12 marzo 2010

12 marzo 2010

Práctica 32: Crear Dominio hijo en Server 2003.

     Ya se sabe que se puede crear varios dominios en un bosque único. Varios dominios forman los árboles dentro de un bosque. Un árbol se puede definir como una disposición jerárquica en Windows Server de los dominios de un bosque.

     Un árbol se establece cuando un dominio secundario se añade a la jerarquía, bajo un dominio principal existente. Cuando se agrega un nuevo dominio en un dominio secundario, hereda una porción de su espacio de nombres de su padre. Cuando se crea un nuevo árbol en un bosque se establece un nuevo espacio de nombres.

     El número de controladores de dominio que se necesitan dentro de un dominio están determinados por los siguientes factores:

  • El número de usuarios en el dominio.
  • El número de ordenadores en el dominio.
  • Los requisitos de aplicación en el dominio.
  • El nivel de tolerancia a fallos necesarios para el dominio (al menos dos controladores de dominio debe existir en el dominio).
  • Las siguientes funciones de dominio y los roles puede afectar el rendimiento, y por lo tanto influir en el número de controladores de dominio que se deben instalar en el dominio. Entre ellos:

    • La replicación de Active Directory afecta al rendimiento de Active Directory. La sincronización para el mantenimiento de los controladores de dominio normalmente genera el tráfico de replicación.
    • Un controlador de dominio puede alojar servicios de red como DNS, DHCP, WINS u otros servicios.
    • La autenticación de usuarios y control de acceso a recursos de red también afectar el rendimiento.

Creación de dominio hijo en Windows Server 2003.

  • Hacer clic en Inicio -> Ejecutar, escribir “dcpromo” y pulsar en “Aceptar” para iniciar el Asistente para instalación de Active Directory y seguidamente en el botón “Siguiente” de la pantalla de bienvenida. WServer 2003 Hijo-2010-05-12-17-58-53 WServer 2003 Hijo-2010-05-12-17-59-27

  • En la página de información de la compatibilidad, hacer clic en “Siguiente”.

    WServer 2003 Hijo-2010-05-12-17-59-33

  • En la página Tipo de controlador de dominio, seleccionamos “Controlador de dominio para un dominio nuevo” y, a continuación,  en “Siguiente”.

    WServer 2003 Hijo-2010-05-12-17-59-46

  • En la página Crear nuevo dominio, seleccionar la opción “Dominio secundario en un árbol de dominios existente” y, a continuación, pulsar en “Siguiente”.

    WServer 2003 Hijo-2010-05-12-18-00-00

  • En la página Credenciales de red, escribir el nombre de usuario, contraseña y dominio de usuario de la cuenta de usuario que desea utilizar para esta operación, a continuación, hacer clic en “Siguiente”. La cuenta de usuario debe ser miembro del grupo Administradores.

    WServer 2003 Hijo-2010-05-12-18-00-33

  • En la siguiente ventana comienza la Instalación del dominio secundario (hijo). Comprobar el dominio principal y escriba el nombre de dominio nuevo hijo, y luego haga clic en “Siguiente”.

    WServer 2003 Hijo-2010-05-12-18-06-34

  • Aparece el nombre de dominio NetBIOS donde comprobar el nombre y hacer clic en “Siguiente”.

    WServer 2003 Hijo-2010-05-12-18-06-52

  • En la siguiente ventana aparecen las ubicaciones de las carpetas de la base de datos y de registro (para cambiarla pulsar sobre “Examinar”). Para continuar pulsar en “Siguiente”.

    WServer 2003 Hijo-2010-05-12-18-06-57

  • En la ventana de Volumen del sistema compartido, escribir la ubicación en la que desea instalar la carpeta Sysvol o hacer clic en “Examinar” para elegir una ubicación y, a continuación, clic en “Siguiente”. La carpeta Sysvol debe estar ubicada en un volumen NTFS. WServer 2003 Hijo-2010-05-12-18-07-01

  • En Diagnósticos de registro de DNS, comprobar que los ajustes de configuración de DNS son correctos y, a continuación, pulsar en “Siguiente”.

    WServer 2003 Hijo-2010-05-12-18-09-23

  • En la página Permisos, seleccionar una de las siguientes:

    • Permisos compatibles con sistemas operativos para servidores versiones anteriores a Windows 2000.

    • Permisos compatibles con sistemas operativos Windows 2000 o Windows Server 2003. (Recomendado)

    WServer 2003 Hijo-2010-05-12-18-09-30

  • Aparece la página de los servicios de restauración de contraseña de administrador. Introducir la contraseña que desea asignar al administrador de la cuenta de este servidor, por lo que  continuación, hacer clic en “Siguiente”.  Utilizar esta contraseña al iniciar el equipo en Modo de restauración de servicios de directorio.

      WServer 2003 Hijo-2010-05-12-18-09-56

  • Aparece el resumen del proceso. Hacer clic en “Siguiente Examen” para comenzar la instalación.

    WServer 2003 Hijo-2010-05-12-18-10-00

  1. Comienza el proceso de configuración de Active Directory y una vez finalizado pedirá reiniciar el equipo.WServer 2003 Hijo-2010-05-12-18-10-12

Leer más ...

11 marzo 2010

11 marzo 2010

Práctica 31: Crear Controlador de Dominio secundario.

     Existiendo un primer Controlador de Dominio en una equipo equipado con Windows Server 2003, se puede crear controladores de dominio adicionales para el dominio. Este proceso es normalmente conocido como la promoción de un servidor miembro o servidor independiente con una función adicional de controlador de dominio.

     Los dominios se utilizan para realizar tareas de administración de red, como estructurar la red, delimitar la seguridad, aplicar la Directiva de grupo y replicar información. El sistema operativo Windows Server 2003 admite la replicación con múltiples miembros: todos los controladores de un dominio pueden recibir los cambios efectuados en los objetos y pueden replicar esos cambios a todos los demás controladores de dicho dominio. De manera predeterminada, el primer controlador de dominio creado en un bosque es un servidor de catálogo global, que contiene una réplica completa de todos los objetos del directorio para su dominio y una réplica parcial de todos los objetos almacenados en el directorio de todos los demás dominios del bosque.

     Replicar datos de Active Directory entre controladores de dominio proporciona ventajas en cuanto a disponibilidad de la información, tolerancia a errores, equilibrio de la carga y rendimiento.

     Aunque no es estrictamente necesario, Microsoft recomienda que todos los controladores de dominio, servidores DNS y DHCP, enrutadores e impresoras incluidos en la infraestructura  común tengan direcciones IP asignadas.

     Para configurar direcciones IP estáticas hacer clic con botón derecho en Mis sitios de red –> Propiedades –> botón derecho sobre Conexión de área local –> Propiedades –> Protocolo Internet –> Usar la siguiente dirección IP.

 

Denominación

Nombre del equipo

Dirección IP

Máscara de subred

Servidor DNS-1

Servidor DNS-2

Controlador Dominio Primario

SERVERPRAL

192.168.250.1

255.255.255.0

127.0.0.1

192.168.250.2

Controlador Dominio Secundario

BKSERVER

192.168.250.2

255.255.255.0

192.168.250.1

0.0.0.0

     Una vez finalizado, en el cuadro de diálogo Conexión de área local, pulsar en “Aceptar”.

Crear Controlador Dominio Secundario.

    Para crear un controlador de dominio adicional:

  • Iniciar sesión en el servidor miembro que desea promover a un controlador de dominio adicional.

  • Hacer clic en Inicio –> Ejecutar y escribir “dcpromo” en el cuadro de diálogo Ejecutar. Hacer clic en “Aceptar” para iniciar el asistente para la instalación de Active Directory. image89

  • Pulsar en “Siguiente” en la página de bienvenida del asistente y sobre la compatibilidad del sistema operativo de página.  WServer 2003_BDC-2010-05-11-00-28-39 WServer 2003_BDC-2010-05-11-00-29-12

  • En la página Tipo de controlador de dominio, seleccionar la opción “Controlador de dominio adicional para un dominio existente”. Pulsar en “Siguiente”. WServer 2003_BDC-2010-05-11-00-29-22

  • En la página Credenciales de red, escribir el nombre de usuario, contraseña y dominio para la cuenta de administrador que se utiliza para instalar Active Directory en el servidor. Pulsar en “Siguiente”. WServer 2003_BDC-2010-05-11-00-29-52

  • En la página de Controlador de dominio adicional, escribir el nombre de dominio (nombre de dominio completo) del dominio para el que el servidor auxiliar  es un controlador de dominio. Pulsar en “Siguiente”. WServer 2003_BDC-2010-05-11-00-31-12

  • Sobre la base de datos y página del registro de carpetas, tienes que especificar una ubicación para la base de datos de Active Directory, y especificar una ubicación para los archivos de registro de Active Directory. Normalmente pulsamos en “Siguiente” y mantener las carpetas por defecto. WServer 2003_BDC-2010-05-11-00-31-27

  • En la página Volumen del sistema compartido, es necesario especificar la ubicación de la carpeta SYSVOL. Esta carpeta tiene que estar situado en un volumen NTFS. Pulsar en “Siguiente”. WServer 2003_BDC-2010-05-11-00-31-32

  • En el Modo de restauración de servicios de directorio, página Contraseña de administrador hay que introducir una contraseña adecuada en los cuadros de texto de contraseña.WServer 2003_BDC-2010-05-11-00-32-02

  • La página Resumen se muestra todos los ajustes de configuración que se han especificado. Una vez que se haya verificado que la configuración es correcta, pulsar en “Siguiente”. WServer 2003_BDC-2010-05-11-00-32-06

  • Comienza el proceso de configuración del Active Directory. WServer 2003_BDC-2010-05-11-00-32-11

  • En la página Finalización del Asistente para instalación de Active Directory, hacer clic en “Finalizar”. WServer 2003_BDC-2010-05-11-00-34-46

  • Por último, pedirá reiniciar el sistema para que arranque dentro de Active Directory. WServer 2003_BDC-2010-05-11-00-34-55

Leer más ...

10 marzo 2010

10 marzo 2010

Práctica 30: Carpetas compartidas en Servidor.

      Cuando un sistema Windows Server se incluye en una red (grupo de trabajo o dominio), puede compartir sus recursos con el resto de ordenadores. Entre ellas las más importantes (sobre todo en un servidor de ficheros) es compartir las carpetas o directorios que existen en el servidor. Cualquier sistema Windows puede compartir carpetas, tanto si es un servidor como si es una estación de trabajo.

  • Para poder compartir una carpeta basta con desplegar su menú contextual con el botón derecho del ratón desde una ventana o desde el explorador de archivos, y seleccionar “Compartir”. Windows Server 2003 Enterprise Edition-2010-05-11-00-46-40
  • En la siguiente ventana se introduce el nombre que tendrá el recurso (que no tiene por qué coincidir con el nombre de la propia carpeta).Windows Server 2003 Enterprise Edition-2010-05-11-00-47-17
  • Pulsar la opción “Permisos” donde se podrá elegir qué usuarios van a poder acceder a la carpeta.
    • Si la carpeta reside en una partición tipo FAT, este filtro de acceso será el único que determine los usuarios que van a poder acceder al contenido de la carpeta, puesto que no es posible determinar permisos sobre la misma o sus archivos. Es decir, el filtro sólo se establece para poder acceder al recurso. Si un usuario tiene permisos suficientes para conectarse a un recurso, tendrá acceso sobre todos los archivos y subcarpetas del recurso. Concretamente, el tipo de acceso sobre todos ellos será el que le permita el permiso sobre el recurso (Lectura, Escritura o Control Total). Windows Server 2003 Enterprise Edition-2010-05-11-00-49-43
    • Si la carpeta se encuentra en una partición tipo NTFS, tendrá unos permisos establecidos (así como sus subcarpetas y archivos), al margen de estar o no compartida. En este caso también es posible establecer permisos desde la ventana de “Compartir”, pero entonces sólo los usuarios que puedan pasar ambos filtros podrán acceder a la carpeta compartida y a su contenido. En este caso se recomienda dejar marcado “Control Total” sobre el grupo “Todos” en los permisos asociados al recurso (opción por defecto), y controlar quién (y cómo) puede acceder al recurso y a su contenido mediante los permisos asociados a dicha carpeta (y a sus archivos y subcarpetas).
  • Como se ha dicho, para una partición NTFS, dejar “Permisos” como “Control Total” para el grupo “Todos” y configurar el control de acceso para los usuarios a través de la pestaña “Seguridad”.Windows Server 2003 Enterprise Edition-2010-05-11-00-59-12

 

Compartición dentro de un dominio.

     Cuando un sistema Windows Server 2003 se agrega a un dominio, los siguientes recursos se comparten de forma automática y por defecto (estas comparticiones no deben modificarse ni prohibirse):

  • letra_de_unidad$.- Por cada partición existente en el sistema Windows 2003 (C:, D:, etc.) se crea un recurso compartido denominado C$, D$, etc. Los administradores del dominio, así como los operadores de copia del domino, pueden conectarse por defecto a estas unidades.
  • ADMIN$.- Es un recurso utilizado por el propio sistema durante la administración remota de un ordenador Windows 2003.
  • IPC$.- Recurso que agrupa los tubos (colas de mensajes) utilizados por los programas para comunicarse entre ellos. Se utiliza durante la administración remota de un ordenador Windows 2003, y cuando se observa los recursos que comparte.
  • NETLOGON.- Recurso que exporta un Controlador de Dominio para proporcionar a los ordenadores miembros del dominio el servicio de validación de cuentas globales a través de la red (Net Logon Service).
  • SYSVOL.- Recurso que exporta cada DC de un dominio. Contiene información del Directorio Activo (por ejemplo, de directivas de grupo) que debe replicarse en todos los DCs del dominio.

     Es interesante saber que añadir el carácter "$" al final de cualquier nombre de recurso tiene el efecto de que prohíbe que dicho recurso se visualice dentro de la lista de recursos compartidos que se muestra al resto. Es decir, convierte un recurso en "invisible" para al resto del mundo. En este caso, un usuario remoto sólo podrá conectarse al recurso si conoce su nombre de antemano (y tiene suficientes permisos).

Órdenes para compartir recursos.

         La compartición de recursos en Windows 2003 puede realizarse en línea de comando utilizando los mandatos “net share” y “net use”.    

  • net share: Crea, elimina o muestra recursos compartidos.

net share

net share recurso_compartido

net share recurso_compartido=unidad:ruta_de_acceso

  [/users:número | /unlimited] [/remark:"texto"]

net share recurso_compartido [/users:número | unlimited]

  [/remark:"texto"]

net share {recurso_compartido | unidad:ruta_de_acceso} /delete

Ejemplos:

net share secretaria = c:\carpeta compartida

  • net use: Conecta o desconecta un equipo de un recurso compartido o muestra información acerca de las conexiones del equipo. También controla las conexiones de red persistentes.

net use  [nombre_dispositivo]

         [\\nombre_equipo\recurso_compartido[\volumen]]

         [contraseña | *]] [/user:[nombre_dominio\]nombre_usuario]

         [[/delete] | [/persistent:{yes | no}]]

net use nombre_dispositivo [/home[contraseña | *]]

         [/delete:{yes | no}]

net use  [/persistent:{yes | no}]

     Ejemplos:

         net use  F:  \\servidor\recurso

         net use  F:  \\servidor\recurso  /User:Usuario  password

         net use  F:  \\servidor\recurso  /User:Dominio\Usuario  passwSrd

Secuencia de comandos de inicio de sesión.

     En equipos en los que se ejecuten sistemas operativos de la familia Windows Server 2003, puede asignar una secuencia de comandos de inicio de sesión a una cuenta de usuario. Cuando un usuario inicia sesión y en su cuenta existe una ruta de acceso de una secuencia de comandos de inicio de sesión, se busca el archivo y se ejecuta.

     También puede asignar secuencias de comandos de inicio y cierre de sesión, y de inicio y cierre del equipo mediante el complemento Directiva de grupo. Estas secuencias de comandos se aplican a todos los usuarios y equipos a los que se aplica un objeto de directiva de grupo determinado.

     Para asignar una secuencia de comandos de inicio de sesión a un usuario en Active Directory:

    • Abrir “Usuarios y equipos de Active Directory”.

    • En el árbol de la consola, hacer clic en Usuarios”.

    • Doble clic en el usuario al que se desee asignar la secuencia de comandos de inicio de sesión.

    • Pulsar en la ficha Perfil”.

    • En el campo Secuencia de comandos de inicio de sesión”, escribir la ruta de acceso y el nombre de la secuencia de comandos de inicio de sesión asignado a ese usuario y, a continuación, hacer clic en Aceptar”.

     Por ejemplo, si se tiene un fichero mapeo.bat que contenga comandos “net use” para mapear directorios compartidos , al iniciar la sesión, el servidor que autentifica el inicio de sesión localiza la secuencia de comandos de inicio de sesión que tenga asignada. Busca el archivo especificado siguiendo la ruta de acceso de la secuencia de comandos de inicio de sesión local en el servidor (normalmente  %systemroot%\SYSVOL\sysvol\nombreDeDominio\scripts). Si se proporcionó una ruta de acceso relativa antes del nombre de archivo (por ejemplo, Admins\Usuario1.bat), el servidor buscará la secuencia de comandos de inicio de sesión en ese subdirectorio de la ruta de acceso correspondiente.

Windows Server 2003 Enterprise Edition-2010-05-11-02-41-59

Leer más ...

09 marzo 2010

09 marzo 2010

Práctica 29: Perfiles de usuarios.

     Un perfil define el entorno personalizado de un usuario. El perfil contiene la configuración del escritorio y de los programas de usuario y se crea automáticamente para cada usuario cuando inicia sesión en un equipo. Un perfil ofrece muchas ventajas como:

  • Múltiples usuarios pueden utilizar el mismo equipo, con la configuración de cada uno recuperada al iniciar sesión al mismo estado en que estaba cuando cerró sesión.
  • Los cambios hechos por un usuario en el escritorio no afectan a otro usuario.
  • Administración de usuarios y grupos.
  • Si los perfiles de usuario se almacenan en un servidor pueden seguir a los usuarios en cualquier equipo de la red que ejecute Windows Server 2003, Windows XP Professional, Windows 2000 o Windows NT 4.

    Se definen tres tipos de perfiles:

  • Perfiles locales.- Son los perfiles creados en un equipo cuando un usuario inicia sesión. El perfil es específico de un usuario, local al equipo y se almacena en el disco duro del equipo local. El perfil de usuario se almacena en la carpeta “C:\Documents and Settings”.
  • Perfiles móviles.- Son perfiles creados por el administrador y almacenados en un servidor. Estos perfiles siguen al usuario a cualquier máquina de la red Windows Server 2003, Windows XP Professional, Windows 2000 o Windows NT4.
  • Perfiles obligatorios.- Son perfiles móviles que sólo pueden ser modificados por el administrador.

Perfiles móviles de usuario.

     Un perfil de usuario permite que un usuario mantenga el entorno en que está trabajando cada vez que inicia una sesión. Lo interesante es mantener el perfil del usuario de ese dominio sin que afecte en que equipo se conecte. Esto quiere decir tener perfiles móviles.

     Los procesos en un perfil móvil son los siguientes:

  • El usuario se identifica.
  • Se comprueba que el usuario tenga un perfil móvil.
  • El perfil se aplica a la máquina particular.
  • El perfil se guarda al finalizar la sesión.

     Es bastante importante si el usuario se mueve dentro de la organización utilizando distintas máquinas. También se pueden instalar aplicaciones a todos o ciertos usuarios utilizando los perfiles con lo que esta operación conlleva una gran facilidad de instalación de aplicaciones, configuraciones etc.

     Los pasos para crear un perfil móvil son:

  • Lo primero que se puede hacer es crear en el servidor un carpeta llamada “Perfiles” donde se irán generado las carpetas de perfil de cada usuario al validarlos la primera vez. Esta carpeta tiene que estar como carpeta compartida con permisos para los usuarios con perfil móvil.perfilmovil3

  • Una opción a tener en cuenta en la gestión de los perfiles es la ubicación de la carpeta Mis documentos. Al ser un perfil móvil interesa que la carpeta Mis documentos también sea móvil y así el usuario pueda tener acceso a estos recursos en cualquier PC. Por defecto se guarda en local en la máquina en la cual se está conectado. Para hacer móvil la carpeta Mis documentos lo único que hay que hacer es crear una carpeta compartida (por ejemplo, llamada “Usuarios”) donde se vayan guardando los documentos de estos perfiles.perfilmovil6

  • Abrir “Usuarios y Equipos del Directorio Activo” en las herramientas administrativas. Seleccionar el usuario al que se le va a añadir el perfil móvil y pinchar con el botón derecho del ratón en Propiedades , y luego la pestaña “Perfiles”.perfilmovil1

  • En perfiles hay que indicar la ruta del perfil móvil. En el ejemplo se va a guardar el perfil en el servidor en la ruta “\\server\perfiles\%Username%” donde:

    • “server” es el nombre del servidor.
    • “perfiles” es la carpeta compartida que se ha creado en el servidor.
    • “%Username%” es la variable que automáticamente escribirá el nombre de usuario el propio sistema operativo.
      192 

  • Para hacer móvil la carpeta Mis documentos lo único que hay que hacer poner la ruta “\\server\usuarios\%Username%” en el apartado de “Conectar a” y asignarla una unidad de red, por lo que es usuario le aparecerá una nueva unidad de disco apuntando a sus documentos.
    perfilmovil4 
  • Una vez configurado solo quedará que el usuario se conecté y establezca como ruta de Mis documentos la nueva ruta. Para hacer esto hay que conectarse con el nombre del usuario y seleccionar Botón dcho. en Mis Documentos -> Propiedades e introducir la ruta (“\\server\usuarios\%Username%” ).

    perfilmovil5


 

Perfiles obligatorios de usuario.

     Un perfil obligatorio es un perfil en el cual el usuario aunque lo modifique, los cambios no se guardarán. Así que cada vez que se vuelva a conectar tendrá el mismo perfil que tenía originalmente.

     Los pasos para crear un perfil móvil son:

  • Crear una carpeta compartida donde se almacenarán los perfiles obligatorios. Se puede usar la misma carpeta “Perfiles” creada para los perfiles móviles, aunque en este caso creamos una carpeta dentro llamada “obligatorio”.
    perfilobligatorio1
  • Hay que cambiar la ruta del perfil en el usuario,  abrir Usuario y equipos del Directorio Activo –> Botón dcho. en el usuario -> Propiedades > Pestaña Perfil. En “Perfil” introducir el path de la carpeta creada para los perfiles obligatorios.
    perfilobligatorio2
  • El siguiente paso es conectarse con el usuario para que cargue el perfil en la carpeta que se ha creado, configurar el entorno del usuario a gusto y seguidamente, para convertir el perfil a obligatorio, hay que renombrar el fichero NTUSER.DAT a NTUSER.MAN. Así aunque el usuario modifique su perfil, cada vez que se vuelva a conectar se cargará el que tenía originalmente.
    perfilobligatorio3

EJEMPLO PERFIL MÓVIL

     Un ejemplo de lo que se podría hacer con los perfiles móviles es configurar los datos de usuario de la siguiente forma:

  • Primero creamos una carpeta compartida en el Servidor llamada, por ejemplo, “Usuarios” de la que va a colgar una carpeta por usuario. Asignar a las carpetas de cada usuario permisos para “Administradores” y el usuario concreto.
  • Igualmente podemos crear otra carpeta llamada “Correos”, con las mismas características que la anterior.
  • Para almacenar los perfiles móviles creamos otra carpeta llamada “Perfiles”.
  • Creamos los usuarios.
  • Desde los equipos clientes, validamos e identificamos las cuentas de usuario, configurando totalmente el entorno, incluido las cuentas de correo electrónico.
  • Redireccionamos la carpeta “Mis Documentos” a la primera carpeta compartida de tipo \\SERVIDOR\Usuarios\USUARIO.
  • Configuramos Internet Explorer para que borre los ficheros temporales al salir del programa.
  • Seguidamente configuramos los programas de correo electrónico:
    • Si se utiliza Outlook movemos el fichero xxx.pst desde la carpeta Outlook a \\SERVIDOR\Usuarios\USUARIO\xxx.pst y abrimos de nuevo Outlook el cual nos da un error y nos pedirá que reasignemos el fichero .pst correspondiente.
    • Si se utiliza Outlook Express movemos el directorio "Outlook Express" y el fichero xxx.wab de la libreta de direcciones  a \\SERVIDOR\Usuarios\USUARIO\OutlookExpress  y SIN ABRIR Outlook Express entramos en el Registro de Windows con regedit y se modifican los valores de las siguientes claves:

"HKEY_CURRENT_USER\Identities\{????????????????}\Software\Microsoft\OutlookExpress\5.0\Store Root"  con el path \\SERVIDOR\Usuarios\USUARIO\OutlookExpress

"HKEY_CURRENT_USER\Software\Microsoft\WAB\WAB4 \Wab File Name" con el path \\SERVIDOR\Usuarios\USUARIO\xxx.wab

  • SIN ABRIR NADA se cierra la sesión y se vuelve a abrir (es fundamental).
  • Cerramos de nuevo la sesión de usuario y abrimos sesión de Administrador y copiamos su perfil local a través de MiPC –> Propiedades –> Opciones Avanzadas –> Perfiles de usuario – Configuración a la carpeta  \\SERVIDOR\Usuarios\USUARIO.
  • Desde la Administración de Usuarios les asignamos en las propiedades el directorio asignado para su perfil móvil (\\SERVIDOR\Usuarios\USUARIO).

NOTA: Redireccionamos la carpeta “Mis Documentos” y el correo para que no se transmitan por la red cada vez que se valida el usuario y se hace que se borren los ficheros temporales de Internet Explorer por la misma razón.   

Leer más ...

08 marzo 2010

08 marzo 2010

Práctica 28: Usuarios en Active Directory

     Las cuentas de usuario (principales de seguridad) representan una entidad física como una persona o un equipo dentro del Directorio Activo, ya que son objetos del directorio a los que se asignan automáticamente identificadores de seguridad para iniciar sesiones en la red y tener acceso a los recursos.

     Una cuenta de usuario permite que un usuario inicie sesiones en equipos y/o dominios con una identidad que se puede autentificar y autorizar para tener acceso a los recursos del dominio. Cada usuario que se conecta a la red debe tener su propia cuenta de usuario y contraseña. Por lo tanto, una cuenta de usuario se utiliza para:

  • Autentificar la identidad del usuario.
  • Autorizar o denegar el acceso a los recursos del dominio.
  • Administrar otros principales de seguridad.
  • Auditar las acciones realizadas con la cuenta de usuario.

     La cuenta de usuario de Administrador permite administrar el equipo en el que se creó. Esta cuenta puede ser renombrada pero no puede ser borrada ni quitada del Grupo local del Administradores. Es importante proteger esta cuenta con una contraseña especial, así como crear otras cuentas de administradores para proteger mejor la seguridad del servidor.  

     Para abrir la consola principal del Directorio Activo hay que ir a: "Inicio" -> "Programas"   ->  "Herramientas Administrativas" -> "Usuarios y equipos del Active Directory".

     Es interesante ir creando Unidades Organizativas (UO) por si interesa poner políticas en el Directorio Activo para una gestión de seguridad y control de usuarios/equipos/grupos… Para ello desde la raíz se crean las que vayamos necesitando según la estructura de seguridad ya tengamos planteada con  Botón derecho -> “Nuevo” -> “Unidad organizativa”.

activedirectory03

     Indicar el nombre de la UO, por ejemplo el de un departamento de una empresa.

activedirectory04

     Una vez creada la estructura de UO’s, lo siguiente es crear los usuarios, para eso o pinchamos en el icono o sino con Botón derecho -> “Nuevo” -> “Usuario”.

activedirectory05

     Introducir los datos que interesen, pero es importante poner el “Nombre de inicio de sesión de usuario” lo más descriptivo posible (por ejemplo, poner la inicial del nombre seguido del apellido), y pulsar en “Siguiente”.

activedirectory06

     Indicar una contraseña (si ponemos una corta nos dará un error) que tiene que cumplir con una complejidad de contraseña robusta, por seguridad, ya que cuanto más compleja sea nuestra contraseña más segura estará la red. Marcamos los checks de “El usuario no puede cambiar la contraseña” y “La contraseña nunca caduca” para que sea el administrador el que controle las modificaciones y validez de dichas contraseñas. Pulsar “Siguiente”.

activedirectory07

    En la siguiente pantalla muestra un resumen por si hay que cambiar algo y pulsar “Finalizar”.

activedirectory08

     Una vez creados los usuarios podemos crear Grupos. Agrupando los usuarios podremos asignar permisos en carpetas sin tener que ir usuario por usuario dando permisos.

activedirectory09

     Indicar el nombre del Grupo, por ejemplo, un departamento de la empresa. Si se quiere aplicar permisos en carpetas al grupo de usuarios se escogerá el tipo de grupo “Seguridad”.

activedirectory10

     Seleccionar los usuarios que interesan para añadir al grupo, Botón derecho -> “Agregar a un grupo…”

activedirectory11

     Escribir el nombre del grupo y pulsar en “Comprobar nombres” y después a “Aceptar”.

activedirectory12

 

Propiedades de usuarios.

     Una vez creados los usuarios es interesante revisar las principales propiedades y sus opciones.

     En la pestaña “General” se puede revisar los datos que introducimos al crearlo.

propiedadesdeusuario01

    En la pestaña “Cuenta”, podemos indicar en que horas del día, en que equipos puede iniciar sesión y cuando le caduca la cuenta de usuario.

propiedadesdeusuario03

     En la pestaña de “Perfil” se configura todo lo relacionado con la forma en que se comportará el perfil de cada usuario.

  • Ruta de acceso al perfil.-i se tiene perfiles móviles, aquí se indica donde se aloja, es decir, de donde se cogerá los datos cuando el usuario inicie sesión.
  • Secuencia de comandos de inicio de sesión.- Se utiliza para que en el PC se ejecute algún programa de archivo de comandos, principalmente el archivo .bat que mapea unidades de red. Estos archivos se guardan en la carpeta SYSVOL dentro del servidor y en el cuadro de diálogo sólo se introduce el nombre del fichero.

propiedadesdeusuario04

     En “Miembro de” se pueden ver y agregar los grupos a los que pertenece el usuario.

propiedadesdeusuario07

Leer más ...