[Link]

es/wordpress/tema-07-practica-01-active-directory-
completa/

Tema 07 – Práctica 01 – Active

Directory [COMPLETA]
4 mayo, 2013 Francisco Gil MerinoSin categoría

Nota: Las soluciones de los ejercicios pueden ser distintas con las de otros
compañeros. Si veis que algún ejercicio está resuelto de forma errónea
comunicádmelo para que lo cambie y así no crear confusiones y malentendidos,
sobre todo de cara al examen.
1. Configura una VM con W2008 Server y prepárala como controlador de
dominio (CD). El nombre del dominio será: [tunombre].local. Puedes
hacerlo desde la interfaz gráfica (añadir rol al servidor) o desde la línea
de comandos con dcpromo.
Nombre de Dominio: [Link].
Desde la interfaz gráfica con rol (administrador del servidor)
 Linea de comandos [Link] => Crear bosque nuevo => Nombre de
dominio completo ([Link].) => Netbios del dominio (FRANCISCO)
=> Nivel funcional del bosque (Server 2008) => Servidor DNS
(Seleccionado el DHCP)=> Ubicación carpetas => Contraseña distinta a la
de administrador (Iso2008) => exportar configuración => Finalización
instalación DNS => Reiniciar
Nota: Una ver reiniciado pide iniciar la sesión como:
FRANCISCO\Administrador, pidiéndo cambiar la contraseña actual
 

En esta captura te pide si deseas cambiar a IP estáticas. En mi caso conteste que

el equipo usará una dirección IP asignada automáticamente por un servidor
 
Captura de cuadro informativo
 Netbios: permite a las aplicaciones ‘comunicarse’ con la red. Su intención es
conseguir aislar los programas de aplicación de cualquier tipo de dependencia del
hardware. También evita que los desarrolladores de software tengan que
desarrollar rutinas de recuperación ante errores o de enrutamiento o
direccionamiento de mensajes a bajo nivel.
2. Tu servidor será también servidor de DNS para tu dominio y como
reenviador pon el del ciclo ([Link]). Intenta hacer ping utilizando el
nombre del equipo desde un equipo del aula que no pertenezca atu dominio
¿qué ocurre?
 Realizo un ping desde mi server 2008 R2 a [Link] y si recibe los
paquetes. Esto se debe a que por ip si pueden hablar estando en la misma red
aunque no estén en el mismo dominio, pero por el nombre no.
 3. Crea un grupo de usuarios Ventas
 En roles/servicio de dominios/usuarios y equipos/[Link]/builtin/ventas
 4. Crea un usuario de nombre responsableVentas que pertenezca al grupo
Ventas
 En roles/servicio de dominios/usuarios y
equipos/[Link]/Users/responsableVentas con contraseña (Iso2008)
 5. Crea una VM con Windows 7 y añádela a tu dominio.
 Para añadir la máquina con windows 7 al dominio debemos ir a la configuración
de red => protocolo IPv4 y poner en servidor DNS la dirección IP del Windows
Server 2008. Una vez realizado esto nos vamos a propiedades del sistema y en
dominio ponemos [Link]. Y posteriormente reiniciamos para que los
cambios se realicen correctamente.
Ya en el server podemos ver como se ha incluido el equipo Windows 7 en
Dominios y confianzas de Active Directory => Administrar => Usuarios y equipos
=> francisco. Local => Computers => FRANCISCO-PC
 6. Inicia sesión en la VM con una cuenta del dominio.
 Para iniciar sesión en el equipo que hemos metido en la cuenta de dominio
debemos dar de alta previamente en el windows server al usuario con el que
queremos iniciar sesión. Un campo importante es el de nombre de inicio de sesión
de usuario.

 
7. Rellena la siguiente tabla con los datos de tu servidor
Nombre DFQN [Link]
Dirección IP [Link]
Máscara de red [Link]
Gateway [Link]
DNS [Link]
MAC 08-00-27-CA-CC-F7
Dominio [Link]
Nivel de funcionalidad Windows Server 2008 R2
Password Administrador root
 8. Realizar solo en papel: ¿Cómo podríamos conseguir que un equipo (la
VM) puedan iniciar en tu dominio a la vez que en el de otro grupo?
 Ejercicio realizado en papel
9. Instala en tu VM W7 las herramientas administrativas y haz pruebas de
administración del dominio, tanto desde MMC como desde los accesos
directos.
 Previamente debemos descargar e instalar un archivo para poder activar las
herramientas administrativas. Buscar en google: Descargar herramientas
administrativas en windows 7 (Y accedemos a la primera búsqueda que
corresponde a la página oficial de Windows) => Descargamos la versión correcta
(Arquitectura 32 bits en mi caso).
 Vamos a panel de control => Programas => Activar o desactivar características de
windows => Abrimos el desplegable que vemos en la captura siguiente:

 
Una vez instalado iniciamos en MMC y agregamos la función de Active directory
para poder hacer pruebas de administración.
10. Crea un usuario cuyo nombre esté formado por cada una de las iniciales
de tu nombre y tu primer apellido completo(igual que el que utilizas en el
dominio CICLOS). Pertenecerá a los grupos ASIR1 y “Usuarios del Dominio”.
Prueba a iniciar sesión con este usuario.
 Crear un usuario (fgilm01) y añadirlo al grupo ASIR1 (hay que crearlo antes) y
Usuarios del dominio
  11. [Blog – Alumno/a:__________________ ] Control remoto add-on para
MMC – [Link]
id=12244Pruébalo y coméntalo en el blog.
 Este ejercicio irá en una entrada a parte en el Blog
12. [Opcional – Blog – Alumno/a: _________________]Remote Desktop
Connection Manager – [Link]
us/download/[Link]?id=21101Pruébalo y coméntalo en el blog.
 Este ejercicio irá en una entrada a parte en el Blog
[Link] el contenido de tu fichero hosts y verifica que no creará
conflicto en la resolución DNS
 C:\Windows\System32\drivers\etc\hosts. Realmente si hago modificaciones en el
archivo del server no ocurre nada, en cambio si las realizo en el hosts anfitrión si
se producen las modificaciones que realice.
 14. Crea una unidad organizativa con tu nombre y primerapellido precedido
de ou_. P.e.: ou_antonioberrocal
 Las unidades organizativas son contenedores dentro de Active Directory para
agrupar objetos
Desde la administración de Active Directory creamos una nueva unidad
organizativa. Botón derecho => Nuevo => Unidad Organizativa
 15. Delega el control total de la ou a tu usuario creado en uno de los
ejercicios anteriores.
 Sobre la ou creada botón derecho DELEGRAR CONTROL. Aparece un asistente
para agregar usuarios y grupos (He agregado a fgilm01). Posteriormente marcar
todas las opciones en el apartado de las tareas para que el usuario creado tenga
control total.
 16. ¿Qué podemos hacer con una cuenta de usuarios perteneciente a
administradores de dominio desde mmc? ¿y desde una cuenta que
pertenece únicamente al grupo usuarios del dominio?
 Pues realmente es igual como cuando no estamos en un dominio, el administrador
puede crear usuarios, grupos, etc, por lo tanto todo, mientras que un usuario del
dominio normal no.
 17. ¿Es administrador de la VM W7 los miembros del grupo Administradores
del dominio?
 Realmente solo es administrador de la máquina el usuario ADMINISTRADOR del
windows Server 2008. Los demás usuarios que están en el grupo administradores
no pueden instalar programas en el windows 7.
18. ¿Puedes crear un usuario y añadirlo al grupo Administradores del
dominio?
 Realizado con un usuario de dominio (fgilm01)
No puedo crear usuarios ni agregar ningún usuario al grupo de administradores.
19. Prueba que tienes acceso a tu ou pero no a otras, p.e. crea un usuario.
 En la unidad organizativa que esta delegado el control a fgilm01 si se puede crear
usuarios pero en las otras no.
20. Configura tu usuario de tu dominio para que solo pueda iniciar sesión en
horario de clase.
 Lo modificamos en propiedades del usuario, en la pestaña Cuenta (Cuadro Horas
de inicio de sesión) pero tiene que ser con usuario administrador.
21. Cambia la hora de tu equipo local de forma que no esté en el rango en el  
que puede iniciar sesión. Cierra la sesión e intenta conectar de nuevo, ¿qué
ocurre? ¿por qué?
 No deja iniciar la sesión mostrando también un mensaje diciendo que tengo
restricciones de tiempo que impiden iniciar la sesión.
22. ¿Puede tu usuario iniciar sesión desde cualquier equipo que pertenezca
al dominio? Si has contestado que sí, restríngelo paraque solo pueda iniciar
sesión desde tu equipo.
 El usuario fgilm01 que pertenece al dominio si puede iniciar sesión en todos los
equipos que pertenezcan al dominio. Para que solo pueda iniciar sesión en un
equipo nos dirigimos a las propiedades del usuario, en la pestaña cuenta, cuadro
Iniciar sesión en….Y ponemos los nombres de los equipos a los que solo se podrá
conectar. El nombre del equipo lo miramos en Equipo => Propiedades del sistema.
 NOTA: La cuenta y contraseña del windows 7 es: Francisco/root
23. Crea un usuario local que tenga el mismo nombre queel del dominio.
Inicia sesión con él. ¿Cuál es su directorio personal? ¿y el del usuario de
dominio?
 Todos los directorios personales tanto de los usuarios locales como los de
dominio están en C:\Users. He creado un usuario local con el mismo nombre que
el usuario de dominio y se diferencian en el directorio personal en que el usuario
que es creado después que el otro con igual nombre se le añade al final el dominio
o el equipo al que pertenece (Ejemplo: [Link]-PC sería para el local y
[Link] para el de dominio).
24. ¿Qué diferencia existe entre Grupos de seguridad y de distribución?
¿Podemos crear un grupo local de distribución o seguridad?
 A los grupos de seguridad se utilizan para asignar derechos o permisos a un
grupo de usuarios y equipos. Los son las acciones que pueden realizar en el
dominio mientras que los permisos son a los recursos que tienen accesos.
Los grupos de distribución utilizan aplicaciones para enviar correos electrónicos a
grupos de usuarios. La principal finalidad es recopilar objetos relacionados.
 Los grupos de seguridad tienen todas las funciones de los grupos de distribución
aunque solo algunas aplicaciones se pueden utilizar por los grupos de distribución.
25. Crea grupos y usuarios (utiliza plantillas) en el dominio de forma que
puedas rellenar la siguiente tabla con información sobre qué tipos de
usuarios y grupos pueden ser miembros del grupo y de cuáles él puede ser
miembro.
 Creamos cuatro grupos: Grupo1 y Grupo4 de dominio local y Grupo2 y Grupo3
Global
Ámbito grupo Miembros Miembro de
Dominio Grupo2 (Grupo global) Grupo 4
Local (Grupo1) Grupo4 (Grupo Dominio Solo podría ser miembro de
local) Grupo4 por ser un grupo de
Dominio Local
Puede tener miembros tanto
de Dominio Local como
Globales
Global (Grupo2) Grupo3 (Grupo global) Grupo 1
No se pueden incluir grupos Grupo 3
de dominio Local
 Puede tener miembros tanto
de Dominio Local como
Globales
26. ¿Tu usuario del dominio puede cambiar la dirección IP del equipo local?
¿por qué?
 No porque no tiene los permisos necesarios para realizar estos cambios ya que es
un usuario normal y no está en el grupo de administradores.
27. Desconecta el cable de red e intenta iniciar sesión con un usuario de
dominio, ¿qué ocurre? ¿por qué?
 Si puedes iniciar sesión pero sólo si has iniciado sesión anteriormente en el
dominio porque te guarda la configuración en cache. En el dominio no podrías
hacer nada porque está el cable de rede desconectado y por lo tanto no hay red.
28. Explica la técnica AGDLP
 AGDLP => Account Global Domain Local Permission
Esta técnica se utiliza para dar unos determinados permisos o privilegios a un
grupo de usuarios pero que luego tiene sus propios permisos globales.
Información EXTRA de WIKIPEDIA

Permisos de archivos
En todas las versiones de Windows con NT 3 se han basado en un sistema de
permisos de sistema de archivos denominado AGDLP (cuentas, Global, Local,
permisos) AGLP que en esencia donde se aplican los permisos de archivo a la
carpeta en forma de un grupo local que luego tiene otros ‘grupos globales’ como
miembros. Estos grupos globales mantienen otros grupos o a usuarios según las
diferentes versiones de Windows que utiliza. Este sistema varía de otros productos
de proveedores tales como Linux y NetWare debido a la ‘estática’ asignación de
permiso se aplica directorio para el archivo o carpeta. Sin embargo con este
proceso de AGLP/AGDLP/AGUDLP permite a un pequeño número de permisos
estáticos para aplicarse y permite cambios fáciles a los grupos de cuentas sin
volver a aplicar los permisos de archivo de los archivos y carpetas
 
29. El departamento de Ventas esta realizando un proyecto en colaboración
con la Universidad de Extremadura. El responsable de dichodepartamento
necesita permitir acceso al dominio a personal de la universidad. Crea un
grupo de usuarios temporal de nombre PROYECTOCOLABORACION en el
que el responsable de ventas tenga la capacidad de añadir,modificar y
eliminar usuarios.
Con la cuenta fgilm01 que delega el control a la ou_granciscogil creo un grupo
llamado PROYECTODECOLABORACION, con el ámbito de grupo seleccionado
en modo global. Una vez creado el grupo vamos a las propiedades del mismo y
agregamos en la pestaña miembros al usuario responsableVentas. Después en la
pestaña Administrado por agregamos a este mismo usuario para que pueda
administrar este grupo.
Grupos locales de dominio. Pueden contener cuentas de usuario de cualquier
dominio del bosque, así como cuentas de grupos globales o universales de
cualquier
dominio del bosque, y otros grupos locales de dominio del mismo dominio
(anidamiento). Sólo son visibles en el dominio en que se crean, y suelen utilizarse
para administrar recursos (mediante la concesión de permisos y derechos)
situados en cualquiera de los ordenadores del dominio.
Grupos globales. Pueden contener usuarios del mismo dominio, así como otros
grupos globales de dicho dominio (anidamiento). Son visibles en todos los
dominios
del bosque, y suelen utilizarse para agrupar a los usuarios de manera
amplia, en función de las labores que realizan o los roles que juegan en el dominio.
Grupos universales. Pueden contener cuentas de usuario y grupos globales, así
como otros grupos universales (anidamiento), de cualquier dominio del bosque.
Son visibles en todo el bosque, y suelen utilizarse para administrar recursos
(mediante la concesión de permisos y derechos) situados en ordenadores de
varios
dominios del bosque.
Información obtenida del libro del curso que estamos siguiendo: Administración
Avanzada de Windows Server 2008 R2 => Capítulo 4: Administración de Dominios
Windows Server 2008.
30. Indica un grupo predeterminado y un grupo del sistema.
 Un grupo predeterminado son los definidos automáticamente por defecto tanto en
el dominio como localmente. Un ejemplo de estos son “Administradores”,
“Invitados”, “Copias de Seguridad”
 Los grupos del sistema no se ven en active directory pero existen. Un ejemplo de
estos son “Todos” y “Usuarios”
31. Averigua el SID de las siguientes cuentas:
a. Tu cuenta de usuario y de uno de los grupos que hascreado.
b. De la cuenta de tu equipo
c. De todos los equipos de tu dominio
d. Del grupo “Creator Owner” y del grupo “Todos”, comprueba que
corresponde con el indicado en la ayuda de Windwos
Primero descargamos las PSTOOL para poder utilizar el comando PSGETSID.
Una vez echo esto lo agregamos para poder ser utilizado
 A psgetsid fgilm01
SID for FRANCISCO\fgilm01: _ _ _ _ _ _ _ _ _ _ _ _ _
psgetsid ASIR1
SID for FRANCISCO\ASIR1: _ _ _ _ _ _ _ _ _ _ _ _ _
[Link] \\Francisco-PC
 [Link] \\*
Da el siguiente error:
enumerating domain… a system error has occurred 6118
D.
psgetsid “creator owner”
SID for \creator owner: _ _ _ _ _ _ _ _ _ _ _ _ _
psgetsid todos
SID for \todos: _ _ _ _ _ _ _ _ _ _ _ _ _
 No necesitamos cuenta de administrador para realizar el ejercicio
32. Averigua el nombre de los siguientes SID:
 psgetsid S-1-5-4
Account for FRANCISCO-PC\S-1-5-4
Well know Group: NT AUTHORITY\INTERACTIVE
psgetsid S-1-3-1
Account for FRANCISCO-PC\S-1-3-1
Well know Group: CREATOR GROUP
psgetsid S-1-5-2
Account for FRANCISCO-PC\S-1-5-2
Well know Group: NT AUTHORITY\NETWORK
33. Crea una cuenta de usuario en el dominio de
nombre “nombreAlumno_numeroaleatorio” y averigua el SID que le ha
correspondido. Otórgale permisos sobre una carpeta y después borra la
cuenta creada y vuelve a crear otra con idéntico nombre, ¿le ha
correspondido el mismo SID? ¿puede acceder a la carpeta? ¿qué aparece en
la ficha seguridad de la carpeta?
 Creamos el usuario francisco_12
Averiguados el sid con psgetsid francisco_12
 

Creamos una carpeta compartida otorgando control total al usuario anterior

Borramos la cuenta anterior y creamos otra con el mismo nombre. Comprobamos
el sid:

 
Y comprobamos que no es el mismo. Después intentamos acceder a la carpeta en
la que tenía los permisos el anterior usuario y no nos deja acceder. En cambio si
vamos a la pestaña seguridad con el usuario administrador podemos ver como
sigue el usuario que borramos, pero no aparece el nombre, si no su sid.
 
34. Configura tu VM W7 para que el usuario que te has creado sea
administrador local de tu equipo.
 Agregamos a fgilm01 que es usuario normal al grupo de administradores locales
mediante mmc. Lo podemos hacer desde la misma máquina W7 o desde el server
2008. Si lo hacemos de esta segunda forma hay que tener en cuenta la
configuración del firewall porque nos podría dar problemas a la hora de realizar
estas gestiones remontas mediante MMC.
Si lo agregáramos a los administradores de dominio sería administrador tanto del
dominio como localmente.