniciar sesión en ambas máquinas. Para ello,

en el servidor iremos a Herramientas Administrativas y a Centro de Administración de Active

Directory.

Una vez abierto, pulsaremos en victor (local) que se encuentra a la izda, y después abriremos la

carpeta Users, pulsaremos en Usuarios del dominio y seleccionaremos Nuevo, Usuario.

Ilustración 33: Creación de un usuario de dominio

Ilustración 34: Creación de un usuario de dominio (II)

Victorino

Aquí rellenaremos los campos básicos para crear una cuenta nueva de usuario de dominio. En

nuestro caso rellenamos nombre y apellidos. Los campos de Inicio de Sesión son los que indican

el login del usuario en el dominio. También se pueden marcar otras opciones a la derecha, como

que el usuario no pueda cambiar la contraseña o que nunca expire.

Ilustración 35: Creando el usuario vitoro

La contraseña puede ponerse desde esa pantalla o desde la siguiente (si aceptásemos con los

datos tal cual están). En el caso de que creásemos la cuenta sin ponerle contraseña habría que

ponérsela después y habilitar la cuenta.

Ilustración 36: Cuenta habilitada

Cuando tengamos la cuenta habilitada ya podremos ir a nuestro Windows XP e iniciar sesión

con ese usuario.

Para poder cambiar el dominio de inicio de sesión hay que pulsar en el botón de opciones del

inicio de sesión.

Victorino

Ilustración 37: Iniciando sesión con nuestro usuario de dominio

Ilustración 38: Sesión iniciada con nuestro usuario de dominio

Configurar perfiles de usuario en el Servidor Lo primero que tendremos que hacer para crear unos perfiles en el servidor para cada usuario

(de modo que inicie sesión donde la inicie su escritorio, entre otras cosas, sea el mismo) es

asignar un espacio en el servidor donde almacenaremos tal información.

Por ello, lo primero que haremos será crear un directorio en el servidor y lo compartiremos con

el usuario (o los usuarios, o el grupo) a quien queremos crear un perfil móvil.

Victorino

Ilustración 39: Creando un directorio compartido con los usuarios de dominio

Luego iremos a la ficha de los usuarios de dominio dentro de Usuarios y Equipos de Active

Directory (dentro de Herramientas Administrativas) y buscaremos a los usuarios cuyo perfil

queremos crear.

Seleccionaremos al usuario (o a los usuarios) y en la pestaña Perfil introduciremos la ruta de la

carpeta que hemos creado y compartido en red: \\SERVIDOR\Profiles\%username%

Ilustración 40: Introduciendo la ruta del perfil

Victorino

Usaremos la cadena %username% porque así el sistema creará el directorio para cada usuario

con su login correspondiente.

Ilustración 41: Dirección del perfil de un usuario

Así pues, ahora ya sólo nos quedaría iniciar sesión con un usuario, modificar a nuestro gusto el

entorno y la configuración se almacenará en el servidor, de modo que si iniciamos sesión en

otro equipo veremos nuestro entorno.

Crear una carpeta de almacenamiento en red para los usuarios de dominio

Para crear una carpeta para los usuarios en el servidor y que cada vez que inicien sesión la vean

como una unidad de red tendremos que hacer un procedimiento similar al que hemos llevado a

cabo para crear los perfiles de red.

En este caso crearemos una carpeta en el servidor, la compartiremos también con los usuarios

que queremos que tengan su unidad de almacenamiento, y lo indicaremos en las propiedades del

usuario, también la pestaña Perfil, pero esta vez rellenaremos los campos Carpeta Particular,

seleccionando Conectar y rellenando qué unidad queremos que el usuario vea en los equipos (la

letra de la unidad) y la ubicación en red de dicha carpeta.

Nosotros crearemos una carpeta en el servidor que llamaremos Data, la compartimos con los

mismos usuarios que antes, la configuraremos para que sea su unidad Z: y la ubicación será

\\SERVIDOR\data\%username%

Victorino

Ilustración 42: Creando carpeta de datos del usuario en el servidor

Ilustración 43: La unidad de red

Creación y aplicación de una política de grupo

Para crear una política de grupo debemos ir a Herramientas Administrativas -> Administración

de Directivas de Grupo. Una vez abierta la aplicación desplegaremos en el menú de la izquierda

nuestro bosque (victor.mio), desplegaremos los dominios, y haremos click derecho sobre el que

nos interesa (victor.mio). Tras hacer click derecho, seleccionaremos Crear un GPO en este

dominio y vincularlo aquí. De este modo crearemos una política de grupo para este dominio.

A continuación le pondremos un nombre y ya la tendremos creada.

Victorino

Ilustración 44: Creación de una política de grupo

Ahora para añadir reglas a nuestra política haremos click derecho sobre ella y pulsaremos en

Editar. De este modo añadiremos reglas en la ventana que se nos abrirá, el Editor de

Administración de Directivas de Grupo.

Ilustración 45: Añadiendo reglas a nuestra GPO

Victorino

En esta nueva ventana podremos definir reglas a nivel de equipo o a nivel de usuario. Por

ejemplo, podemos definir el papel tapiz obligatorio para cada usuario del dominio,

comportamientos del sistema (menú inicio, por ejemplo) y muchas otras configuraciones.

También podemos configurar directivas a nivel de equipo.

Una vez hemos decidido qué directivas tendrá nuestra política, cerraremos esta ventana, y en la

ventana donde figura nuestra política la tenemos que activar (en la pestaña Detalles). Como en

nuestro caso es una política que sólo incluye directivas a nivel de usuario podemos elegir la

opción Configuración de equipo deshabilitada. En caso de haber configuraciones de usuario y

equipo habría que elegir Habilitada.

Ilustración 46: Habilitando la Política

También es posible ver un resumen de las directivas de la política en la pestaña Configuración.

Ilustración 47: Resumen de directivas de la política

Victorino

NOTA: A la hora de activar las directivas hay que fijarse qué SO es aplicable, pues muchas

directivas indican (por ejemplo) aplicable a partir de Windows 2000 u otras condiciones.

Una vez hemos creado la política de grupo debemos aplicarla. Para ello ejecutaremos en el

servidor, en una ventana de comandos (cmd) el comando gpupdate /force. De este modo

actualizará la política de grupo (y otras si las hubiera) en el servidor. De igual modo,

ejecutaremos el comando en los equipos clientes. Aun así, habrá que cerrar la sesión en curso e

iniciar una sesión para que se aplique la política.

En este caso, entre otras cosas hemos definido un papel tapiz para los usuarios. Esta política no

aplica para equipos Windows XP, pero si iniciamos sesión en un equipo Windows 7 o en el

propio servidor vemos que el fondo ha cambiado.

Ilustración 48: Equipo superior: Windows Server 2008. Política funcionando. Equipo inferior izquierdo,

Windows 7 con la política funcionando. Equipo inferior derecho, equipo Windows XP que no aplica la política

por incompatibilidad, ambos con la sesión del usuario Victorino iniciada.