INTRODUCCIÓN

Implementar los conceptos básicos de active directory, implementando en la

empresa ABC, además de entender y poner en practica cada una de las

restricciones que se puede implementar en active directory.

Abrimos el server manager o administrador del servidor, vamos a añadir agregar

roles o características. El nuevo rol que debemos agregar es Active Directory

Domain Services. Lo demás es solo darle siguiente e instalar. (Este agrega las

características que por defecto necesita.)

Después de instalar el rol y las características de Active Directory Domain Services,

Nos arroja un aviso informando que se necesita una configuración para que funcione

el rol que acabamos de agregar al servidor.

Seleccionamos add a new forest (añadir un nuevo bosque) y especificamos el

dominio. Damos clic en siguiente.

Definimos el nivel funcional del servidor, y agregamos una contraseña para posibles

restauraciones. Damos clic en siguiente.

Damos clic en siguiente.

Aquí nos asigna el nombre de la NETBIOS, por defecto nos pone el mismo nombre

que ingresamos al dominio.

Dejamos por defecto las bases de datos, archivos de error y Sysvol. Damos clic en

siquiente.

Nos muestra una pequeña descripción de lo que hemos configurado. Damos clic en

siguiente.

Nos indica que todos los prerrequisitos han pasado de manera satisfactoria. Damos

clic en instalar.

El servidor se reinicia para tomar los cambios, al encender nos muestra el prefijo

del dominio ABC/Administrator.

Cada departamento de la empresa ABCx será agregado a la estructura lógica de Active Directory a través de unidades organizativas. Cada unidad organizativa anidará otras unidades organizativas que permitirán tener un control sobre los recursos de red de cada dependencia. Estos contenedores serán: Usuarios y grupos, Equipos, Impresoras y Carpetas compartidas. Tenga en cuenta que dentro de cada departamento existen por lo menos 10 usuarios y que la información de cada usuario en el directorio debe ser detallada.

Luego de entrar a active User and Computer, nos aparece esta la siguiente ventana

donde crearemos las unidades organizativas.

Luego de crear las unidades organizativas centrales crearemos unidades

organizativas dentro de las otras unidades siguiendo el diagrama.

Creamos un nuevo objeto o unidad organizativa dentro de cada unidad lleva

Usuarios Y grupos, Equipos, Impresoras y carpetas compartidas.

Terminado nos quedara una estructura como la que se ve en la siguiente imagen.

Después crearemos los usuarios, los cuales serían diez por cada unidad

organizativa.

Creamos un password para el usuario y habilitamos la opción que el usuario cambie

el password cuando se conecte al dominio.

Llenamos los datos que nos pide para crear el nuevo objeto user. Damos clic en

siguiente.

Nos arroja un error porque la contraseña no tiene los requerimientos mínimos de

seguridad.

Ingresamos una contraseña que cumplas los requerimientos, y ya nuestro usuario

esta creado.

Se forzará a todos los usuarios del dominio abc.com a cambiar su contraseña cada 15 días y el sistema debe recordar las tres últimas contraseñas cambiadas por el usuario. La política de contraseñas debe estar habilitada para usar un password seguro. Creamos un GPO para que apliquen a todos los usuarios.

Ingresamos un nombre a la nueva GPO.

Ya creada la nueva GPO daremos en editar para ingresar o buscar las restricciones

que vamos a habilitar.

La contraseña deberá ser cambiada cada 15 días.

Habilitaremos que la contraseña deba cumplir con ciertos requisitos de complejidad.

Debe recordar las últimas tres contraseñas cambiadas por el usuario.

Procedemos a crear nuestras GPO en cada departamento, parea eso damos clic derecho en el

departamento deseado y le damos crear GPO

De ahí nos saldrá este cuadro, ahí le vamos a poner el nombre de nuestra GPO en este caso le

vamos a poner restricciones

Luego damos clic derecho sobre la GPO creada y le damos clic en editar

Desplegamos el menú de configuración de usuarios luego plantillas administrativas y por últimos

damos clic en menú inicio, de ahí le damos clic en quitar el menú ejecutar

Y aca le damos habilitar

Ahora vamos a prohibir el acceso al panel de control y configuraciones del PC, para eso debemos

desplegar configuración de usuarios, luego política, luego plantillas administrativas y de ahí le

damos en panel de control, de ahí le damos en prohibir acceso al panel de control

Y le damos habilitamos la opción de prohibir el acceso al panel de control

Vamos a restringir el acceso a REGEDIT para esto vamos a desplegar el menú configuración de

usuarios, luego políticas, luego plantillas administrativas, luego vamos a sistema y de ahí damos

clic en impedir el acceso a herramientas de edición del registro

Ahora le decimos q deshabilite la opción de REGEDIT

Ahora vamos a restringir el acceso a el disco C, para ello vamos a configuración de usuario, luego

aplantillas administrativas, luego a componentes de Windows, luego a exploración de archivos y

de ahí damos en ocultar estas unidades específicas en mi computador

Luego habilitamos esta opción y seleccionamos nuestro disco el cual vamos a ocultar

Vamos a deshabilitar la opción de reproducción automática, para esto debemos de desplegar las

opciones hasta llegar a componentes de Windows, de ahí vamos a políticas de autoplay y de ahí

vamos a la opción deshabilitar la reproducción automática

Habilitamos la opción y le decimos que nos deshabilite la reproducción automática de el CD-ROM y de las unidades removibles

Vamos a bloquear la barra de tareas, para eso vamos a configuración de usuario, luego a plantillas

administrativas y luego a escritorio de ahí vamos a la opción prevenir la adición, arrastrar, soltar y

cerrar la barra de tareas

Habilitamos esta opcion

Vamos a denegar el acceso a todos los dispositivos extraíbles, para eso vamos a configuración de

usuario, plantillas administrativas, sistema, acceso de almacenamiento extraíble de ahí vamos a la

opción denegar el acceso a dispositivos extraíbles

Habilitamos la opcion

Vamos a crear las restricciones para la unidad organizativa de compras

Vamos a deshabilitar los elementos del escritorio, para esto vamos a configuración de usuarios,

políticas, plantillas administrativas, panel de control, escritorio, de ahí le damos deshabilitar los

elementos del escritorio

Habilitamos la opción

No van a poder apagar las maquinas desde el SO, para ello vamos a configuración de usuario,

plantillas administrativas, menú inicio y barra de tareas, y luego vamos a remover y evitar los

comandos de apagar, reiniciar, suspender

Habilitamos la opción y damos aceptar

Para deshabilitar el administrador de tareas debemos ir a configuración de usuario, plantillas

administrativas, sistema, Ctrl + Alt +Del opción, de ahí le damos eliminar el administrador de

tareas

Habilitamos la opción y damos guardar

Vamos a crear un grupo q se llame practicantes en la unidad organizativa de compras, para ello

hacemos esto

Nos va a salir este cuadro el cual vamos a poner el nombre de nuestro grupo

Vamos a las propiedades

Elegimos la pestaña de miembros y le damos agregar, le damos avanzado, luego buscar ahora, y de

ahí seleccionamos los usuarios q vamos a agregar, luego le damos aceptar

Luego de darle aceptar le damos ok

Y vemos q ya están los miembros agregados

Los practicantes solo pueden iniciar sesión de lunes a viernes de 7 AM a 6 PM. Para ello vamos a las propiedades del usuario, luego a cuenta y luego a inicio de sección, establecemos el tiempo y los días y luego aceptar

Ahora seleccionamos que la cuenta expire en 6 meses

Ahora vamos a crear una carpeta y la vamos a compartir

Le decimos q se comparta con el grupo de practicantes

Y le vamos a decir q los practicantes solo tengan permiso de lectura

Nos dirigimos a la pestaña “Perfil”, en la última sección de “Carpeta particular” le damos

opción de conectar elegimos la denominación de la unidad que se montara al momento del

inicio de sesión y por último indicamos la ruta de la carpeta compartida a la cual previamente

habíamos copiado su ruta, clic en aplicar y luego aceptar

Luego nos aparecerá una ventana con lo siguiente y daremos clic en SI.

Cada vez que los usuarios del departamento Web y Comercio Electrónico inicien

sesión se montarán automáticamente dos unidades de red que se mapean a

carpetas compartidas en un servidor Windows Server 2008. Note que primero debe

compartir las carpetas en algún servidor (Controlador de dominio u otro) antes de

montarlas automáticamente. Todos los usuarios del departamento tendrán una

cuota de 1000MB sobre la unidad de red

Creamos una nueva GPO en Web y Comercio Electrónico.

Luego entraremos a editar la nueva GPO creada.

Crearemos un nuevo mapeo de carpetas.

Ingresamos la ubicación de la carpeta a mapear y asignamos una letra a la unidad

mapeada y damos clic en comunes.

Una vez situados en la pestaña comunes seleccionamos la última casilla

“Destinatarios a nivel de elemento” y luego damos clic en destinatarios.

Damos clic derecho en colección luego nos situamos donde dice agregar elementos

de destinario y buscamos grupo de seguridad y damos clic ahí.

Una vez hecho esto procedemos dando clic en el botón examinar.

Seleccionamos el grupo Web y Comercio Electrónico y le damos aceptar, Una vez

seleccionado el grupo damos clic en aceptar.

Aplicamos los cambios damos clic en ok.

Así quedan las unidades mapeadas.

:

Ahora estableceremos la cuota de disco, para ello nos dirigimos a

Configuración de Equipo> Políticas> Plantillas Administrativas> Sistema>

Cuotas de Disco

Clic derecho sobre “Habilitar cuotas de disco” clic en Editar. También habilitaremos

el límite de la cuota a 1000MB

Los usuarios de los departamentos de Diseño Gráfico y Comerciales Externos solo podrán iniciar sesión en los equipos que pertenecen a dicho departamento.

Primero vamos a añadir los equipos del dominio en los que queremos que los

usuarios de Diseño gráfico y comerciales externos inicien sesión.

Agregamos un grupo que tendrá acceso al equipo.

Vamos a las propiedades de un usuario del grupo para configurarlo.