Curso 6824A - Indice Módulo 1: Implementación de Servicios de dominio de Active Directory Este módulo analiza los requisitos previos de hardware y software para implementar AD DS, como así también el proceso para instalarlo. Asimismo, define qué es un controlador de dominio de sólo lectura (RODC) y cómo se instala. Módulo 2: Configuración del Servicio de nombres de dominio para Servicios de dominio de Active Directory Este módulo describe la configuración de DNS específica para AD DS. Módulo 3: Configuración de objetos y confianzas de Active Directory Este módulo analiza cómo implementar y configurar objetos y confianzas de AD DS. Módulo 4: Configuración de Sitios de servicios de dominio y replicación de Active Directory Este módulo describe cómo crear y configurar sitios para administrar la replicación. Módulo 5: Creación y configuración de la Directiva de grupo Este módulo describe cómo funcionan, cómo se crean y cómo se aplican los Objetos de directiva de grupo (GPO). Módulo 6: Configuración de entornos de usuario usando la Directiva de grupo Este módulo analiza cómo establecer la configuración del escritorio del usuario mediante la Directiva de grupo. Módulo 7: Implementación de la seguridad usando la Directiva de grupo Este módulo describe cómo establecer los valores de seguridad y aplicarlos usando Objetos de directiva de grupo. Módulo 8: Implementación de un plan de supervisión de Servicios de dominio de Active Directory Este módulo describe cómo supervisar infraestructura y servicios de AD DS. Módulo 9: Implementación de un plan de mantenimiento de Servicios de dominio de Active Directory Este módulo analiza cómo realizar el mantenimiento, la copia de seguridad y la recuperación de servidores y objetos de Active Directory. Módulo 10: Solución de problemas de Active Directory, DNS y replicación Este módulo describe cómo solucionar problemas relacionados con AD DS, DNS y replicación Módulo 11: Solución de problemas de Directiva de grupo Este módulo describe cómo solucionar problemas relacionados con Directivas de grupo. Módulo 12: Implementación de una infraestructura de Servicios de dominio de Active Directory® Este módulo implica un día entero de laboratorio. Se presentan escenarios para facilitar el aprendizaje de la solución desde el comienzo hasta el final. © Copyright 2009, Microsoft Corporation. All rights reserved. Legal Notices Modulo 1 : Implementación de Servicios de dominio de Active Directory Implementación de Servicios de dominio de Active Directory Lección 1: Instalación de Servicios de dominio de Active Directory Lección 2: Implementación de controladores de dominio de sólo lectura Lección 3: Configuración de funciones de controladores de dominio de AD DS Laboratorio: Implementación de los controladores de dominio de sólo lectura y administración de las funciones de controladores de dominio Servicios de dominio de Active Directory (AD DS) se instala como una función del servidor en el sistema operativo Windows Server®°2008. Existen varias opciones para elegir al instalar AD DS y ejecutar el Asistente para instalación de Servicios de dominio de Active Directory. Se debe elegir si se desea crear un nuevo dominio o agregarle un controlador de dominio a uno existente. Asimismo, cuenta con la opción de instalar AD DS en un servidor con Server Core de Windows Server 2008 o instalar los controladores de dominio de sólo lectura. Después de implementar los controladores de dominio, también se deben administrar funciones especiales de controladores de dominio, como por ejemplo el catálogo global y los maestros de operaciones. Leccion 1 : Instalación de Servicios de dominio de Active Directory Lección 1: Instalación de Servicios de dominio de Active Directory Windows Server 2008 brinda diversas maneras de instalar y configurar AD DS. Esta lección describe la instalación estándar de AD DS y también algunas de las demás opciones que se encuentran disponibles al realizar la instalación. Requisitos para instalar AD DS Requisitos para instalar AD DS Puntos clave Para instalar AD DS, el servidor debe cumplir con los siguientes requisitos: El sistema operativo Windows Server 2008 debe estar instalado. AD DS solamente puede instalarse en los siguientes sistemas operativos: El sistema operativo Windows Server® 2008 Standard El sistema operativo Windows Server® 2008 Enterprise El sistema operativo Windows Server® 2008 Datacenter Material de lectura adicional Ayuda para Servicios de dominio de Active Directory: Instalación de Servicios de dominio de Active Directory Artículo de Microsoft TechNet: Requisitos para instalar AD DS ¿Cuáles son los niveles funcionales de dominio y de bosque? ¿Cuáles son los niveles funcionales de dominio y de bosque? Puntos clave En Windows Server 2008, la funcionalidad de bosque y de dominio brinda una forma de habilitar funciones de todo el bosque o del dominio de Active Directory en su entorno de red. Los diferentes niveles de funcionalidad de bosque y dominio están disponibles; dependerán del nivel funcional de dominio y bosque. Material de lectura adicional 1. Ayuda para Servicios de dominio de Active Directory: Establecer el nivel funcional de dominio o bosque 2. Artículo de Microsoft TechNet: Apéndice de las características de nivel funcional Proceso de instalación de AD DS Proceso de instalación de AD DS Puntos clave Para configurar un controlador de dominio de Windows Server 2008, se debe instalar la función del servidor de AD DS y ejecutar el Asistente para instalación de Servicios de dominio de Active Directory. Para hacerlo, se debe usar uno de los siguientes procesos: Instalar la función del servidor usando el Administrador de servidores y luego ejecutar el asistente para instalación ejecutando DCPromo o el asistente para instalación desde el Administrador de servidores. Ejecutar DCPromo desde el comando Ejecutar o un símbolo del sistema. De este modo, se instalará la función del servidor de AD DS y luego se iniciará el Asistente para instalación. Material de lectura adicional Ayuda para Servicios de dominio de Active Directory: Instalación de Servicios de dominio de Active Directory Artículo de Microsoft TechNet: Instalación de un nuevo bosque de Windows Server 2008 y Escenarios para instalar AD DS Opciones avanzadas para instalar AD DS Opciones avanzadas para instalar AD DS Puntos clave Algunas de las páginas del Asistente para instalación de Servicios de dominio de Active Directory aparecen solamente si se selecciona la casilla Usar la instalación en modo avanzado en la página principal del asistente o al ejecutar DCPromo con el parámetro de línea de comandos /adv. Si no ejecuta el Asistente para instalación en modo avanzado, el asistente usará las opciones predeterminadas que se aplican a la mayoría de las configuraciones.sçsi Pregunta: ¿Cuándo usaría el modo de opciones avanzadas en su organización? Material de lectura adicional Ayuda para Servicios de dominio de Active Directory: Usar la instalación en modo avanzado Artículo de Microsoft TechNet: Novedades de la instalación y desinstalación de AD DS Instalación de AD DS desde un medio Instalación de AD DS desde un medio Puntos clave Antes de que se puedan usar medios de copia de seguridad como la fuente para instalar un controlador de dominio, use Ntdsutil.exe para crear los medios de instalación. Ntdsutil.exe puede crear cuatro tipos de medios de instalación diferentes. Pregunta: ¿Qué tipos de medios de instalación usará en su organización? Material de lectura adicional Artículo de Microsoft TechNet: Instalación de AD DS desde un medio Demostración: Comprobación de la instalación de AD DS Demostración: Comprobación de la instalación de AD DS Pregunta: ¿Qué pasos llevaría a cabo si se diera cuenta de que no se pudo realizar la instalación del controlador de dominio? Material de lectura adicional Artículo de Microsoft TechNet: Comprobación de una instalación de AD DS Actualización a AD DS de Windows Server 2008 Actualización a AD DS de Windows Server 2008 Puntos clave Para instalar un controlador de dominio nuevo de Windows Server 2008 en un dominio existente de Windows 2000 Server o Windows Server 2003, lleve a cabo los siguientes pasos: Si el controlador de dominio es el primero de Windows Server 2008 en el bosque, se debe preparar el bosque para Windows Server 2008 al ampliar el esquema en el maestro de operaciones de esquema. Para ampliar el esquema, ejecute adprep /forestprep. La herramienta adprep está ubicada en los medios de instalación de Windows Server 2008. Si el controlador de dominio es el primero de Windows Server 2008 en un dominio de Windows 2000 Server, se debe preparar el dominio al ejecutar adprep /domainprep /gpprep en el maestro de infraestructura. El parámetro de línea de comandos gpprep agrega una entrada de control de acceso heredable (ACE) a los Objetos de directiva de grupo (GPO) que se encuentran ubicados en la carpeta compartida SYSVOL y la sincroniza entre los controladores en el dominio. Si el controlador de dominio es el primero de Windows Server 2008 en un dominio de Windows Server 2003, se debe preparar el dominio al ejecutar adprep /domainprep /gpprep en el maestro de infraestructura. Después de instalar un controlador de dominio grabable, se puede instalar un RODC en el bosque de Windows Server 2003. Antes de realizar el paso anterior, se debe preparar el bosque al ejecutar adprep /rodcprep. Se puede ejecutar adprep /rodcprep en cualquier equipo en el bosque. Si el RODC será un servidor de catálogo global, luego se debe ejecutar adprep /domainprep en todos los dominios en el bosque, sin importar si el dominio ejecuta un controlador de dominio de Windows Server 2008. Al ejecutar adprep /domainprep en todos los dominios, el RODC puede replicar datos del catálogo global a partir de todos los dominios en el bosque y luego puede anunciarse como un servidor de catálogo global. Material de lectura adicional Ayuda para Servicios de dominio de Active Directory: Instalación de Servicios de dominio de Active Directory Artículo de Microsoft TechNet: Instalación de un nuevo bosque de Windows Server 2008 Artículo de Microsoft TechNet: Escenarios para instalar AD DS Instalación de AD DS en un equipo con Server Core Instalación de AD DS en un equipo con Server Core Puntos clave Para instalar AD DS en un equipo Windows Server 2008 con Server Core, se debe usar una instalación desatendida. Server Core de Windows Server 2008 no proporciona una interfaz gráfica de usuario (GUI) por lo tanto no se puede ejecutar el Asistente para instalación de Servicios de dominio de Active Directory. Para realizar una instalación desatendida de AD DS, use un archivo de respuesta y la siguiente sintaxis con el comando Dcpromo: Dcpromo /answer[:nombre de archivo], donde nombre de archivo representa el nombre del archivo de respuesta. Material de lectura adicional Artículo de Microsoft TechNet: Instalación de un nuevo bosque de Windows Server 2008, Apéndice de parámetros para la instalación desatendida Discusión: Configuración común para AD DS Discusión: Configuración común para AD DS Puntos clave Después de instalar un controlador de dominio, tal vez se necesite llevar a cabo tareas adicionales en su entorno. Puede tener acceso a listas de comprobación para las siguientes configuraciones comunes para AD DS en el Administrador de servidores, en Recursos y Soporte. Material de lectura adicional Ayuda para AD DS: Configuraciones comunes para Servicios de dominio de Active Directory Leccion 2 : Implementación de controladores de dominio de sólo lectura Lección 2: Implementación de controladores de dominio de sólo lectura Una de las nuevas funciones importantes en Windows Server 2008 es la opción de usar los controladores de dominio de sólo lectura (RODC). Los RODC brindan toda la funcionalidad que los clientes necesitan como así también seguridad adicional para los controladores de dominio implementados en las sucursales. Al configurar los RODC, se puede especificar qué contraseñas de cuenta de usuario se almacenarán en la memoria caché del servidor y configurar los permisos administrativos delegados para el controlador de dominio. Esta lección describe cómo instalar y configurar los RODC. ¿Qué es un controlador de dominio de solo lectura? ¿Qué es un controlador de dominio de solo lectura? Puntos clave Un RODC es un nuevo tipo de controlador de dominio compatible con Windows Server 2008. Un RODC hospeda particiones de sólo lectura de la base de datos de AD DS. Es decir que nunca se podrán realizar cambios en la copia de la base de datos almacenada por el RODC y toda la replicación de AD DS usa una conexión unidireccional desde un controlador de dominio que cuenta con una copia de base de datos grabable hasta el RODC. Material de lectura adicional Artículo de Microsoft TechNet: AD DS: Controladores de dominio de sólo lectura Características de los controladores de dominio de sólo lectura Características de los controladores de dominio de sólo lectura Puntos clave Vea la lista en la diapositiva. Material de lectura adicional Artículo de Microsoft TechNet: AD DS: Controladores de dominio de sólo lectura Artículo de Microsoft TechNet: Step-by-Step Guide for Read-Only Domain Controller in Windows Server 2008 Beta 3 (Guía paso a paso para el controlador de dominio de sólo lectura en Windows Server 2008 Beta 3) Preparación de la instalación del RODC Preparación de la instalación del RODC Puntos clave Antes de que se pueda instalar un RODC, se debe preparar el entorno de AD DS llevando a cabo los siguientes pasos: Configurar el nivel funcional de dominio y bosque Planear la disponibilidad del controlador de dominio de Windows Server 2008. Preparar el bosque y el dominio. Material de lectura adicional Ayuda para AD DS: Delegar la administración e instalación del controlador de dominio de sólo lectura Artículo de Microsoft TechNet: AD DS: Controladores de dominio de sólo lectura Artículo de Microsoft TechNet: Step-by-Step Guide for Read-Only Domain Controller in Windows Server 2008 Beta 3 (Guía paso a paso para el controlador de dominio de sólo lectura en Windows Server 2008 Beta 3) Instalación del RODC Instalación del RODC Puntos clave La instalación del RODC es prácticamente idéntica a la instalación de AD DS en un controlador de dominio con una copia grabable de la base de datos. No obstante, existen algunos pasos adicionales. Material de lectura adicional Ayuda para AD DS: Delegar la administración e instalación del controlador de dominio de sólo lectura Artículo de Microsoft TechNet: Step-by-Step Guide for Read-Only Domain Controller in Windows Server 2008 Beta 3 (Guía paso a paso para el controlador de dominio de sólo lectura en Windows Server 2008 Beta 3) Delegación de la instalación del RODC Delegación de la instalación del RODC Puntos clave Se puede delegar la instalación de un RODC realizando una instalación que consta de dos etapas. Pregunta: ¿Cuáles son los beneficios de delegar la instalación de un RODC? Material de lectura adicional Ayuda para AD DS: Delegar la administración e instalación del controlador de dominio de sólo lectura Artículo de Microsoft TechNet: AD DS: Controladores de dominio de sólo lectura Artículo de Microsoft TechNet: Guía paso a paso para controladores de dominio de sólo lectura ¿Qué son las directivas de replicación de contraseñas? ¿Qué son las directivas de replicación de contraseñas? Puntos clave Cuando se implementa un RODC, se puede configurar una Directiva de replicación de contraseñas para el RODC. Dicha directiva funciona como una lista de control de acceso (ACL) que determina si se permite que un RODC almacene una contraseña en la memoria caché. La Directiva de replicación de contraseñas enumera las cuentas que usted explícitamente permite que se almacenen en la memoria caché y las que no. Las contraseñas para las cuentas no se encuentran realmente almacenadas en la memoria caché en el RODC hasta que la cuenta del usuario o del equipo haya sido autenticada por primera vez mediante el RODC. Material de lectura adicional Ayuda en línea para AD DS: Specify password Replication Policy (Especificar la Directiva de replicación de contraseñas) Demostración: Configuración de la separación de la función de administrador y las directivas de replicación de contraseñas Demostración: Configuración de la separación de la función de administrador y las directivas de replicación de contraseñas Preguntas: ¿Cuál sería una forma alternativa de configurar la separación de la función de Administrador y las Directivas de replicación de contraseña? Su organización ha implementado dos RODC. ¿Cómo configuraría la Directiva de replicación de contraseñas si deseara que las credenciales para todas las cuentas de usuario y de equipo exceptuando las de administradores y ejecutivos sean almacenadas en la memoria caché en ambos RODC? Material de lectura adicional Ayuda para AD DS: Specify Password Replication Policy (Especificar la Directiva de replicación de contraseñas) Leccion 3 : Configuración de funciones de controladores de dominio de AD DS Lección 3: Configuración de funciones de controladores de dominio de AD DS Todos los controladores de dominio en un dominio son fundamentalmente iguales, es decir que todos contienen los mismos datos y brindan los mismos servicios. Sin embargo, también se pueden asignar funciones especiales a controladores de dominio para brindar servicios adicionales o abordar escenarios donde solamente un único controlador de dominio debería ofrecer servicios en cualquier momento. Esta lección describe cómo configurar y administrar servidores de catálogo global y maestros de operaciones. ¿Qué son los servidores de catálogo global? ¿Qué son los servidores de catálogo global? Puntos clave El catálogo global es una réplica de sólo lectura parcial de todas las particiones de directorio de dominio en un bosque. El catálogo global es una réplica parcial ya que incluye solamente un conjunto de atributos limitado para cada uno de los objetos del bosque. Al incluir solamente los atributos que se buscan con más frecuencia, la base de datos de un servidor de catálogo global único puede representar a cada objeto en todos los dominios en el bosque. El servidor de catálogo global es un controlador de dominio que también hospeda al catálogo global. AD DS configura automáticamente el primer controlador de dominio en el bosque como un servidor de catálogo global. Se puede agregar funcionalidad de catálogo global a otros controladores de dominio o cambiar la ubicación predeterminada del catálogo global a otro controlador de dominio. Material de lectura adicional Artículo de Microsoft TechNet: Domain Controller Roles (Funciones de controladores de dominio) Modificación del catálogo global Modificación del catálogo global Puntos clave A veces, quizás desee personalizar el servidor de catálogo global para incluir atributos adicionales. De forma predeterminada, para cada uno de los objetos en el bosque, el servidor de catálogo global contiene los atributos más comunes de un objeto. Las aplicaciones y los usuarios pueden consultar tales atributos. Por ejemplo, se puede hallar un usuario por el nombre, apellido, dirección de correo electrónico u otras propiedades comunes. Material de lectura adicional Artículo de Microsoft TechNet: Domain Controller Roles (Funciones de controladores de dominio) Demostración: Configuración de servidores de catálogo global Demostración: Configuración de servidores de catálogo global Preguntas: ¿Qué tipos de errores o experiencias de usuario lo llevaría a investigar si sería necesario configurar otro servidor como un servidor de catálogo global? ¿Cuáles son las razones por las que elegiría replicar un atributo al catálogo global? Material de lectura adicional Artículo de Microsoft TechNet: Agregar un atributo al catálogo global ¿Qué son las funciones de maestro de operaciones? ¿Qué son las funciones de maestro de operaciones? Puntos clave Active Directory está diseñado como un sistema de replicación con varios maestros. No obstante, para ciertas operaciones de directorio, solamente se requiere un único servidor autoritativo. Los controladores de dominio que desempeñan funciones específicas se denominan maestros de operaciones. Los controladores de dominio que desempeñan funciones de maestro de operaciones son designados para desempeñar tareas específicas para garantizar consistencia y para terminar con las posibles entradas que presenten problemas en la base de datos de Active Directory. Material de lectura adicional Artículo de Microsoft TechNet: Agregar un atributo al catálogo global Artículo de Microsoft TechNet: Administrar funciones de maestro de operaciones Demostración: Administración de funciones de maestro de operaciones Demostración: Administración de funciones de maestro de operaciones Preguntas: ¿En qué circunstancia necesitaría asumir una función de maestro de operaciones de inmediato en vez de esperar unas horas para que se repare un controlador de dominio que actualmente desempeña la función? Está implementando el primer controlador de dominio en un nuevo dominio que consistirá en un nuevo árbol de dominios en el bosque WoodgroveBank.com. ¿Qué funciones de maestro de operaciones desempeñará este servidor de manera predeterminada? Material de lectura adicional Artículo de Microsoft TechNet: Administrar funciones del maestro de operaciones Cómo funciona el servicio Windows Time Cómo funciona el servicio Windows Time Puntos clave El servicio Horario de Windows, también denominado W32Time, sincroniza la hora y la fecha para todos los equipos que se ejecutan en una red de Windows Server 2008. El servicio Horario de Windows usa el Protocolo de tiempo de redes (NTP) para garantizar configuraciones horarias de gran precisión por toda la red. Del mismo modo, se pueden integrar fuentes horarias externas al servicio Horario de Windows. Material de lectura adicional Artículo de Microsoft TechNet: Windows Time Service Technical Reference (Referencia técnica del servicio Horario de Windows) Artículo de Microsoft TechNet: Configuring a time source for the forest (Configurar una fuente horaria para el bosque) Leccion 4 : Laboratorio: Implementación de los controladores de dominio de sólo lectura y administración de las funciones de controladores de dominio Laboratorio: Implementación de los controladores de dominio de sólo lectura y administración de las funciones de controladores de dominio Escenario El Woodgrove Bank ha comenzado la implementación de Windows Server 2008. La organización ha implementado varios controladores de dominio en su sede corporativa y se prepara para implementar controladores de dominio en diversas sucursales. El administrador de la empresa creó un diseño que requiere que se implementen controladores de dominio de sólo lectura en servidores con Windows Server 2008 en todas las sucursales. Su tarea implica implementar un controlador de dominio en una sucursal que cumpla con los requisitos ya mencionados. Ejercicio 1: Evaluación de la preparación del bosque y del servidor para instalar un RODC Ejercicio 1: Evaluación de la preparación del bosque y del servidor para instalar un RODC En este ejercicio, se evaluará la preparación del bosque y del servidor para instalar un RODC. Se preparará también el bosque para la instalación. Además, se examinará la configuración de un servidor con Server Core para garantizar que cumpla con los requisitos previos para la instalación del RODC. Nota: Debido a las limitaciones del entorno del laboratorio virtual, instalará el RODC en el mismo sitio que en el de los controladores de dominio existentes. En un entorno de producción, llevaría a cabo los mismos pasos incluso si el RODC se encontrara en un sitio diferente. Las principales tareas se realizarán como se detalla a continuación: 1. Iniciar las maquinas virtuales y luego iniciar sesión. 2. Comprobar que los niveles funcionales de bosque y de dominio sean compatibles con la implementación de un RODC. 3. Comprobar la disponibilidad de un controlador de dominio grabable con Windows Server 2008. 4. Configurar los valores de la cuenta de equipo para el RODC. Tarea 1: Iniciar las maquinas virtuales y luego iniciar sesión. 1. En el equipo host, haga clic en Inicio, elija Todos los programas, seleccione Microsoft Learning y luego, haga clic en 6824A. Se inicia Iniciador de laboratorio. 2. En Iniciador de laboratorio, junto a 6824A-NYC-DC1, haga clic en Iniciar. 3. En Iniciador de laboratorio, junto a 6824A-NYC-DC2, haga clic en Iniciar. 4. En Iniciador de laboratorio, junto a 6824A-NYC-SVR1, haga clic en Iniciar. 5. Inicie sesión en NYC- DC1 y NYC-DC2 como Administrador, usando la contraseña Pa$$w0rd. 6. Inicie sesión en NYC-SVR1 como AdminLocal, usando la contraseña Pa$$w0rd. 7. Minimice la ventana Iniciador de laboratorio. Tarea 2: Comprobar que los niveles funcionales de bosque y de dominio sean compatibles con la implementación de un RODC. 1. En NYC-DC1, abra Usuarios y equipos de Active Directory. 2. Vea las propiedades de WoodgroveBank.com y compruebe que tanto el nivel funcional del dominio como el del bosque se encuentren establecidos como Windows Server 2003. Tarea 3: Comprobar la disponibilidad de un controlador de dominio grabable con Windows Server 2008. 1. En Usuarios y equipos de Active Directory, compruebe las propiedades para NYC-DC1. 2. Compruebe que el nombre del sistema operativo sea Windows Server 2008 Enterprise. Tarea 4: Configurar los valores de la cuenta de equipo para el RODC. 1. En NYC-SVR1, abra el Administrador del servicio. 2. Haga clic en Cambiar propiedades del sistema y en la ficha Nombre de equipo, cambie el nombre del equipo a TOR-DC1. 3. Reinicie el equipo. Resultado: Al finalizar este ejercicio habrá comprobado que el dominio y el equipo están listos para instalar un RODC. Ejercicio 1: Respuestas claves (pasos detallados) Ejercicio 2: Instalación y configuración de un RODC Ejercicio 2: Instalación y configuración de un RODC En este ejercicio, se instalará la función del servidor del RODC en el equipo con Windows Server 2008. Para llevar a cabo tal proceso, se realizará una preparación preliminar en la cuenta de equipo que el RODC usará. Como parte de dicha preparación preliminar, se configurará un grupo administrativo con permisos para instalar el controlador de dominio. Una vez finalizada la instalación, se comprobará que la instalación haya finalizado correctamente. Además se configurarán directivas de replicación de contraseñas para usuarios que inicien sesión en el controlador de dominio. Las principales tareas se realizarán como se detalla a continuación: 1. Realizar la preparación preliminar en la cuenta de equipo para el RODC. 2. Iniciar sesión en TOR-DC1 como Administrador. 3. Instalar el RODC usando la cuenta existente. Usar WoodgroveBank\Axel como la cuenta con las credenciales para llevar a cabo la instalación. 4. Comprobar la instalación correcta del controlador de dominio. 5. Configurar una directiva de replicación de contraseñas que permita que las credenciales se almacenen en la memoria caché para todas las cuentas de usuarios en Toronto. Tarea 1: Realizar la preparación preliminar de la cuenta de equipo para el RODC. 1. En NYC-DC1, abra Usuarios y equipos de Active Directory. 2. Haga clic con el botón secundario en la unidad de organización de los controladores de dominio y en Crear previamente una cuenta de controlador de dominio de sólo lectura. 3. Complete el Asistente para instalación de los servicios de dominio de Active Directory usando las siguientes selecciones: 1. Usar la instalación de modo avanzado 2. Usar las credenciales actuales. 3. Nombre de equipo: TOR-DC1 4. Sitio predeterminado 5. Instalar solamente las opciones de DNS y RODC 6. Delegar permiso a Axel Delgado para instalar el RODC. Tarea 2: Iniciar sesión en TOR-DC1 como AdminLocal Inicie sesión como AdminLocal usando la contraseña Pa$$w0rd. Tarea 3: Instalar el RODC usando la cuenta existente. Use WoodgroveBank\Axel como la cuenta con las credenciales para llevar a cabo la instalación. 1. En TOR-DC1, abra un símbolo de sistema y escriba dcpromo /UseExistingAccount:Attach y luego presione ENTRAR: 2. Complete el Asistente para instalación de Servicios de dominio de Active Directory usando las siguientes selecciones:mama 1. Usar la instalación en modo avanzado 2. Escriba Axel como la credencial alternativa 3. Use TOR-DC1 como el nombre del equipo 4. Use NYC-DC1.WoodgroveBank.com como el controlador de dominio de origen 5. Acepte la ubicación predeterminada para la base de datos, archivos de registro y archivos de SYSVOL. 6. Use Pa$$w0rd como la Contraseña de administrador del modo de restauración de servicios de directorio 3. Reiniciar el equipo una vez que finaliza la instalación. Tarea 4: Comprobar la instalación correcta del controlador de dominio. 1. Después de que TOR-DC1 se reinicia, inicie sesión como Axel con la contraseña Pa$$w0rd. 2. En el Administrador del servidor, compruebe que la función del servidor de Servicios de dominio de Active Service esté instalada. 3. Compruebe que todos los servicios requeridos se estén ejecutando. 4. En Usuarios y equipos de Active Directive, compruebe que TOR-DC1 se encuentra en la unidad organizativa de los controladores de dominio. 5. Compruebe que no cuente con el permiso para agregar o quitar objetos de dominio. 6. En Sitios y servicios de Active Directory, compruebe que TOR-DC1 aparezca en la lista de servidores para el Default-First-Site-Name. 7. Compruebe las NTDS Settings para TOR-DC1. Confirme que se hayan creado los objetos de conexión. 8. Compruebe las NTDS Settings para NYC-DC1. Confirme que no se hayan creado objetos de conexión para la replicación con TOR-DC1. 9. Abra el Visor de eventos. En el registro de Servicio de directorio, busque y vea un mensaje con un identificador del suceso de 1128. Dicho identificador comprueba que se haya creado un objeto de conexión de replicación entre NYC-DC1 y TOR-DC1. Tarea 5: Configurar una directiva de replicación de contraseñas que permita que las credenciales se almacenen en la memoria caché para todas las cuentas de usuario en Toronto. 1. En NYC-DC1, en Usuarios y equipos de Active Directory, ingrese al cuadro de diálogo Propiedades de TOR-DC1. 2. Agregue todos los grupos de Toronto a la directiva de replicación de contraseñas. Resultado: Al finalizar este ejercicio, se habrá instalado un RODC y configurado la directiva de replicación de contraseñas de RODC para el RODC. Ejercicio 2: Respuestas claves (pasos detallados) Ejercicio 3: Configuración de funciones de controladores de dominio de AD DS Ejercicio 3: Configuración de funciones de controladores de dominio de AD DS En este ejercicio, se configurará el RODC instalado en el ejercicio anterior como un servidor de catálogo global. Además se asignarán funciones de maestro de operaciones a un controlador de dominio adicional en el dominio. Las principales tareas se realizarán como se detalla a continuación: 1. Usar Sitios y servicios de Active Directory para configurar TOR-DC1 como un servidor de catálogo global. 2. Configurar NYC-DC2 como el maestro de infraestructura y el maestro de nomenclatura de dominios para el dominio WoodgroveBank.com. 3. Agregar el atributo Departamento al catálogo global. 4. Cerrar todos las máquinas virtuales y descartar los discos para deshacer. Tarea 1: Usar Sitios y servicios de Active Directory para configurar TOR-DC1 como un servidor de catálogo global. 1. En NYC-DC1, en Sitios y servicios de Active Directory, localice la cuenta de equipo TOR-DC1. 2. Ingrese a NTDS Settings y seleccione la casilla Catálogo global. Tarea 2: Configurar NYC-DC2 como el maestro de infraestructura y el maestro de nomenclatura de dominios para el dominio WoodgroveBank.com. 1. En NYC-DC1, en Usuarios y equipos de Active Directory, cambie el foco de la consola a NYC-DC2.WoodgroveBank.com y luego haga clic en Aceptar. 2. Haga clic con el botón secundario en WoodgroveBank.com y luego en Maestro de operaciones. Transfiera la función de maestro de infraestructura a NYC-DC2.WoodgroveBank.com. 3. En NYC-DC2, abra Dominios y confianzas de Active Directory. Ingrese a las configuraciones de Maestro de operaciones y transfiera la función de maestro de operaciones de nombres de dominio a NYC-DC2. Tarea 3: Agregar el atributo Departamento al catálogo global 1. En NYC-DC1, use regsvr32 schmmgmt.dll para registrar el complemento de Esquema de Active Directory. 2. Cree una nueva consola de Administración de Microsoft (MMC) y agregue el complemento de Esquema de Active Directory. 3. En el Esquema de Active Directory, ingrese al atributo Department y configure el atributo para replicar al Catálogo global. Tarea 4: Cerrar todas las máquinas virtuales y descartar todos los cambios. 1. Por cada equipo virtual que se encuentre en funcionamiento, cierre la ventana de Control remoto de la máquina virtual. 2. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios. Haga clic en Aceptar. 3. Cierre el Iniciador de laboratorio 6824A. Resultado: Una vez finalizado el ejercicio, se habrá configurado un servidor de catálogo global y configurado las funciones de controladores de dominio de AD DS. Ejercicio 3: Respuestas claves (pasos detallados) Revisión del laboratorio Revisión del laboratorio Preguntas de revisión 1. Se implementará un controlador de dominio en una sucursal. La sucursal no cuenta con una sala de servidores altamente segura por lo tanto le preocupa la seguridad del servidor. ¿Qué dos características de Windows Server 2008 se pueden aprovechar para mejorar la seguridad de la implementación del controlador de dominio? 2. Se debe crear un nuevo dominio al instalar un controlador de dominio en su infraestructura de Active Directory. Se revisará la lista de inventario de servidores disponibles para este propósito. ¿Cuáles de los siguientes equipos pueden usarse como un controlador de dominio? 1. Windows Server 2008 Edición Web, sistema de archivos NTFS, 1 gigabyte (GB) de espacio disponible en el disco duro, TCP/IP. 2. Windows Server 2008 Edición Enterprise, sistema de archivos NTFS, 500 megabytes (MB) de espacio disponible en el disco duro, TCP/IP. 3. Windows Server 2008 Server Core Edición Enterprise, sistema de archivos NTFS, 1GB de espacio disponible en el disco duro, TCP/IP. 4. Windows Server 2008 Edición Standard, sistema de archivos NTFS, 500 MB de espacio disponible en el disco duro, TCP/IP. 3. Se implementará un RODC en una sucursal. Se necesita asegurar que todos los usuarios en la sucursal puedan autenticar incluso si la conexión WAN desde la sucursal no está disponible. ¿Podrán hacerlo solamente los usuarios que generalmente inician sesión en la sucursal? ¿Cómo se configuraría la directiva de replicación de contraseñas? 4. Se necesita instalar un controlador de dominio usando la instalación desde la opción de medios. ¿Qué pasos se deberán tomar para completar este proceso? 5. ¿Se implementarán RODC en su entorno de AD DS? Describa el escenario de implementación. 6. Se implementará un controlador de dominio en una sucursal. La sucursal cuenta con una conexión WAN con la casa matriz que cuenta con muy poco ancho de banda disponible y no es muy confiable. ¿Se deberá configurar el controlador de dominio de la sucursal como un servidor de catálogo global? 7. Se implementará un controlador de dominio en una sucursal. La sucursal no cuenta con una sala de servidores altamente segura por lo tanto le preocupa la seguridad del servidor. ¿Qué dos características de Windows Server 2008 se pueden aprovechar para mejorar la seguridad de la implementación del controlador de dominio? Observaciones Tenga en cuenta las siguientes observaciones cuando se implementan los RODC y se administran las funciones de controladores de dominio: Se puede instalar la función del servidor de AD DS en todas las ediciones de Windows Server 2008 exceptuando la edición Windows Server 2008 Web Server Edition. Se debe tener en cuenta la instalación de un RODC en un equipo con Server Core de Windows Server 2008 para brindar seguridad adicional a su entorno de dominio. Para instalar AD DS en un equipo con Server Core, se debe usar una instalación desatendida. Se deben planear con cautela las directivas de replicación de contraseñas en su organización. Si se permite que las credenciales se almacenen en una memoria caché para la mayoría de las cuentas en su dominio, aumentará el impacto a su organización si el RODC ha sido vulnerado. En caso contrario, aumentará el impacto a la sucursal si el vínculo de WAN con la casa matriz no se encuentra disponible. En la mayoría de los casos, implementar un servidor de catálogo global en un sitio mejorará la experiencia de inicio de sesión para los usuarios. No obstante, implementar un catálogo global en una sucursal remota también aumenta la red usada para la replicación. Las funciones de maestro de operaciones brindan importantes servicios en una red pero por lo general éstos no son de mayor prioridad temporal. Generalmente, si se produce un error en un controlador de dominio que desempeña una función de maestro de administrador, no resulta necesario que inmediatamente otro controlador de dominio asuma la función si se produce un error en el servidor puede repararse en pocas horas. Modulo 2 : Configuración del Servicio de nombres de dominio para Servicios de dominio de Active Directory Módulo 2 Configuración del Servicio de nombres de dominio para Servicios de dominio de Active Directory El Sistema de nombre de dominio (DNS) es un componente de los Servicios de dominio de Active Directory® (AD DS) para Windows Server® 2008. Al comprender la relación entre estas aplicaciones, se pueden resolver problemas de AD DS y aumentar la seguridad, mientras se brindan a los clientes todas las funciones del DNS. Lección 1: Descripción general de la integración de Servicios de dominio de Active Directory y DNS Lección 2: Configuración de las zonas integradas de AD DS Lección 3: Configuración de zonas DNS de sólo lectura Laboratorio: Configuración de la integración de AD DS y DNS Leccion 1 : Descripción general de la integración de Servicios de dominio de Active Directory y DNS Lección 1: Descripción general de la integración de Servicios de dominio de Active Directory y DNS Windows Server 2008 requiere que haya una infraestructura DNS antes de instalar AD DS. Comprender cómo se integran DNS y AD DS y de qué manera los equipos cliente usan DNS durante el inicio de sesión ayudará a resolver inconvenientes relacionados con DNS, como problemas de inicio de sesión del cliente. Integración de los Servicios de dominio de Active Directory y espacio de nombres DNS Integración de los Servicios de dominio de Active Directory y espacio de nombres DNS Puntos clave En los espacios de nombres DNS, los dominios y equipos están representados mediante registros de recursos; y en los espacios de nombres de Active Directory, están representados por objetos de Active Directory. Todos los dominios de Active Directory deben poseer sus correspondientes dominios DNS con nombres de dominio idénticos. Los clientes usan DNS para resolver nombres de host para direcciones IP a fin de buscar controladores de dominio y otros equipos que brindan servicios AD DS y otros servicios de red. Active Directory requiere DNS; pero no requiere ningún tipo de servidor DNS particular. Por lo tanto, puede haber varios tipos de servidores DNS distintos. Pregunta: ¿Cuál es la relación entre los nombres de dominio de Active Directory y los nombres de zona DNS? Material de lectura adicional: Integración de Active Directory Integración de DNS ¿Qué son los Registros localizadores de recursos de servicios? ¿Qué son los Registros localizadores de recursos de servicios? Puntos clave A fin de que AD DS funcione correctamente, los equipos cliente deben poder localizar servidores que brinden servicios específicos; como solicitudes de autenticación de inicio de sesión, y servicios Telnet o de protocolo de inicio de sesión [Session Initiated Protocol, SIP] Los clientes de AD DS y los controladores de dominio usan Registros de recursos de servicios (SRV) para determinar las direcciones IP de los equipos que brindan estos servicios. Las aplicaciones site-aware de AD DS, como Microsoft® Exchange, también usan registros de recursos SRV. Pregunta: En el siguiente ejemplo de dos registros de recursos SRV: ¿Qué registro usará un cliente que consulta sobre un servicio SIP? _sip._tcp.example.com. 86400 IN SRV 10 60 5060 Lcs1.contoso.com. _sip._tcp.example.com. 86400 IN SRV 50 20 5060 Lcs2.contoso.com. Material de lectura adicional Administración de registros de recursos RFC 2782 – Un registro de recursos DNS para especificar la ubicación de servicios (DNS SRV) Demostración: Registros SRV registrados por controladores de dominio de AD DS Demostración: Registros SRV registrados por controladores de dominio de AD DS Preguntas: ¿Cuál es el beneficio de replicar la zona mscdcs a todo el bosque? ¿Cómo podría privilegiarse un registro de recursos SRV sobre otro? Cómo se usan los Registros localizadores de recursos de servicios Cómo se usan los Registros localizadores de recursos de servicios Puntos clave Los equipos cliente de dominio usan la interfaz de programación de aplicaciones de localización (API) para localizar un controlador de dominio consultando el DNS. Si los registros de recursos SRV no se encuentran disponibles para identificar los controladores de dominio, es posible que no se pueda iniciar sesión. Todos los equipos, incluso las estaciones de trabajo como los sistemas operativos Windows® XP Professional y Windows Vista®, y los servidores, como los sistemas operativos Windows Server®°2003 y Windows Server 2008, usan el mismo proceso para localizar controladores de dominio. Material de lectura adicional Cómo se encuentran los controladores de dominio en Windows XP Domain Controller Location Process (Proceso de localización de controladores de dominio) Integración de registros de localizadores de servicios y sitios AD DS Integración de registros de localizadores de servicios y sitios AD DS Puntos clave Durante una búsqueda de controlador de dominio, el Localizador intenta hallar un controlador de dominio en el sitio más cercano al cliente. El controlador de dominio usa la información almacenada en Active Directory para determinar el sitio más cercano. En la mayoría de los casos, el controlador de dominio que primero responda al cliente será el que se encuentre en el mismo sitio que éste. No obstante, en aquellos casos en que se haya modificado la ubicación física del equipo o el controlador de dominio del sitio local no esté disponible, existe un proceso para hallar otro controlador de dominio. Durante el inicio del Net Logon, el servicio de Net Logon de todos los controladores de dominio enumera los objetos del sitio en el Contenedor de configuración. Net Logon usa información del sitio para generar una estructura en memoria que se usa para asignar direcciones IP a nombres de sitios. Material de lectura adicional Finding a Domain Controller in the Closest Site (Encontrar un controlador de dominio en el sitio más cercano) Leccion 2 : Configuración de las zonas integradas de AD DS Lección 2: Configuración de las zonas integradas de AD DS Integrar las zonas AD DS y DNS puede simplificar la administración de DNS al replicar la información de zona DNS como parte de la replicación de Active Directory. También brinda beneficios como actualizaciones dinámicas seguras y caducidad y reorganización de registros de recursos obsoletos. ¿Qué son las zonas integradas de AD DS? ¿Qué son las zonas integradas de AD DS? Puntos clave Una ventaja de integrar DNS y AD DS es la posibilidad de integrar zonas DNS en una base de datos de Active Directory. Una zona es una parte del espacio de nombres de dominio que posee una agrupación lógica de registros de recursos; lo que permite la transferencia de zonas de dichos registros para que funcionen como una unidad. Material de lectura adicional Integración de Active Directory ¿Qué son las particiones de aplicación en AD DS? ¿Qué son las particiones de aplicación en AD DS? Puntos clave Existen tres particiones principales que contienen información AD DS. La partición de esquema, que replica la información del esquema a todo el bosque. La partición de configuración, que replica la información sobre la estructura física a todo el bosque. La partición de dominio, que replica la información de dominio a todos los controladores de dominio de un determinado dominio. Material de lectura adicional Replicación de zonas DNS en Active Directory Opciones para configurar las particiones de aplicación de DNS Opciones para configurar las particiones de aplicación de DNS Puntos clave Es posible modificar el ámbito de replicación DNS en cualquier momento mediante la Consola de administración DNS de Microsoft (MMC) o la herramienta de línea de comandos DNSCMD. Si se usa MMC DNS, existen las siguientes opciones de replicación: A todos los servidores DNS del bosque. A todos los servidores DNS del dominio. (Esta es la ubicación de almacenamiento predeterminada). A todos los controladores de dominio del dominio. (Esta es la partición de información de dominio). A todos los controladores de dominio que sirven de host a una partición de aplicación particular. Material de lectura adicional Replicación de zonas DNS en Active Directory Cómo funcionan las actualizaciones dinámicas Cómo funcionan las actualizaciones dinámicas Puntos clave Las actualizaciones dinámicas permiten que los equipos cliente de DNS registren y actualicen dinámicamente sus registros de recursos con un servidor DNS cada vez que haya cambios. Esto disminuye la necesidad de administrar registros de zona manualmente; en especial para clientes que mueven o cambian las ubicaciones con frecuencia y usan Protocolo de configuración dinámica de host (DHCP) para obtener direcciones IP. Material de lectura adicional Actualización dinámica Cómo funcionan las actualizaciones dinámicas seguras de DNS Cómo funcionan las actualizaciones dinámicas seguras de DNS Puntos clave Las actualizaciones dinámicas seguras funcionan igual que las actualizaciones dinámicas excepto: que el servidor de nombre autoritativo acepte sólo actualizaciones de clientes y servidores autenticados y unidos al dominio Active Directory en el que se encuentra el servidor DNS. Como puede observarse en la diapositiva, el cliente primero intenta realizar una actualización no segura. Si se produce un error al intentarlo, el cliente luego intenta negociar una actualización segura. Si el cliente ha recibido la autenticación de AD DS, la actualización tendrá éxito. Pregunta: ¿Cuáles son los beneficios de usar zonas DNS integradas de Active Directory? Demostración: Configuración de las zonas integradas de AD DS Demostración: Configuración de las zonas integradas de AD DS Preguntas: ¿Cómo podría evitarse que un equipo se registrara en la base de datos de DNS? ¿Cuáles serían las implicancias de no permitir las actualizaciones dinámicas? Al usar actualizaciones dinámicas seguras, ¿cómo puede controlarse qué clientes están autorizados a actualizar los registros DNS? Cómo funciona la carga de zonas en segundo plano Cómo funciona la carga de zonas en segundo plano Puntos clave Las organizaciones muy grandes que poseen zonas extremadamente grandes para almacenar sus datos DNS en AD DS, suelen darse cuenta de que el reinicio de un servidor DNS puede demorar una hora o más, mientras se recuperan los datos DNS del servicio de directorio. Como consecuencia, el servidor DNS efectivamente no se encuentra disponible para satisfacer las solicitudes del cliente durante el tiempo que demora en cargar las zonas basadas en AD DS. Material de lectura adicional Función del servidor DNS Leccion 3 : Configuración de zonas DNS de sólo lectura Lección 3: Configuración de zonas DNS de sólo lectura Es posible brindar seguridad adicional configurando zonas DNS de sólo lectura ya que sólo un administrador puede cambiar este tipo de zonas. Aunque el personal no autorizado no puede modificar registros del controlador de dominio de sólo lectura (RODC), los clientes cuentan con todas las funciones de la resolución de nombres de Active Directory. ¿Qué son las zonas DNS de sólo lectura? ¿Qué son las zonas DNS de sólo lectura? Puntos clave Al instalar un RODC para Windows Server 2008, se presentan las opciones de instalación del servidor DNS. La opción predeterminada es instalar un formulario principal de sólo lectura de servidor DNS localmente en el RODC, que replica la zona integrada de AD existente para el dominio especificado y agrega la dirección IP local como servidor DNS preferido en la configuración TCP/IP local. Esto garantiza que el servidor DNS que opera en el RODC posea una copia de sólo lectura completa de todas las zonas DNS. Material de lectura adicional Función del servidor DNS Cómo funciona el DNS de sólo lectura Cómo funciona el DNS de sólo lectura Puntos clave Cuando un equipo se transforma en un RODC, replica una copia completa de sólo lectura de todas las particiones del directorio de aplicaciones que usa el DNS, incluyendo la partición de dominio, ForestDNSZones y DomainDNSZones. Esto garantiza que el servidor DNS que opera en el RODC posea una copia de sólo lectura completa de todas las zonas DNS almacenadas en un controlador de dominio central en esas particiones de directorio. El administrador de un RODC puede visualizar el contenido de una zona principal de sólo lectura. Sin embargo, el administrador puede modificar el contenido cambiando la zona de un servidor DNS con una copia grabable de la base de datos de DNS. Pregunta: ¿Cómo aumenta la seguridad el RODC? Material de lectura adicional Función del servidor DNS Discusión: Comparación de opciones de DNS para sucursales Discusión: Comparación de opciones de DNS para sucursales Puntos clave Responda las preguntas en un debate en clase. Material de lectura adicional Cómo funcionan las consultas DNS Laboratorio: Configuración de la integración de AD DS y DNS Laboratorio: Configuración de la integración de AD DS y DNS Escenario El Woodgrove Bank es una empresa que tiene oficinas en muchas ciudades del mundo. Woodgrove Bank tiene relaciones comerciales con otras dos empresas: Fabrikam Inc. y Contoso Inc. Woodgrove Bank ha adquirido copias de los archivos de zona DNS de dichas s compañías. Todos los empleados del bosque Woodgrove Bank necesitan tener acceso a los registros DNS de Contoso Inc. Sólo los empleados del dominio Woodgrove Bank necesitan tener acceso a los archivos DNS de Fabrikam Inc. La sucursal de Woodgrove Bank posee un controlador de dominio de sólo lectura. Dicho controlador de dominio se configurará para admitir tanto el servicio del servidor DNS como la totalidad de las zonas DNS de todo el bosque y de todo el dominio. El administrador de la empresa ha creado un documento de diseño para la configuración DNS. El diseño incluye la configuración de: las zonas integradas de AD DS, las actualizaciones dinámicas de DNS y las zonas DNS de sólo lectura. Ejercicio 1: Configuración de zonas integradas de Active Directory Ejercicio 1: Configuración de zonas integradas de Active Directory En este ejercicio, se configurarán las zonas DNS del entorno Woodgrove Bank de manera tal que cumplan los requisitos de diseño. Se comprobarán los registros de recursos SRV que hayan registrado todos los controladores de dominio y se creará un nuevo registro de recursos SRV que sea compatible con el protocolo Telnet. También se modificarán las zonas DNS a fin de examinar la diferencia entre zonas integradas de Active Directory y zonas estándar, y se configurarán actualizaciones dinámicas y el ámbito de replicación. Luego se usará la consola de administración de edición de ADSI para visualizar los registros de DNS almacenados en la partición de dominio. Las principales tareas se realizarán como se detalla a continuación: 1. Iniciar el controlador de dominio e inicie la sesión como Administrador. 2. Examinar los registros de recursos SRV. 3. Crear un nuevo registro de recursos SRV que sea compatible con el protocolo Telnet NYC-SRV2. 4. Crear dos zonas nuevas basadas en los archivos de zona de Fabrikam y Contoso. 5. Configurar las dos zonas nuevas de manera tal que sean integradas de Active Directory y asegúrese de que no se permitan actualizaciones dinámicas. 6. Configurar el ámbito de replicación de la zona Contoso de manera tal que abarque todo el bosque, y la zona Fabrikam para que abarque todo el dominio. 7. Usar ADSI Edit.exe para visualizar zonas DNS integradas de Active Directory. Tarea 1: Iniciar NYC-DC1 e iniciar la sesión como Administrador Inicie NYC-DC1 e inicie la sesión como Administrador con la contraseña Pa$$w0rd. Tarea 2: Examinar los registros de recursos SRV 1. Abra la consola Administrador de DNS, expanda las Zonas de búsqueda directa y luego haga clic en _msdcs.woodgrovebank.com. 2. Expanda la carpeta GC -> _TCP. 3. Expanda la carpeta DC -> _TCP. 4. Abra Propiedades de _msdcs.woodgrovebank.com. 5. Cierre la página Propiedades. Tarea 3: Crear un nuevo registro de recursos SRV que sea compatible con el protocolo Telnet en NYC-SRV2 1. Haga clic con el botón secundario en la zona _msdsc.woodgrovebank.com y luego haga clic en Registros nuevos. 2. Seleccione el tipo de registro Registro de servicio (SRV) y haga clic en Crear registro. 3. En el campo Servicios, seleccione _telnet en la lista desplegable. En el campo Host que ofrece este servicio, escriba NYC-SRV2.woodgrovebank.com, haga clic en Aceptar y luego en Realizado. Tarea 4: Crear dos zonas nuevas basadas en los archivos de zona de Fabrikam y Contoso 1. Use el Explorador de Windows para copiar los archivos Contoso.com.dns y Fabrikam.com.dns de D:\6824 \Allfiles\Mod02\Labfiles a C:\Windows\System32\DNS. Deje abierta la ventana del Explorador de Windows. 2. Use la consola Administrador de DNS para crear una nueva zona principal estándar llamada Contoso.com usando el archivo existente Contoso.com.dns. 3. Cree una nueva zona principal estándar llamada Fabrikam.com usando el archivo existente Fabrikam.com.dns. Tarea 5: Configurar las zonas de Contoso y Fabrikam de manera tal que sean integradas de Active Directory y asegurarse de que no se permitan actualizaciones dinámicas. 1. Abra la página de propiedades de Contoso.com. 2. Cambie el tipo de zona de manera tal que se almacene en Servicios de dominio de Active Directory. 3. Regrese a la ventana del Explorador de Windows. Observe que el archivo de zona Contoso.com.dns ya no se encuentra en la carpeta DNS. Ahora está almacenado en Servicios de dominio de Active Directory. 4. Regrese a la página de propiedades de la zona Woodgrovebank.com y configure las Actualizaciones dinámicas en Ninguna. 5. Repita los pasos 1 a 4 para la zona Fabrikam.com. Tarea 6: Configurar el ámbito de replicación de la zona Contoso de manera tal que abarque todo el bosque, y la zona Fabrikam para que abarque todo el dominio 1. Abra la página de propiedades de Contoso.com. 2. Cambie el ámbito de replicación de manera tal que sea Para todos los servidores DNS en este bosque. 3. Abra la página de propiedades de Fabrikam.com. 4. Asegúrese de que la configuración del ámbito de replicación de la zona Fabrikam sea Para todos los servidores DNS en este dominio. Tarea 7: Usar ADSI Edit.exe para ver zonas DNS integradas de Active Directory 1. Desde el comando Ejecutar, inicie adsiedit.msc. 2. Haga clic con el botón secundario en Editor ADSI y luego en Conectar a…. 3. En la sección Punto de conexión, haga clic en Seleccione o escriba un nombre distintivo o un contexto de nomenclatura. 4. Escriba DC=DomainDNSZones,DC=WoodgroveBank,DC=Com y haga clic en Aceptar. 5. Expanda el contexto de nomenclatura, expanda CN=MicrosoftDNS, haga clic en DC=Woodgrovebank.com y luego examine los registros. 6. Haga doble clic en el registro de NYC-DC1. 7. Cierre todas las páginas de propiedades y la consola de Administración ADSI. Resultado: Al final de este ejercicio, habrá creado zonas DNS integradas de Active Directory Ejercicio 1: Respuestas claves (pasos detallados) Ejercicio 2: Configuración de zonas DNS de sólo lectura Ejercicio 2: Configuración de zonas DNS de sólo lectura En este laboratorio, configurará una zona DNS de sólo lectura en un RODC y comprobará actualizaciones dinámicas y administrativas. Las principales tareas consisten en configurar zonas DNS de sólo lectura en el RODC que sean compatibles con Fabrikam. Las principales tareas se realizarán como se detalla a continuación: 1. Iniciar el controlador de dominio de sólo lectura e iniciar la sesión como Administrador. 2. Instalar el servicio de Servidor DNS 3. Configurar el servidor DNS para que sea compatible con la totalidad de las zonas de todo el dominio y de todo el bosque. 4. Cerrar todas las máquinas virtuales y descartar todos los cambios. Tarea 1: Iniciar el controlador de dominio de sólo lectura e iniciar la sesión como Administrador Inicie el controlador de dominio de sólo lectura e inicie la sesión como Administrador con la contraseña Pa$$w0rd. Tarea 2: Instalar el servicio de Servidor DNS Use Start /w ocsetup DNS-Server-Core-Role para instalar la función del servidor DNS. Nota: El nombre de la función del servidor distingue mayúsculas de minúsculas. Tarea 3: Configurar el servidor DNS para que sea compatible con la totalidad de las zonas de todo el dominio y de todo el bosque. 1. Desde el Símbolo del sistema, escriba el siguiente comando:Dnscmd /enlistdirectorypartition DomainDnsZones.woodgrovebank.com 2. A continuación escriba el siguiente comando:Dnscmd /enlistdirectorypartition ForestDnsZones.woodgrovebank.com 3. Cambie a NYC-DC1 y luego abra la consola de administración DNS. 4. Agregue el equipo MIA-RODC a la consola DNS y asegúrese de que aparezcan todas las zonas DNS. Nota: El nombre de la función del servidor distingue mayúsculas de minúsculas. Tarea 4: Cerrar todas las máquinas virtuales y descartar los cambios Resultado: Al finalizar este ejercicio, habrá configurado el servidor DNS de manera tal que sea compatible con la totalidad de las zonas de todo el dominio y de todo el bosque. Ejercicio 2: Respuestas claves (pasos detallados) Revision del laboratorio Revisión del laboratorio Preguntas de revisión 1. ¿Cómo determina el equipo de un cliente en qué sitio se encuentra? 2. Enumere al menos tres beneficios de las zonas integradas de Active Directory. 3. En el siguiente ejemplo de dos registros de recursos SRV: ¿Qué registro usará un cliente que consulta sobre un servicio SIP? _sip._tcp.example.com. 86400 IN SRV 10 60 5060 Lcs1.contoso.com. _sip._tcp.example.com. 86400 IN SRV 50 20 5060 Lcs2.contoso.com. 4. ¿Qué permisos se necesitan para crear particiones del directorio de aplicaciones DNS? 5. ¿Qué utilidades están disponibles para crear particiones de aplicación? 6. ¿Cuál es el estado predeterminado de las actualizaciones dinámicas de una zona integrada de Active Directory? 7. ¿Cuál es el estado predeterminado de las actualizaciones dinámicas de una zona principal estándar? 8. ¿Qué grupos tienen permiso para realizar actualizaciones dinámicas? Observaciones Al configurar la integración AD DS y DNS, recuerde que: Dado que tanto los clientes de Windows Server 2008 como de Active Directory dependen de DNS, el primer paso para la solución de problemas de Active Directory suele ser solucionar los problemas de DNS. Los registros de localizadores de servicios son críticos para el correcto funcionamiento de Active Directory. Los registros de localizadores de servicios deben estar disponibles en todo momento. Windows Server 2008 puede operar con cualquier servidor DNS compatible; pero las zonas integradas de Active Directory brindan características y seguridad adicional. Las zonas integradas de Active Directory pueden replicarse a todo el bosque o todo el dominio, o a controladores de dominio específicos a través de particiones de aplicación personalizadas. Los registros DNS internos deben ser independientes de los registros DNS públicos. Las actualizaciones dinámicas aligeran la sobrecarga administrativa que implica el mantenimiento de la base de datos de la zona DNS. Las actualizaciones dinámicas pueden ser exclusivas de Usuarios autenticados. La carga de zonas de segundo plano reduce el tiempo de demora de los servidores DNS en estar disponibles tras un reinicio. Se pueden usar DNS de sólo lectura junto con controladores de dominio de sólo lectura para brindar seguridad sin dejar de ofrecer las funciones solicitadas por el cliente. Modulo 3 : Configuración de objetos y confianzas de Active Directory Módulo 3 Configuración de objetos y confianzas de Active Directory Luego de la implementación inicial de Servicios de dominio de Active Directory® (AD DS), las tareas más frecuentes que realiza un administrador de AD DS son la configuración y la administración de los objetos de AD DS. En la mayoría de las organizaciones, cada empleado recibe una cuenta de usuario que será agregada a uno o varios grupos en los AD DS. Las cuentas de usuario y de grupo permiten el acceso a los recursos de red basados en Windows Server, tales como los sitios web, los buzones de correo y las carpetas compartidas. Este módulo describe el modo de realizar varias de estas tareas administrativas y las opciones disponibles para delegarlas o automatizarlas. Además, este módulo describe cómo configurar y administrar las confianzas de Active Directory. Lección 1: Configuración de los objetos de Active Directory Lección 2: Estrategias para el uso de grupos Lección 3: Automatización de la administración de objetos de AD DS Laboratorio A: Configuración de objetos de Active Directory Lección 4: Delegación del acceso administrativo a los objetos de AD DS Lección 5: Configuración de las confianzas de AD DS Laboratorio B: Configuración de la delegación y las confianzas de Active Directory Leccion 1: Configuración de los objetos de Active Directory Lección 1: Configuración de objetos de Active Directory Luego de la implementación inicial de Servicios de dominio de Active Directory® (AD DS), las tareas más frecuentes que realiza un administrador de AD DS son la configuración y la administración de los objetos de AD DS. En la mayoría de las organizaciones, cada empleado recibe una cuenta de usuario que será agregada a uno o varios grupos en los AD DS. Las cuentas de usuario y de grupo permiten el acceso a los recursos de red basados en Windows Server, tales como los sitios web, los buzones de correo y las carpetas compartidas. Este módulo describe el modo de realizar varias de estas tareas administrativas y las opciones disponibles para delegarlas o automatizarlas. Además, este módulo describe cómo configurar y administrar las confianzas de Active Directory. Tipos de objetos de AD DS Tipos de objetos de AD DS Puntos clave Es posible crear varios objetos diferentes en Active Directory. Material de lectura adicional Ayuda para usuarios y equipos de Active Directory Demostración: Configuración de las cuentas de usuario de AD DS Demostración: Configuración de las cuentas de usuario de AD DS Preguntas: ¿Cómo pueden crearse varios objetos de usuario con la misma configuración para atributos tales como Departamento y Ubicación de la oficina? ¿En qué circunstancias es conveniente deshabilitar una cuenta de usuario en lugar de eliminarla? Tipos de grupo de AD DS Tipos de grupo de AD DS Puntos clave AD DS es compatible con dos tipos de grupo. Material de lectura adicional Ayuda para usuarios y equipos de Active Directory Ámbitos de grupo de AD DS Ámbitos de grupo de AD DS Puntos clave Windows Server 2008 es compatible con los ámbitos de grupo que se muestran en la diapositiva. Material de lectura adicional Ayuda para usuarios y equipos de Active Directory: Administración de grupos Grupos predeterminados de AD DS Grupos predeterminados de AD DS Puntos clave Windows Server 2008 brinda numerosos grupos integrados que se crean automáticamente al instalar un dominio de Active Directory. Los grupos integrados pueden usarse para administrar el acceso a los recursos compartidos y para delegar las funciones administrativas específicas de Active Directory. Por ejemplo, es posible colocar la cuenta de usuario de un administrador de AD DS en un grupo de Operadores de cuenta a fin de que el administrador pueda crear cuentas y grupos de usuario. Material de lectura adicional Grupos predeterminados de Microsoft Technet Identidades especiales de AD DS Identidades especiales de AD DS Puntos clave Los servidores con Windows Server 2008 incluyen varias identidades especiales, conocidas generalmente como grupos especiales o identidades especiales. Estas identidades se presentan de modo adicional a los grupos en los contenedores de usuarios e integrados. Material de lectura adicional Artículo de Microsoft Technet: Identidades especiales de los archivos Discusión: Uso de identidades especiales y grupos predeterminados Discusión: Uso de identidades especiales y grupos predeterminados Escenario Woodgrove ve Bank posee más de 100 servidores alrededor del mundo. Es necesario determinar si se pueden usar grupos predeterminados o si se pueden crear grupos y luego asignar derechos o permisos específicos de usuario a los grupos para realizar las siguientes Tareas administrativas. Se pueden asignar grupos predeterminados, identidades especiales o crear nuevos grupos para las siguientes tareas. Escriba el nombre del grupo predeterminado que posea los derechos de usuario más restrictivos a fin de realizar las siguientes acciones o determinar si puede crearse un nuevo grupo: 1. Hacer una copia de seguridad y restaurar los controladores de dominio 2. Hacer una copia de seguridad de los archivos de los servidores miembro, sin restaurarlos 3. Crear grupos en la unidad organizativa Ventas 4. Conceder el acceso a una carpeta compartida a la que todos los empleados del Woodgrove Bank deben tener acceso. Los empleados se encuentran en dos dominios diferentes en el mismo bosque 5. Conceder permisos administrativos a un usuario que ha iniciado sesión en un equipo cliente sin garantizar el acceso a los demás equipos. Los permisos deben aplicarse a todos los usuarios que inicien sesión en un equipo cliente en la organización 6. Brindar acceso a los empleados de soporte técnico para controlar el escritorio de manera remota 7. Brindar acceso administrativo a todos los equipos en el dominio completo 8. Brindar acceso a una carpeta compartida denominada Datos en un servidor denominado DEN-SRV1 9. Administrar la cola de impresión de una impresora determinada del servidor de impresión 10. Establecer la configuración de red en un servidor miembro Demostración: Configuración de las cuentas de grupo de AD DS Demostración: Configuración de las cuentas de grupo de AD DS Preguntas: ¿Cuáles son las opciones disponibles para cambiar el ámbito y el tipo de un grupo de AD DS? ¿Cuáles son los beneficios de asignar administradores de grupo? ¿Establecería esta configuración en su organización? Material de lectura adicional Ayuda para usuarios y equipos de Active Directory: Administración de grupos Demostración: Configuración de objetos adicionales de AD DS Demostración: Configuración de objetos adicionales de AD DS Preguntas: ¿Cuáles son las razones para crear unidades organizativas? ¿Cuáles son los beneficios y limitaciones de usar objetos de la impresora y objetos de la carpeta compartida en AD DS? Material de lectura adicional Ayuda para usuarios y equipos de Active Directory Lección 2: Estrategias para el uso de grupos Lección 2: Estrategias para el uso de grupos Los grupos de AD DS se usan para simplificar la administración de AD DS al asignar acceso a los recursos. En lugar de asignar acceso a los recursos usando las cuentas de usuario, resulta más eficaz agregar usuarios a los grupos y luego asignar acceso a los grupos. Sin embargo, debido a la gran variedad de opciones de grupo y opciones de implementación de AD DS, es posible usar diversas estrategias para configurar grupos. Opciones para asignar acceso a los recursos Opciones para asignar acceso a los recursos Puntos clave Una de las razones principales para crear usuarios y grupos en AD DS es que los usuarios obtengan acceso a los recursos compartidos, tales como las carpetas compartidas, los sitios de Windows SharePoint® Services u otras aplicaciones. Material de lectura adicional Artículo de Microsoft Technet: Selecting a Resource Authorization Method (Seleccionar un Método de autorización de Usar grupos de cuentas para asignar acceso a los recursos Usar grupos de cuentas para asignar acceso a los recursos Puntos clave Al usar grupos de cuentas solamente para asignar acceso a los recursos, primero deben agregarse todas las cuentas de usuario a los grupos y luego, asignar al grupo un conjunto de permisos de acceso. Por ejemplo, un administrador puede colocar todas las cuentas de usuarios contables en un grupo global denominado /GG-Todos los contadores y luego, asignarle a este grupo permisos de acceso a un recurso compartido. En un entorno de dominio único, es posible usar grupos de dominio locales, globales o universales para asignar acceso a los recursos. Material de lectura adicional Artículo de Microsoft Technet: AG/ACL Method (Método AG/ACL) Discusión: Uso de grupos en un entorno de dominio único y de dominios múltiples Discusión: Uso de grupos en un entorno de dominio único y de dominios múltiples Lea los escenarios y realice un plan para configurar los grupos y asignar acceso a los recursos en cada escenario. Ejemplo 1 Contoso, Ltd posee un dominio único que se encuentra en París, Francia. Los gerentes de Contoso, Ltd necesitan obtener acceso a la base de datos Inventario para realizar su trabajo. Pregunta: ¿Cómo se puede garantizar el acceso de los gerentes a la base de datos Inventario? Ejemplo 2 Contoso, Ltd determinó que todo el personal de la división Contabilidad debe tener acceso total a los datos contables. Además, los ejecutivos de Contoso, Ltd deben tener la posibilidad de visualizar los datos. Contoso, Ltd desea crear una estructura de grupo para la división Contabilidad en su totalidad, que también abarque los departamentos Cuentas por pagar y Cuentas por cobrar. Pregunta: ¿Cómo se puede garantizar el acceso requerido a los gerentes y que haya un mínimo de administración? Ejemplo 3 Contoso, Ltd se expandió para incluir operaciones en América del Sur y Asia y actualmente posee tres dominios: el dominio Contoso.com, el dominio Asia.contoso.com y el dominio SA.contoso.com. Es necesario garantizar el acceso, mediante todos los dominios, de los administradores de TI a la carpeta compartida Herramientas_Admin el dominio Contoso. Además, es necesario asegurar el acceso de los administradores de TI a otros recursos en el futuro. Pregunta: ¿Cómo puede lograrse el resultado deseado con el menor esfuerzo administrativo posible? Discusión: Uso de grupos en un entorno de dominio único y de dominios múltiples Discusión: Uso de grupos en un entorno de dominio único y de dominios múltiples Lea los escenarios y realice un plan para configurar los grupos y asignar acceso a los recursos en cada escenario. Ejemplo 1 Contoso, Ltd posee un dominio único que se encuentra en París, Francia. Los gerentes de Contoso, Ltd necesitan obtener acceso a la base de datos Inventario para realizar su trabajo. Pregunta: ¿Cómo se puede garantizar el acceso de los gerentes a la base de datos Inventario? Ejemplo 2 Contoso, Ltd determinó que todo el personal de la división Contabilidad debe tener acceso total a los datos contables. Además, los ejecutivos de Contoso, Ltd deben tener la posibilidad de visualizar los datos. Contoso, Ltd desea crear una estructura de grupo para la división Contabilidad en su totalidad, que también abarque los departamentos Cuentas por pagar y Cuentas por cobrar. Pregunta: ¿Cómo se puede garantizar el acceso requerido a los gerentes y que haya un mínimo de administración? Ejemplo 3 Contoso, Ltd se expandió para incluir operaciones en América del Sur y Asia y actualmente posee tres dominios: el dominio Contoso.com, el dominio Asia.contoso.com y el dominio SA.contoso.com. Es necesario garantizar el acceso, mediante todos los dominios, de los administradores de TI a la carpeta compartida Herramientas_Admin el dominio Contoso. Además, es necesario asegurar el acceso de los administradores de TI a otros recursos en el futuro. Pregunta: ¿Cómo puede lograrse el resultado deseado con el menor esfuerzo administrativo posible? Lección 3: Automatización de la administración de objetos de AD DS Lección 3: Automatización de la administración de objetos de AD DS En la mayoría de los casos, es posible crear y configurar los objetos de AD DS por separado. Sin embargo, en algunos casos, quizá sea necesario crear o modificar la configuración de varios objetos simultáneamente. Por ejemplo, si la organización contrata a un grupo numeroso de nuevos empleados, es posible que desee automatizar el proceso de configuración de las cuentas nuevas. Si su organización cambia de ubicación, es posible que desee automatizar la tarea de asignar nuevas direcciones y números telefónicos a todos los usuarios. Esta lección describe cómo administrar varios objetos de AD DS. Herramientas para automatizar la administración de objetos de AD DS Herramientas para automatizar la administración de objetos de AD DS Puntos clave Windows Server 2008 ofrece herramientas que pueden usarse para crear o modificar múltiples cuentas de usuario de manera automática en AD DS. Algunas de estas herramientas requieren del uso de un archivo de texto que incluye información acerca de las cuentas de usuario que desean crearse. Además, pueden crearse scripts de Windows® PowerShell para agregar objetos o realizar cambios en los objetos de Active Directory. Configuración de objetos de AD DS usando las herramientas de la línea de comandos Configuración de objetos de AD DS usando las herramientas de la línea de comandos Puntos clave Usar estas herramientas de la línea de comandos para configurar los objetos de AD DS. Administración de objetos de usuario con LDIFDE Administración de objetos de usuario con LDIFDE Puntos clave Es posible usar la herramienta de la línea de comandos Ldifde para crear y realizar cambios en varias cuentas. Al aplicar la herramienta Ldifde, se usará un archivo de texto separado por línea para brindar la información de entrada del comando. Material de lectura adicional Artículo de Microsoft Technet: LDIFDE Administración de objetos de usuario con CSVDE Administración de objetos de usuario con CSVDE Puntos clave Es posible usar la herramienta de la línea de comandos Csvde para crear múltiples cuentas en AD DS; sin embargo, sólo es posible usar la herramienta Csvde para crear cuentas, no para modificarlas. Material de lectura adicional Artículo de Microsoft Technet: CSVDE ¿Qué es Windows Powershell? ¿Qué es Windows Powershell? Puntos clave Windows PowerShell es una tecnología de automatización extensible y línea de comandos que los programadores y los administradores pueden usar para automatizar las tareas en un entorno de Windows. Windows PowerShell usa un conjunto de pequeños cdmlets que realizan cada uno una tarea específica, aunque también es posible combinarlos en múltiples cdmlets para realizar tareas administrativas complejas. Material de lectura adicional Soporte técnico de Microsoft: Windows PowerShell 1.0 Documentation Pack Cmdlets de Windows PowerShell Cmdlets de Windows PowerShell Puntos clave Aprender a usar Windows PowerShell es fácil gracias a la aplicación de los Cmdlets. La segmentación es consistente en todos los cmdlets. Material de lectura adicional Windows PowerShell 1.0 Documentation Pack Demostración: Configuración de objetos de Active Directory usando Windows PowerShell Demostración: Configuración de objetos de Active Directory usando Windows PowerShell Preguntas: ¿Cuáles son las ventajas y desventajas de modificar los objetos de Active Directory usando los scripts de Windows PowerShell? ¿De qué manera puede hacerse frente a las desventajas? Material de lectura adicional Blog de Windows PowerShell Artículo de Microsoft Technet: Automatizacion con Windows PowerShell Laboratorio A: Configuración de objetos de Active Directory Laboratorio A: Configuración de objetos de Active Directory Escenario Woodgrove Bank cuenta con varios requisitos para administrar los objetos de Active Directory. Con frecuencia, la organización contrata a internos que deben contar con permisos limitados y cuyas cuentas deben expirar automáticamente cuando el internado haya finalizado. Las cuentas de usuario deben establecerse con una configuración estándar que incluya valores como la configuración del perfil de usuario y las unidades asignadas para sus carpetas particulares. La organización, además, requiere grupos de AD DS que serán usados para asignar permisos a una gran variedad de recursos de red. La organización desearía automatizar las tareas de administración de usuario y de grupo tanto como sea posible. Ejercicio 1: Configuración de objetos de AD DS Ejercicio 1: Configuración de objetos de AD DS En este ejercicio, se instalarán las herramientas de administración de Active Directory en un equipo con Windows Vista®. Luego, estas herramientas serán usadas para configurar diversos objetos de AD DS en base a la información que brinde el departamento de Recursos Humanos (RR.HH.). Estas tareas incluyen la creación de nuevas cuentas de usuario y la modificación de cuentas de usuario ya existentes. El departamento de RR.HH. ha solicitado los siguientes cambios en AD DS: Crear nuevas cuentas de usuario para Kerim Hanif y Jun Cao. Las dos cuentas de usuario deben crearse en la unidad organizativa Admin. TI. Modificar la cuenta de usuario de Dana Birkby. Las principales tareas se realizarán como se detalla a continuación: 1. Iniciar las máquinas virtuales y luego iniciar sesión. 2. Crear nuevas cuentas de usuario. 3. Modificar las cuentas de usuario existentes Tarea 1: Iniciar las máquinas virtuales y luego iniciar sesión 1. En la máquina host, haga clic en Inicio, diríjase a Todos los programas, seleccione Microsoft Learning y luego, haga clic en 6824A. Se inicia Iniciador de laboratorio. 2. En Iniciador de laboratorio, junto a 6824A-NYC-DC1, haga clic en Iniciar. 3. En Iniciador de laboratorio, junto a 6824A-NYC-CL1, haga clic en Iniciar. 4. Inicie sesión en NYC- DC1 como Administrador, usando la contraseña Pa$$w0rd. 5. Inicie sesión en NYC- CL1 como Administrador, usando la contraseña Pa$$w0rd. 6. Minimice la ventana Iniciador de laboratorio. Encienda 6824A-NYC-DC1 y luego, inicie sesión como Administrador usando la contraseña Pa$$w0rd. Tarea 2: Crear nuevas cuentas de usuario 1. En NYC-DC1, abra Usuarios y equipos de Active Directory. 2. En la unidad organizativa AdminsTI, cree un nuevo usuario con los siguientes parámetros: Nombre: Kerim Apellido: Hanif Nombre completo: Kerim Hanif Nombre de inicio de sesión de usuario: Kerim Contraseña: Pa$$w0rd Desactive la casilla El usuario debe cambiar la contraseña al iniciar una sesión de nuevo 3. En NYC-DC1, use la herramienta de la línea de comandos Dsadd para crear una nueva cuenta de usuario a Jun Cao. La sintaxis del comando dsadd es: dsadd user "cn=Jun Cao,ou=adminsti,dc=WoodgroveBank,dc=com" -samid Jun -pwd Pa$$w0rd –desc Administrador Tarea 3: Modificar las cuentas de usuario existentes 1. En NYC-DC1, cree una nueva carpeta en la unidad D llamada HomeDirs. Comparta la carpeta y luego, configure los Usuarios del dominio con los permisos del Colaborador. 2. En la carpeta HomeDirs, cree una nueva carpeta llamada Marketing. 3. En Usuarios y equipos de Active Directory, busque la cuenta de Dana Birkby y luego, modifique las propiedades de usuario de la siguiente manera: 1. En la ficha General, configure: Número de teléfono: 555-555-0100 Oficina: Casa matriz Correo electrónico: Dana@WoodgroveBank.com 2. En la ficha Marcado, configure: Permiso de acceso a redes: Permitir Acceso 3. En la ficha Cuenta, configure: Horas de inicio de sesión: Configure las horas de inicio de sesión permitidas entre las 8 a.m. y las 5 p.m. y luego, haga clic en Aceptar. 4. En la ficha Perfil, configure: Carpeta particular: Asigne la unidad H a: \\NYC- DC1\HomeDirs\Marketing\%username% 4. En el Explorador de Windows, diríjase a D:\HomeDirs\Marketing. Asegúrese de que se haya creado una carpeta denominada Dana en la carpeta. 5. En NYC-CL1, cierre sesión y luego inicie sesión como Dana usando la contraseña Pa$$w0rd. Confirme que la unidad H: ha sido correctamente asignada y que Dana tiene permiso para crear archivos en su carpeta particular. Resultado: Al finalizar este ejercicio, habrá configurado los objetos de Active Directory. Ejercicio 1: Respuestas claves (pasos detallados) Ejercicio 2: Implementación de una estrategia de grupo de AD DS Ejercicio 2: Implementación de una estrategia de grupo de AD DS En este ejercicio, se revisarán los requisitos para la creación de grupos en Woodgrove Bank. Además, podrá crear los grupos solicitados y configurar la anidación de grupo. Las principales tareas se realizarán como se detalla a continuación: 1. Encienda la máquina virtual 6824A-LON-DC1 y luego inicie sesión como Administrador. 2. Revise la documentación de requisitos del grupo y cree una estrategia de implementación grupal. 3. Analice la estrategia de implementación grupal. 4. Cree los grupos necesarios para la estrategia de implementación grupal. 5. Anide los grupos necesarios para la estrategia de implementación grupal. 6. Cierre 6824A-LON-DC2 y elimine todos los cambios. Tarea 1: Iniciar la máquina virtual 6824A-LON-DC1 y luego, iniciar sesión como Administrador 1. En Iniciador de laboratorio, junto a 6824A-LON-DC1, haga clic en Iniciar. 2. Inicie sesión en LON- DC1 como Administrador usando la contraseña Pa$$w0rd. 3. Minimice la ventana Iniciador de laboratorio. Tarea 2: Revisar la documentación de requisitos del grupo y crear una estrategia de implementación grupal Woodgrove Bank debe configurar el acceso a las carpetas compartidas para los ejecutivos de la organización. La organización implementó una carpeta compartida en NYC-DC1 llamada DatosEjec. La siguiente tabla enumera las carpetas incluidas en la carpeta DatosEjec y sus finalidades: Carpeta Contenido DatosEjec \Casamatriz \Sucursal \Corp DatosEjec\InformesdelaOficinaCentral Incluye información confidencial relacionada con las operaciones de la oficina central y el personal. Los ejecutivos de la oficina central y de las sucursales NYC deben poder obtener e ingresar información en esta carpeta. DatosEjec\InformesdeSucursal Incluye información confidencial relacionada con las operaciones de las sucursales y el personal. Se ha creado una carpeta exclusiva para cada sucursal. Los ejecutivos de la oficina central deben tener acceso de lectura a todas las carpetas de las sucursales. Los gerentes de las sucursales deben tener acceso total a todas las carpetas de su sucursal. DatosEjec\Corp Contiene información relacionada con las operaciones de Woodgrove Bank. Todos los ejecutivos y gerentes de sucursales deben ejercer control total sobre los archivos Carpeta Contenido de esta carpeta. El equipo ejecutivo de Woodgrove Bank se distribuye de la siguiente manera: Los ejecutivos pueden encontrarse en cualquier lugar. Los ejecutivos se encuentran en América del Norte, Europa y Asia. Cada sucursal cuenta con uno o varios gerentes de sucursal. Las sucursales se encuentran en Miami, Nueva York, Toronto, Londres y Tokio. El grupo de planeación de AD DS ha establecido el siguiente esquema de nomenclaturas para los grupos de AD DS: Código de ubicación de tres caracteres: NYC, TOR, MIA, LON y TOK Para los grupos que contienen cuentas de varios dominios, utilice el código de ubicación WGB. Para los grupos que no cuentan con una ubicación específica, incluya el nombre de dominio en el nombre del grupo. Para los grupos de cuentas, use el nombre del departamento: Gerentes de sucursal, Ejecutivos. A continuación se colocará el tipo de grupo: GG, UG. Para los grupos de recursos, use el nombre del recurso: EJ_CMInformes, EJ_LON_InformesSucursal, EJ_Corp. A continuación se incluye el nivel de acceso: FC, RO. 1. Determine qué grupos globales desea crear: Determine la agrupación lógica de los usuarios de la organización. No tenga en cuenta los permisos que requieren los usuarios, solamente los grupos de usuarios. Establezca un nombre de grupo para cada grupo de usuarios. Anote sus decisiones en la tabla de Planeamiento de grupo global que se muestra a continuación. 2. Determine qué grupos locales desea crear: Determine qué permisos se necesitan en cada recurso. No tenga en cuenta quién solicita el permiso, solamente considere el permiso en sí. Establezca un nombre de grupo para cada tipo de permiso. Anote sus decisiones en la tabla de Planeamiento de grupo local que se muestra a continuación. 3. Determine qué grupos necesita anidar. Registre la configuración de anidación de grupos en la tabla de Planeamiento de Anidación de grupos que aparece a continuación. 4. Determine cómo desearía configurar los permisos de nivel de recursos compartidos en la carpeta DatosEjec. Tabla de Planeamiento del grupo global Grupo organizativo Nombre del grupo Tabla de Planeación de grupo local Recurso Requisitos de acceso Nombres de grupo Recurso Requisitos de acceso Nombres de grupo DatosEjec\InformesCasaMatriz DatosEjec\InformesSucursal\NYC DatosEjec\InformesSucursal\Toronto DatosEjec\InformesSucursal\Miami DatosEjec\InformesSucursal\London DatosEjec\InformesSucursal\Tokyo DatosEjec\Corp Tabla de Planeamiento de anidación de grupos Nombre del grupo local de dominio Grupos anidados Tarea 3: Analizar la estrategia de implementación grupal Tarea 4: Crear los grupos necesarios para la estrategia de implementación grupal Nota: Para simplificar el proceso de implementación, es posible que algunos de los grupos requeridos ya hayan sido creados. Además, se han configurado los grupos requeridos únicamente para WoodgroveBank.com y EM EA.WoodgroveBank.com. 1. En NYC-DC1, desde Usuarios y equipos de Active Directory, compruebe que se hayan creado todos los grupos globales requeridos para la asignación de permisos. 2. En LON-DC1, desde Usuarios y equipos de Active Directory, compruebe que se hayan creado todos los grupos globales requeridos para la asignación de permisos. 3. En NYC-DC1, cree los grupos universales requeridos en base a la estrategia de implementación grupal. Cree los grupos universales desde la unidad organizativa Ejecutivos. 4. Cree los grupos locales de dominio requeridos en base a la estrategia de implementación grupal. Tarea 5: Anidar los grupos necesarios para la estrategia de implementación grupal En NYC-DC1, anide los grupos requeridos para cumplir con la estrategia de implementación grupal. Tarea 6: Cerrar 6824A-LON-DC1 y eliminar todos los cambios 1. Cierre la ventana Control remoto para máquina virtual 6824A-LON-DC1. 2. En el cuadro Close, seleccione Cerrar el equipo y descartar los cambios. Haga clic en Aceptar. Resultado: Al finalizar este ejercicio, habrá implementado una estrategia de implementación grupal. Ejercicio 2: Respuestas claves (pasos detallados) Ejercicio 3: Automatización de la Administración de los objetos de AD DS Ejercicio 3: Automatización de la Administración de los objetos de AD DS Woodgrove Bank abrirá una nueva sucursal en Houston. El departamento de RR.HH. le brinda un archivo que contiene a todos los nuevos usuarios que han sido contratados para la sucursal de Houston. Es necesario importar las cuentas de usuarios a AD DS y luego, activar y asignar contraseñas a todas las cuentas. Además, es necesario modificar las propiedades de usuario para los usuarios de Houston actualizando la información de la ciudad. Woodgrove Bank también planea inaugurar un departamento de Investigación y Desarrollo en la ciudad de Nueva York (NYC). Se necesita crear una nueva unidad organizativa para el departamento de Investigación y Desarrollo (R&D) en el dominio de Woodgrove Bank e importar y configurar las nuevas cuentas de usuario en AD DS. Las principales tareas se realizarán como se detalla a continuación: 1. Modifique y use el archivo ImportarUsuarios.csv para importar un grupo de usuarios a AD DS. 2. Modifique y ejecute el script ActivarUsuarios.vbs para activar las cuentas de usuario importadas y asignar una contraseña para cada cuenta. 3. Modifique y use el archivo ModificarUsuarios.ldf para prepararse para modificar las propiedades de un grupo de usuarios en AD DS. 4. Modifique y ejecute el script CrearUsuarios.ps1 para agregar nuevos usuarios en AD DS. Tarea 1: Modificar y usar el archivo ImportarUsuarios.csv para importar un grupo de usuarios a AD DS 1. En NYC-DC1, vaya hasta D:\6824\Allfiles\Mod03\Labfiles y abra ImportUsers.csv usando el bloc de notas. Analice la información del encabezado requerida para crear unidades organizativas y cuentas de usuario. 2. Copie y pegue el contenido del archivo ImportUsers.txt en el archivo ImportarUsuarios.csv, comenzando desde la segunda línea. Guarde el archivo como C:\importar.csv. 3. En el símbolo del sistema, escriba CSVDE –I –F C:\importar.csv y luego presione ENTRAR. 4. En Usuarios y equipos de Active Directory, compruebe que se haya creado la unidad organizativa de Houston y cinco unidades organizativas secundarias, además de que se hayan creado varias cuentas de usuario en cada unidad organizativa. Tarea 2: Modificar y ejecutar el script ActivarUsuario.vbs para activar las cuentas de usuario importadas y asignar una contraseña para cada cuenta 1. En NYC-DC1, diríjase a D:\Mod03\6824\Labfiles y edite Activateusers.vbs. 2. Modifique el valor del contenedor en la segunda línea de la siguiente manera: OU=BranchManagers, OU =Houston,DC=WoodgroveBank,DC=com. 3. Modifique los valores del contenedor en las líneas adicionales al final del script para incluir las siguientes unidades organizativas y luego, guarde el archivo: OU= CustomerService, OU =Houston,DC=WoodgroveBank,DC=com OU = Executives, OU =Houston,DC=WoodgroveBank,DC=com OU = Investments,OU=Houston,DC=WoodgroveBank,DC=com OU = ITAdmins,OU=Houston,DC=WoodgroveBank,DC=com 4. Guarde el archivo como c:\ActivarUsuarios.vbs y haga doble clic en c:\ActivarUsuarios.vbs. 5. En Usuarios y equipos de Active Directory, vaya hasta la unidad organizativa Houston y luego, confirme que estén activadas las cuentas de usuario en todas las unidades organizativas secundarias. Tarea 3: Modificar y usar el archivo ModificarUsuarios.ldf para prepararse para modificar las propiedades de un grupo de usuarios en AD DS 1. En NYC-DC1, exporte todas las cuentas de usuario en las unidades organizativas secundarias de Houston usando LDIFDE –f c:\Modificarusuarios.ldf –d "OU=Houston,DC=WoodgroveBank,DC=com" –r "objectClass=user" –l physicalDeliveryOfficeName. 2. Edite el archivo C:\Modificarusuario.ldf. 3. En el menú Editar, use la opción Reemplazar para reemplazar todas las instancias de changetype: add por changetype: modify. 4. Después de cada línea de tipo de modificación, agregue las siguientes líneas: replace: physicalDeliveryOfficeName physicalDeliveryOfficeName: Houston 5. Al final de la entrada para cada usuario, agregue un guión (–) seguido de una línea en blanco. 6. Guarde el archivo como C:\ Modificarusuarios.ldf. 7. En el símbolo del sistema, escriba ldifde –I –f c:\ Modificarusuarios.ldf y luego presione ENTRAR. 8. En Usuarios y equipos de Active Directory, compruebe que el atributo Oficina para las cuentas de usuario en Houston haya sido actualizado con la ubicación de Houston. Tarea 4: Modificar y ejecutar el script CrearUsuariosMúltiples.ps1 para agregar nuevos usuarios a AD DS 1. En NYC-DC1, diríjase a D:\6824\Allfiles\Mod03\Labfiles y edite CreateMultipleUsers.ps1. 2. En dos lugares, modifique ADOUName por R&D. 3. Cambie la Ruta de acceso al archivo CSV a D:\6824\Allfiles\Mod03\Labfiles \Createusers.csv y luego guarde los cambios en el archivo. 4. Inicie Windows PowerShell y en el símbolo PS, escriba Set-executionPolicy unrestricted y presione Entrar (para ejecutar un script que no posee firma) y luego escriba D:\6824\Allfiles\Mod03\Labfiles\Createmultipleusers.ps1, y luego presione ENTRAR nuevamente. 5. En Usuarios y equipos de Active Directory, compruebe que se haya creado la unidad organizativa R&D y que dicha unidad haya sido rellenada con cuentas de usuario que poseen los atributos correctos. Resultado: Al finalizar este ejercicio, habrá analizado varias opciones para automatizar la administración de objetos de usuario. Ejercicio 3: Respuestas claves (pasos detallados) Lección 4: Delegación del acceso administrativo a los objetos de AD DS Lección 4: Delegación del acceso administrativo a los objetos de AD DS Muchas de las tareas de administración de AD DS son fáciles de realizar, pero pueden volverse bastante repetitivas. Una de las opciones disponibles en AD DS de Windows Server 2008 es delegar algunas de las tareas administrativas a otros administradores o usuarios. Al delegar control, se les permite a estos usuarios realizar tareas de administración específicas de Active Directory sin concederles más permisos que los necesarios. Permisos de objetos de Active Directory Permisos de objetos de Active Directory Puntos clave Los permisos de objetos de Active Directory brindan seguridad a los recursos permitiéndole controlar qué administradores o usuarios pueden obtener acceso a objetos individuales o atributos de objetos y, además, permite controlar el tipo de acceso que poseen. Los permisos se usan para asignar privilegios administrativos para una unidad organizativa o una jerarquía de unidades organizativas a fin de administrar los objetos de Active Directory. Preguntas: ¿Cuáles son los riesgos de usar permisos especiales para asignar permisos de AD DS? ¿Qué permisos debería tener un usuario en un objeto si se le concedió permiso de control total y se denegó el acceso de escritura del usuario? Material de lectura adicional Artículo de Microsoft Technet: Control de acceso en Active Directory Artículo de Microsoft Technet: Asignar, cambiar o eliminar permisos en los objetos o atributos de Active Directory Demostración: Herencia de permisos de objetos de Servicios de dominio de Active Directory Demostración: Herencia de permisos de objetos de Servicios de dominio de Active Directory Preguntas: ¿Qué sucedería con los permisos de un objeto si se cambia la posición del objeto de una unidad organizativa a otra y las unidades organizativas tienen diferentes permisos aplicados? ¿Qué sucedería si se eliminan todos los permisos de una unidad organizativa al bloquear la herencia y no se asignan permisos nuevos? Material de lectura adicional Artículo de Microsoft Technet: Asignar, cambiar o eliminar permisos en los objetos o atributos de Active Directory ¿Qué son los permisos efectivos? ¿Qué son los permisos efectivos? Puntos clave La herramienta Permisos efectivos permite determinar los permisos para un objeto de Active Directory. Esta herramienta calcula los permisos que se conceden a un usuario o grupo determinado y considera los permisos vigentes de la pertenencia a grupos y los permisos heredados de los objetos primarios. Material de lectura adicional Artículo de Microsoft Technet: Herramienta Permisos efectivos ¿Qué es la delegación de control? ¿Qué es la delegación de control? Puntos clave La delegación de control es la capacidad de asignar responsabilidad de administración de los objetos de Active Directory a otro usuario o grupo. La administración delegada permite reducir la carga administrativa de manejo de red distribuyendo las tareas administrativas de rutina a varios usuarios. Usando la administración delegada, es posible asignar tareas administrativas básicas a usuarios o grupos regulares. Por ejemplo, es posible otorgar a los supervisores el derecho de modificar la pertenencia a grupos en su departamento. Al delegar tareas administrativas, se le otorga a los grupos de su organización más control de los recursos de red local. Además, brinda mayor seguridad a la red frente a daños accidentales o malintencionados limitando la pertenencia a los grupos de administradores. Discusión: Escenarios para la delegación de control Discusión: Escenarios para la delegación de control Responda las preguntas de la diapositiva con el resto de la clase. Demostración: Configuración de la delegación de control Demostración: Configuración de la delegación de control Lección 5: Configuración de las confianzas de AD DS Lección 5: Configuración de confianzas de AD DS Muchas organizaciones que usan AD DS implementarán solamente un dominio. Sin embargo, las organizaciones de mayor tamaño o aquellas que deben permitir el acceso a los recursos en otras organizaciones o unidades de negocio pueden implementar varios dominios en el bosque de Active Directory o en un bosque diferente. Para que los usuarios puedan obtener acceso a los recursos existentes entre los dominios, se deben configurar los dominios o los bosques usando confianzas. Esta lección describe cómo configurar y administrar las confianzas en un entorno de Active Directory. ¿Qué son las confianzas de AD DS? ¿Qué son las confianzas de AD DS? Puntos clave Las confianzas permiten que los principios de seguridad desplacen sus credenciales de un dominio a otro y, además, son necesarias para permitir el acceso a los recursos entre los dominios. Al configurar una confianza entre dominios, es posible autenticar a un usuario en su dominio y, por tanto, sus credenciales de seguridad podrán usarse para obtener acceso a los recursos en un dominio diferente. Opciones de confianza de AD DS Opciones de confianza de AD DS Puntos clave El gráfico de la diapositiva describe las opciones de confianza compatibles con Windows Server 2008 Preguntas: Si desea configurar una confianza entre un dominio de Windows Server 2008 y un dominio de Windows NT 4.0, ¿qué tipo de confianza configuraría? Si desea compartir recursos entre dominios pero no desea configurar una confianza, ¿cómo podría brindar acceso a los recursos compartidos? Un usuario que se encuentra en un dominio diferente del bosque necesita un permiso para crear Objetos de directiva de grupo (GPO) en su dominio. ¿Cuál es la mejor manera de lograrlo? Material de lectura adicional Ayuda para Dominios y confianzas de Active Directory: Administrar confianzas Desempeño de las confianzas en un bosque Desempeño de las confianzas en un bosque Puntos clave Al establecer confianzas entre dominios, ya sean dentro del mismo bosque, de un bosque a otro o con un dominio kerberos externo, la información respecto de estas confianzas se almacena en AD DS para que pueda recuperarla si resulta necesario. Un objeto de dominio de confianza (TDO) almacena esta información. Los TDO almacenan información acerca de la confianza, como por ejemplo la transitividad o el tipo de confianza. Cada vez que se crea una confianza, se crea un nuevo TDO y se lo almacena en el contenedor del Sistema en el dominio de la confianza. Material de lectura adicional Ayuda para Dominios y confianzas de Active Directory: Administrar confianzas Desempeño de las confianzas entre bosques Desempeño de las confianzas entre bosques Puntos clave Windows Server 2008 es compatible con confianzas entre bosques, lo que permite a los usuarios de un bosque obtener acceso a los recursos de otro bosque. Cuando un usuario intenta obtener acceso a un recurso de un bosque de confianza, AD DS primero debe encontrar el recurso. Una vez que lo hizo, el usuario será autenticado y se le garantizará el acceso al recurso. Material de lectura adicional Artículo de Microsoft Technet: Desempeño de dominios y bosques Demostración: Configuración de confianzas Demostración: Configuración de confianzas Preguntas: ¿Cuál es la diferencia entre una confianza de acceso directo y una confianza externa? Al configurar una confianza de bosque, ¿qué información deberá estar disponible en DNS para que funcione la confianza? Material de lectura adicional Ayuda para Dominios y confianzas de Active Directory: Crear una confianza de acceso directo, Crear una confianza externa, Crear una confianza de bosque ¿Qué es el Nombre principal de usuario? ¿Qué es el Nombre principal de usuario? Puntos clave El nombre principal de usuario (UPN) es un nombre de inicio de sesión que se usa únicamente para iniciar sesión en la red de Windows Server 2008. El UPN consta de dos partes separadas por el símbolo @, como por ejemplo, suzan@WoodgroveBank.com. El prefijo del nombre principal de usuario, que en el ejemplo es suzan. El sufijo del nombre principal de usuario, que en el ejemplo es WoodgroveBank.com. De manera predeterminada, el sufijo es el nombre de dominio en el que se creó la cuenta de usuario. Es posible usar otros dominios en la red o sufijos adicionales que haya creado para configurar otros sufijos para usuarios. Por ejemplo, es posible configurar un sufijo para crear nombres de inicio de sesión de usuario que coincidan con las direcciones de correo electrónico de los usuarios. Material de lectura adicional Artículo de Microsoft Technet: Nomenclatura de Active Directory ¿Qué es la configuración de Autenticación selectiva? ¿Qué es la configuración de Autenticación selectiva? Puntos clave Otra opción para restringir la autenticación entre confianzas en un bosque de Windows Server 2008 es la autenticación selectiva. Al usar la autenticación selectiva, es posible limitar el número de equipos de su bosque a los que pueden obtener acceso otros usuarios del bosque. Material de lectura adicional Artículo de Microsoft Technet: Enable selective authorization over a forest trust (Habilitar la autenticación selectiva en una confianza de bosque) Artículo de Microsoft Technet: Conceder el Permiso para autenticarse en los equipos del dominio o bosque de confianza Demostración: Establecer la configuración avanzada de confianzas Demostración: Establecer la configuración avanzada de confianzas Puntos clave Otra opción para restringir la autenticación entre confianzas en un bosque de Windows Server 2008 es la autenticación selectiva. Al usar la autenticación selectiva, es posible limitar el número de equipos de su bosque a los que pueden obtener acceso otros usuarios del bosque. Preguntas: ¿Qué pasaría si se configura un nuevo sufijo del UPN en un bosque después de que una confianza haya sido configurada con otro bosque que contiene el mismo sufijo del UPN? ¿En qué situaciones implementaría la autenticación selectiva? Material de lectura adicional Artículo de Microsoft Technet: Enable selective authentication over a forest trust (Habilitar la autenticación selectiva en una confianza de bosque) Artículo de Microsoft Technet: Conceder el Permiso para autenticarse en los equipos del dominio o bosque de confianza Laboratorio B: Configuración de la delegación y las confianzas de Active Directory Laboratorio B: Configuración de delegación y confianzas de Active Directory Escenario Para optimizar el tiempo del administrador de AD DS, Woodgrove Bank desearía poder delegar algunas tareas administrativas a los administradores junior. Se les concederá acceso a estos administradores a fin de que puedan administrar las cuentas de usuario y de grupo en unidades organizativas diferentes. Además, Woodgrove Bank se ha asociado con Fabrikam Ltd. Algunos usuarios de las organizaciones deben tener acceso a los recursos de la otra organización. Sin embargo, el acceso entre las organizaciones debe limitarse a la menor cantidad de usuarios y servidores posibles. Ejercicio 1: Delegación de control de objetos de AD DS Ejercicio 1: Delegación de control de objetos de AD DS En este ejercicio, se delegará el control de los objetos de AD DS a otros administradores. Además, se podrán comprobar los permisos de delegación a fin de asegurar que los administradores puedan realizar solamente las acciones requeridas. Woodgrove Bank decidió delegar las tareas administrativas a la oficina de Toronto. En esta oficina, los gerentes de la sucursal deben poder crear y administrar las cuentas de usuario y de grupo. El personal de servicio al cliente debe poder restablecer las contraseñas de usuario y configurar determinada información del usuario, como por ejemplo el número de teléfono o la dirección. Las principales tareas se realizarán como se detalla a continuación: 1. Asigne control total de usuarios y grupos en la unidad organizativa de Toronto. 2. Asigne los derechos para restablecer contraseñas y configurar información personal del usuario en la unidad organizativa Toronto. 3. Compruebe los permisos efectivos asignados a la unidad organizativa Toronto. 4. Compruebe los permisos delegados a la unidad organizativa Toronto. Tarea 1: Asignar control total de usuarios y grupos en la unidad organizativa Toronto 1. En NYC-DC1, ejecute el Asistente para delegación de control en la unidad organizativa de Toronto. 2. Asigne el derecho para Crear, eliminar y administrar cuentas de usuarios y para Crear, eliminar y administrar grupos a Tor_GerentesSucursalGG. Tarea 2: Asignar los derechos para restablecer contraseñas y configurar información personal del usuario en la unidad organizativa Toronto 1. En NYC-DC1, ejecute el Asistente para delegación de control en la unidad organizativa Toronto. 2. Asigne el derecho de Restablecer contraseñas de usuario y forzar el cambio de contraseña en el próximo inicio de sesión al grupo Tor_ AtencionalClienteGG. 3. Vuelva a ejecutar el Asistente para delegación de control. Seleccione la opción para crear una tarea personalizada. 4. Asigne el permiso de grupo Tor_ AtencionalClienteGG para cambiar la información personal únicamente en las cuentas de usuario. Tarea 3: Comprobar los permisos efectivos asignados a la unidad organizativa Toronto 1. En Usuarios y equipos de Active Directory, habilite la visualización de Características avanzadas. 2. Ingrese a la Configuración de seguridad avanzada para la unidad organizativa Toronto. 3. Compruebe los permisos efectivos de Sven Buck. Sven es un miembro del grupo Tor_GerentesSucursalGG. Compruebe que Sven tenga los permisos para crear o eliminar cuentas de usuario o de grupo. 4. Ingrese a la configuración de seguridad avanzada de Matt Berg, que se encuentra en la unidad organizativa AtencionalCliente en la unidad organizativa Toronto. Compruebe que Matt tenga los permisos para crear o eliminar cuentas de usuario o de grupo. 5. Compruebe los permisos efectivos de Helge Hoening. Helge es un miembro del grupo Tor_ AtencionalClienteGG. Compruebe que Helge tenga los permisos para restablecer contraseñas y para ingresar atributos personales. Tarea 4: Permitir el inicio de sesión de los Usuarios de dominio en los controladores de dominio Nota: Este paso se incluye en el laboratorio para permitirle comprobar los permisos delegados. Para obtener resultados óptimos, debe instalar las herramientas de administración en una estación de trabajo de Windows en lugar de permitir a los Usuarios de dominio iniciar sesión en los controladores de dominio. 1. En NYC-DC1, inicie Administración de directivas de grupo y luego, edite la Directiva predeterminada de controladores de dominio. 2. En la ventana Editor de administración de directivas de grupo, ingrese en la carpeta Asignación de derechos de usuario. 3. Haga doble clic en Permitir el inicio de sesión local. En el cuadro de diálogo Propiedades de Permitir el inicio de sesión local, haga clic en Agregar usuario o grupo. 4. Conceda al grupo de Usuarios del dominio el derecho de iniciar la sesión local. 5. Abra un símbolo del sistema, escriba GPUpdate /force y luego, presione ENTRAR. Tarea 5: Comprobar los permisos delegados a la unidad organizativa Toronto 1. Inicie sesión en NYC- DC1 como Sven, usando la contraseña Pa$$w0rd. 2. Inicie Usuarios y equipos de Active Directory y compruebe que Sven pueda crear un nuevo usuario en la unidad organizativa Toronto. 3. Compruebe que Sven pueda crear un nuevo grupo en la unidad organizativa Toronto. 4. Compruebe que Sven no pueda crear un usuario en la unidad organizativa AdminsTI. 5. Cierre sesión en NYC-DC1 y luego, inicie sesión como Helge usando la contraseña Pa$$w0rd. 6. En Usuarios y equipos de Active Directory, compruebe que Helge no tenga permisos para crear objetos nuevos en la unidad organizativa Toronto. 7. Compruebe que Helge pueda restablecer las contraseñas de usuario y configurar las propiedades de usuario, tales como el número de teléfono y la oficina. Resultado: Al finalizar el ejercicio, habrá delegado las tareas administrativas a la oficina de Toronto. Ejercicio 1: Respuestas claves (pasos detallados) Ejercicio 2: Configuración de confianzas de AD DS Ejercicio 2: Configuración de confianzas de AD DS En este ejercicio, se configurarán las confianzas en base a un diseño de configuración de confianzas que brinda el administrador de la empresa. Además, se comprobará la configuración de confianzas para asegurar que éstas estén configuradas correctamente. Woodgrove Bank inició una asociación estratégica con Fabrikam. Los usuarios de Woodgrove Bank necesitarán tener acceso a diversos recursos compartidos de archivos y a las aplicaciones que se ejecutan en los diferentes servidores de Fabrikam. Únicamente los usuarios de Fabrikam deben tener acceso a los recursos compartidos en NYC-SVR1. Las principales tareas se realizarán como se detalla a continuación: Iniciar la máquina virtual VAN-DC1 y luego iniciar sesión. Establecer la Configuración de red y DNS para habilitar la confianza de bosque. Configurar una confianza de bosque entre WoodgroveBank.com y NorthwindTraders.com. Configurar la autenticación selectiva para la confianza de bosque a fin de permitir el acceso a NYC-DC2 únicamente. Comprobar la autenticación selectiva. Cerrar todas las máquinas virtuales y descartar los discos para deshacer. Tarea 1: Iniciar la máquina virtual VAN-DC1 y luego iniciar sesión 1. En Iniciador de laboratorio, junto a 6824A-VAN-DC1, haga clic en Iniciar. 2. Inicie sesión en VAN- DC1 como Administrador, usando la contraseña Pa$$w0rd. 3. Minimice la ventana Iniciador de laboratorio. Tarea 2: Establecer la Configuración de red y DNS para habilitar la confianza de bosque 1. En VAN-DC1, modifique las propiedades de Red de área local para cambiar la dirección IP a 10.10.0.110, la Puerta de enlace predeterminada a 10.10.0.1 y el Servidor DNS preferido a 10.10.0.110 y luego, haga clic en Aceptar. 2. Sincronice la hora en VAN-DC1 con la de NYC-DC1. 3. En Administrador de DNS, agregue un reenviador condicional para reenviar todas las consultas para Woodgrovebank.com a 10.10.0.10. 4. En Dominios y confianzas de Active Directory, aumente el nivel funcional del bosque a Windows Server 2003. 5. En NYC-DC1, en la consola del Administrador DNS, agregue un reenviador condicional para reenviar todas las consultas para Fabrikam.com a 10.10.0.110. 6. Cierre la consola del Administrador DNS. Tarea 3: Configurar una confianza de bosque entre WoodgroveBank.com y Fabrikam.com YEYA 1. En NYC-DC1, inicie Dominios y confianzas de Active Directory desde la carpeta Herramientas administrativas. 2. Haga clic con el botón secundario en WoodgroveBank.com y luego en Propiedades. 3. Inicie el Asistente para nueva confianza y configure una confianza de bosque con Fabrikam.com. 4. Configure ambos lados de la confianza. Use Administrador@Fabrikam.com para comprobar la confianza. 5. Acepte la configuración predeterminada de la autenticación de todo el dominio para ambos dominios. 6. Confirme las dos confianzas. Tarea 4: Configurar la autenticación selectiva para la confianza de bosque a fin de permitir el acceso a NYC-DC2 y NYC-CL1 1. En Dominios y confianzas de Active Directory, modifique la confianza entrante de Fabrikam.com para usar la autenticación selectiva. 2. En Usuarios y equipos de Active Directory, ingrese a las propiedades de NYC-DC2. En la ficha Seguridad, conceda permiso al grupo MarketingGG de Fabrikam.com para autenticarse en este servidor. 3. Ingrese a las propiedades de NYC-CL1. En la ficha Seguridad, conceda permiso al grupo MarketingGG de Fabrikam.com para autenticarse en este servidor. Tarea 5: Comprobar la autenticación selectiva 1. Inicie sesión en la máquina virtual NYC-CL1 como Adam@fabrikam.com usando la contraseña Pa$$w0rd. Nota: Adam es un miembro del grupo MarketingGG en Fabrikam. Puede iniciar sesión en un equipo en el dominio de WoodgroveBank.com gracias a la confianza que existe entre los dos bosques y porque tiene permiso para autenticarse en NYC-CL1. 2. Intente ingresar a la carpeta \\NYC-DC2\Netlogon. Adam debería tener acceso a la carpeta. 3. Intente ingresar a la carpeta \\NYC-DC1\Netlogon. Adam no debería tener acceso a la carpeta porque el servidor no está configurado para la autenticación selectiva. Tarea 6: Cerrar todas las máquinas virtuales y descartar los discos para deshacer 1. Por cada máquina virtual que se encuentre en funcionamiento, cierre la ventana de Control remoto para máquina virtual. 2. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar. 3. Cierre el Iniciador de laboratorio 6824A. Resultado: Al finalizar este ejercicio, habrá configurado las confianzas en base a un diseño de configuración de confianzas. Ejercicio 2: Respuestas claves (pasos detallados) Revisión y conclusiones del módulo Revisión y conclusiones del módulo Revisión del laboratorio Preguntas de revisión 1. Tiene la responsabilidad de administrar las cuentas y el acceso a los recursos de los miembros de su grupo. Un usuario del grupo abandona la compañía y está esperando que llegue su reemplazo en unos días. ¿Qué debe hacer con la cuenta del usuario anterior? 2. Debe crear un gran número de cuentas en AD DS a fin de que las cuentas estén preconfiguradas para una instalación desatendida. ¿Cuál es la mejor manera de lograrlo? 3. Un usuario notifica que no puede iniciar sesión en su equipo. El mensaje de error indica que la confianza entre el equipo y el dominio se ha roto. ¿Cómo solucionará el problema? 4. Ha creado un grupo global llamado Soporte técnico que incluye todas las cuentas del soporte técnico. Desea ayudar al personal de soporte técnico a realizar cualquier operación desde los equipos de escritorio locales, incluyendo la obtención de propiedad de los archivos. ¿Qué grupo integrado es mejor usar? 5. Se le concedió al grupo Admins_Sucursal el control total de todas las cuentas de usuario en UO_Sucursal. ¿Qué permisos debería usar Admins_Sucursal para una cuenta de usuario que se trasladó de UO_Sucursal a UO_Oficina.central? 6. Su organización cuenta con un entorno de bosque de Windows Server 2008, pero adquirió recientemente otra organización con un entorno de bosque de Windows 2000, que contiene un dominio único. Los usuarios de ambas organizaciones deben tener acceso a los recursos del bosque de la otra organización. ¿Qué tipo de confianza debe crear entre el dominio raíz de bosque de cada bosque? Observaciones para configurar los objetos de Active Directory Complementar o modificar los siguientes procedimientos recomendados según las situaciones de trabajo: Cree un esquema de nomenclatura para los objetos de AD DS antes de comenzar a implementar AD DS. Por ejemplo, es necesario planear cómo creará nombres de inicio de sesión de usuarios e ideará la estrategia de nomenclatura de grupo. Es más fácil planear las estrategias de nomenclatura al principio de la implementación de AD DS que cambiar los nombres con posterioridad. Planee la estrategia de grupo de AD DS antes de implementar AD DS. Al planear la estrategia de grupo, tenga en cuenta los planes de la organización respecto del crecimiento futuro. Aunque la organización tenga solamente una pequeña cantidad de usuarios en un dominio único, es posible que desee implementar una estrategia de grupo de cuentas/ grupo de recursos si la organización posee una estrategia de crecimiento agresiva y posiblemente establezca asociaciones claves que pueden requerir confianzas de bosque. Busque oportunidades para automatizar las tareas de administración de AD DS. Es posible que se requiera tiempo para crear archivos csvde y ldifde o bien, escribir scripts VBScript o Windows PowerShell. Sin embargo, una vez que estas herramientas se implementan permiten ahorrar una significativa cantidad de tiempo. Otra opción para reducir la carga de trabajo para los administradores de AD DS es delegar tareas. Una estrategia para determinar qué tareas deben delegarse es analizar cuáles son las que más tiempo le demandan a los administradores de AD DS. Si las tareas de rutina, como crear cuentas de usuarios, restablecer contraseñas o actualizar la información del usuario, demandan una cantidad significativa de tiempo, considere delegar estas tareas específicas a otros usuarios. Herramientas Usar las siguientes herramientas al configurar objetos y confianzas de AD DS: Herramienta Usar para Dónde encontrarla Administrador del Obtener acceso a las Haga clic en Inicio, luego Herramienta Usar para Dónde encontrarla servidor Herramientas de administración diríjase a Herramientas de AD DS en una única administrativas y haga clic consola. en Administrador del Servidor. Usuarios y equipos de Active Directory Crear y configurar todos los objetos de AD DS. Haga clic en Inicio, luego diríjase a Herramientas administrativas y haga clic en Usuarios y equipos de Active Directory. Dominios y Crear y configurar confianzas. confianzas de Active Directory Haga clic en Inicio, luego diríjase a Herramientas administrativas y haga clic en Dominios y confianzas de Active Directory. Herramientas de la Crear y configurar los objetos línea de comandos de AD DS (incluyendo Csvde y Ldifde Están instaladas de manera predeterminada y puede obtener acceso a ellas desde un símbolo del sistema. Windows PowerShell Escribir scripts que puedan Windows PowerShell está automatizar la administración de disponible como una objetos descarga de Microsoft y puede instalarse como una característica en Windows Server 2008. Después de instalar Windows PowerShell, se tiene acceso a los cmdlets mediante el shell de comando de Windows PowerShell. 1. Tiene la responsabilidad de administrar las cuentas y el acceso a los recursos de los miembros de su grupo. Un usuario del grupo abandona la compañía y está esperando que llegue su reemplazo en unos días. ¿Qué debe hacer con la cuenta del usuario anterior? 2. Debe crear un gran número de cuentas en AD DS a fin de que las cuentas estén preconfiguradas para una instalación desatendida. ¿Cuál es la mejor manera de lograrlo? 3. Un usuario notifica que no puede iniciar sesión en su equipo. El mensaje de error indica que la confianza entre el equipo y el dominio se ha roto. ¿Cómo solucionará el problema? 4. Ha creado un grupo global llamado Soporte técnico que incluye todas las cuentas del soporte técnico. Desea ayudar al personal de soporte técnico a realizar cualquier operación desde los equipos de escritorio locales, incluyendo la obtención de propiedad de los archivos. ¿Qué grupo integrado es mejor usar? 5. Se le concedió al grupo Admins_Sucursal el control total de todas las cuentas de usuario en OU_Sucursal. ¿Qué permisos debería usar Admins_Sucursal para una cuenta de usuario que se trasladó de OU_Sucursal a OU_Oficina.central? 6. Su organización cuenta con un entorno de bosque de Windows Server 2008, pero adquirió recientemente otra organización con un entorno de bosque de Windows 2000, que contiene un dominio único. Los usuarios de ambas organizaciones deben tener acceso a los recursos del bosque de la otra organización. ¿Qué tipo de confianza debe crear entre el dominio raíz de bosque de cada bosque? Observaciones para configurar los objetos de Active Directory Complementar o modificar los siguientes procedimientos recomendados según las situaciones de trabajo: Cree un esquema de nomenclatura para los objetos de AD DS antes de comenzar a implementar AD DS. Por ejemplo, es necesario planear cómo creará nombres de inicio de sesión de usuarios e ideará la estrategia de nomenclatura de grupo. Es más fácil planear las estrategias de nomenclatura al principio de la implementación de AD DS que cambiar los nombres con posterioridad. Planee la estrategia de grupo de AD DS antes de implementar AD DS. Al planear la estrategia de grupo, tenga en cuenta los planes de la organización respecto del crecimiento futuro. Aunque la organización tenga solamente una pequeña cantidad de usuarios en un dominio único, es posible que desee implementar una estrategia de grupo de cuentas/ grupo de recursos si la organización posee una estrategia de crecimiento agresiva y posiblemente establezca asociaciones claves que pueden requerir confianzas de bosque. Busque oportunidades para automatizar las tareas de administración de AD DS. Es posible que se requiera tiempo para crear archivos csvde y ldifde o bien, escribir scripts VBScript o Windows PowerShell. Sin embargo, una vez que estas herramientas se implementan permiten ahorrar una significativa cantidad de tiempo. Otra opción para reducir la carga de trabajo para los administradores de AD DS es delegar tareas. Una estrategia para determinar qué tareas deben delegarse es analizar cuáles son las que más tiempo le demandan a los administradores de AD DS. Si las tareas de rutina, como crear cuentas de usuarios, restablecer contraseñas o actualizar la información del usuario, demandan una cantidad significativa de tiempo, considere delegar estas tareas específicas a otros usuarios. Herramientas Usar las siguientes herramientas al configurar objetos y confianzas de AD DS: Herramienta Usar para Dónde encontrarla Administrador del servidor Obtener acceso a las Herramientas de administración de AD DS en una única consola. Haga clic en Inicio, luego diríjase a Herramientas administrativas y haga clic en Administrador del Servidor. Usuarios y equipos de Active Directory Crear y configurar todos los objetos de AD DS. Haga clic en Inicio, luego diríjase a Herramientas administrativas y haga clic en Usuarios y equipos de Active Directory. Dominios y confianzas de Active Directory Crear y configurar confianzas. Haga clic en Inicio, luego diríjase a Herramientas administrativas y haga clic en Dominios y confianzas de Active Directory. Herramientas de la línea de comandos (incluyendo Csvde y Ldifde Crear y configurar los objetos de AD DS Están instaladas de manera predeterminada y puede obtener acceso a ellas desde un símbolo del sistema. Windows PowerShell Escribir scripts que puedan Windows PowerShell está disponible como una descarga de automatizar la Microsoft y puede instalarse como una característica en administración de objetos Windows Server 2008. Después de instalar Windows PowerShell, se tiene acceso a los cmdlets mediante el shell de comando de Windows PowerShell. Modulo 4 : Configuración de sitios y replicación de Active Directory Modulo 4 Configuración de sitios y replicación de Active Directory En un entorno de Servicios de dominio de Active Directory (AD DS) de Windows Server 2008, se pueden implementar controladores de dominio múltiples en el mismo dominio, o en otros dominios dentro del mismo bosque. La información de AD DS se replica automáticamente entre todos los controladores de dominio. Este módulo describe cómo funciona la replicación de AD DS, lo que le permitirá administrar el tráfico de red en la replicación, mientras que garantiza la consistencia de los datos de AD DS en toda su red. Lección 1: Descripción general de la replicación de los Servicios de dominio de Active Directory Lección 2: Descripción general de los sitios y replicación de AD DS Lección 3: Configuración y supervisión de la replicación de AD DS Laboratorio: Configuración de sitios y replicación de Active Directory Lección 1: Descripción general de la replicación de los Servicios de dominio de Active Directory Lección 1: Descripción general de la replicación de Servicios de dominio de Active Directory Cuando un usuario o un administrador realizan una actualización de AD DS, se actualiza la base de datos de AD DS de un controlador de dominio. Esta actualización luego se replica a todos los demás controladores dentro del dominio y, en algunos casos, a todos los demás controladores de dominio del bosque. AD DS emplea un modelo de replicación con varios maestros. Esto significa que la mayoría de los cambios se pueden realizar en cualquier controlador de dominio y se replicarán todos a los demás controladores de dominio. Esta lección describe cómo funciona la replicación de AD DS en Windows Server 2008. Cómo funciona la replicación de AD DS Cómo funciona la replicación de AD DS Puntos clave La diapositiva describe cómo funcionan los diferentes componentes en la replicación de AD DS. Material de lectura adicional Ayuda para Sitios y servicios de Active Directory: Comprender sitios, subredes y vínculos de sitio Artículo de Microsoft TechNet: Replication Model Components (Componentes del modelo de replicación) Artículo de Microsoft Technet: How the Active Directory Replication Model Works (Cómo funciona el modelo de replicación de Active Directory) Cómo funciona la replicación de AD DS dentro de un sitio Cómo funciona la replicación de AD DS dentro de un sitio Puntos clave Dentro de un sitio, una notificación del controlador de dominio remitente da inicio al proceso de replicación. Cuando se realiza un cambio en la base de datos, el equipo remitente notifica al socio de replicación que existen cambios disponibles. El socio de replicación extrae los cambios del controlador de dominio remitente usando una conexión de llamada a procedimiento remoto (RPC). Una vez completa la replicación, el controlador de dominio remitente espera tres segundos y luego notifica a otro socio de replicación, que también extrae los cambios. De manera predeterminada, un controlador de dominio esperará 15 segundos luego de que se haya realizado un cambio y comenzará a replicar los cambios a otros controladores de dominio del mismo sitio. Material de lectura adicional Ayuda para Sitios y servicios de Active Directory: Comprender sitios, subredes y vínculos de sitio Artículo de Microsoft Technet: How the Active Directory Replication Model Works (Cómo funciona el modelo de replicación de Active Directory) Resolución de conflictos de replicación Resolución de conflictos de replicación Puntos clave Existen tres tipos de conflictos: Modificar en forma simultánea el mismo valor de atributo de un objeto en dos controladores de dominio. Agregar o modificar un objeto en un controlador de dominio al mismo tiempo que el objeto contenedor de dicho objeto es eliminado en otro controlador de dominio. Agregar objetos con el mismo nombre distintivo relativo en el mismo contenedor. Material de lectura adicional Artículo de Microsoft Technet How the Active Directory Replication Model Works (Cómo funciona el modelo de replicación de Active Directory) Optimización de la replicación Optimización de la replicación Puntos clave Durante la replicación los controladores de dominio pueden seguir múltiples rutas para enviar y recibir actualizaciones. Aunque usar diversas rutas ofrece tolerancia a errores y un rendimiento mejorado, puede causar que las actualizaciones se repliquen en el mismo controlador de dominio más de una vez a través de diferentes rutas de replicación. Para impedir estas replicaciones repetidas, la replicación de AD DS emplea reducción de propagación. Este es el proceso por el que se reduce la cantidad de datos innecesarios que viajan desde un controlador de dominio a otro. Material de lectura adicional Artículo de Microsoft Technet: How the Active Directory Replication Model Works (Cómo funciona el modelo de replicación de Active Directory) ¿Qué son las particiones de directorio? ¿Qué son las particiones de directorio? Puntos clave La base de datos de AD DS se encuentra lógicamente dividida en particiones de directorio: una partición de esquema, una partición de configuración, particiones de dominio y particiones de aplicación. Cada partición es una unidad de replicación y cuenta con su propia topología de replicación. Material de lectura adicional Artículo de Microsoft Technet: How The Data Store Works (Directory Partition section) (Cómo funciona el Almacén de datos (sección partición de directorio)) How the Active Directory Replication Model Works (Cómo funciona el modelo de replicación de Active Directory) ¿Qué es la topología de replicación? ¿Qué es la topología de replicación? Puntos clave La topología de replicación es la ruta por la que viajan los datos de replicación a través de una red. Para crear una topología de replicación, AD DS debe determinar qué controladores de dominio replican los datos con otros controladores de dominio. Pregunta: ¿Qué particiones de aplicación se crean de manera predeterminada en AD DS? Material de lectura adicional Artículo de Microsoft Technet: What is Active Directory Replication Topology? (¿Qué es la Topología de replicación de Active Directory?) Cómo se replican las particiones de directorio y el catálogo global Cómo se replican las particiones de directorio y el catálogo global Puntos clave La replicación tanto de las particiones de esquema como de las particiones de configuración sigue el mismo proceso que las demás particiones de directorio. Sin embargo, debido a que estas particiones son de todo el bosque y no de todo el dominio, se pueden crear los objetos de conexión para estas particiones entre dos controladores de dominio, sin importar el dominio de dicho controlador. Todos los controladores de dominio del bosque están incluidos en la topología de replicación para estas particiones. Material de lectura adicional Artículo de Microsoft Technet: What is Active Directory Replication Topology? (¿Qué es la Topología de replicación de Active Directory?) Cómo se genera la topología de replicación Cómo se genera la topología de replicación Puntos clave Cuando se agregan controladores de dominio a un sitio, AD DS emplea el Comprobador de coherencia de la información (KCC) para establecer una ruta de replicación entre controladores de dominio. Material de lectura adicional Artículo de Microsoft Technet: How the Active Directory Replication Model Works? (¿Qué es la Topología de replicación de Active Directory?) Demostración: Creación y configuración de objetos de conexión Demostración: Creación y configuración de objetos de conexión Pregunta: ¿Cuándo se configuran los objetos de conexión en forma manual? Lección 2: Descripción general de los sitios y replicación de AD DS Lección 2: Descripción general de sitios y replicación de AD DS Dentro de un sitio, la replicación de AD DS ocurre en forma rápida y automática, sin tener en cuenta el uso de red. Sin embargo, algunas organizaciones tienen múltiples ubicaciones y están conectadas por medio de conexiones de red lenta. Se pueden usar Sitios de AD DS para controlar la replicación y otros tipos de tráfico de AD DS a través de estos vínculos de red. ¿Qué son los sitios y vínculos de sitio de AD DS? ¿Qué son los sitios y vínculos de sitio de AD DS? Puntos clave Los sitios se usan para controlar el tráfico de replicación, el tráfico de inicio de sesión y las solicitudes del equipo cliente al servidor de catálogo global. Material de lectura adicional Ayuda para Sitios y servicios de Active Directory: Comprender sitios, subredes y vínculos de sitio Discusión: ¿Por qué implementar sitios adicionales? Discusión: ¿Por qué implementar sitios adicionales? Material de lectura adicional Ayuda para Sitios y servicios de Active Directory: Comprender sitios, subredes y vínculos de sitio Cómo funciona la replicación entre sitios Cómo funciona la replicación entre sitios Puntos clave Dentro de un sitio se tiene poco control sobre el proceso de replicación de AD DS. Cuando se implementan sitios múltiples en un bosque de AD DS, también se puede configurar la replicación de AD DS para garantizar el óptimo uso de red. Demostración: Configuración de sitios de AD DS Demostración: Configuración de sitios de AD DS Preguntas: ¿Qué le sucedería a la topología de replicación si se desplaza un controlador de dominio de un sitio a otro? Se mueve un controlador de dominio a un nuevo sitio usando Sitios y servicios de Active Directory. Seis horas más tarde se determina que el controlador de dominio no está replicando con ningún otro controlador de dominio. ¿Qué se debe comprobar? Material de lectura adicional Ayuda para Sitios y servicios de Active Directory: Crear un sitio, crear una subred. Comparación de la replicación en sitios y entre sitios Comparación de la replicación en sitios y entre sitios Puntos clave Para obtener comparaciones, consulte la diapositiva. Material de lectura adicional Ayuda para Sitios y servicios de Active Directory: Comprender la replicación entre sitios Artículo de Microsoft Technet: What is Active Directory Replication Topology? (¿Qué es la Topología de replicación de Active Directory?) Demostración: Configuración de vínculos de sitio de AD DS Demostración: Configuración de vínculos de sitio de AD DS Preguntas: Si todas las ubicaciones se encuentran conectadas por una red de área extensa que tiene el mismo ancho de banda disponible, ¿es necesario crear vínculos de sitio adicionales? La organización cuenta con dos sitios y un único dominio. ¿Se puede usar SMTP como protocolo de replicación entre ambos sitios? Material de lectura adicional Ayuda para Sitios y servicios de Active Directory: Crear un vínculo de sitio ¿Qué es el generador de topología entre sitios? ¿Qué es el generador de topología entre sitios? Puntos clave El KCC de un controlador de dominio en el sitio, se designa en el mismo como el Generador de topología entre sitios (ISTG). Sólo hay un ISTG por sitio, sin importar cuántos dominios o particiones de directorio tiene. ISTG es responsable de calcular la topología de replicación ideal para el sitio. Material de lectura adicional Artículo de Microsoft Technet: How the Active Directory Replication Model Works (Cómo funciona el modelo de replicación de Active Directory) Cómo funciona la replicación unidireccional Cómo funciona la replicación unidireccional Puntos clave Debido a que ningún cambio se escribe directamente en el Controlador de dominio de sólo lectura (RODC), ningún cambio tiene origen en el RODC. En consecuencia, los controladores de dominio grabables que son socios de replicación no tienen que extraer cambios del RODC. Esto significa que cualquier cambio o daño que un usuario malintencionado pueda hacer en alguna sucursal, no se puede replicar desde el RODC al bosque. Esto también reduce la carga de trabajo de los servidores cabeza de puente del concentrador y el esfuerzo requerido para supervisar la replicación. Material de lectura adicional Artículo de Microsoft Technet: AD DS: Controladores de dominio de sólo lectura Lección 3: Configuración y supervisión de la replicación de AD DS Lección 3: Configuración y supervisión de replicación de servicios de dominio de Active Directory Una vez que se configuran los sitios y los vínculos de sitio para el entorno de AD DS, se puede configurar la replicación de AD DS. AD DS en Windows Server 2008 ofrece varias opciones que se pueden usar para administrar el flujo de replicación entre sitios. Debido a que la replicación de AD DS es tan importante en el entorno, también es necesario saber cómo se la debe supervisar. ¿Qué es un servidor cabeza de puente? ¿Qué es un servidor cabeza de puente? Puntos clave El servidor cabeza de puente en una topología de replicación de AD DS, es el único controlador de dominio, responsable en cada sitio de intercambiar los datos replicados con otros sitios. El servidor cabeza de puente del sitio original, recoge todos los cambios de replicación en su sitio y luego los envía al servidor cabeza de puente del sitio receptor, que replica los cambios a todos los controladores de dominio del sitio. De manera predeterminada, el ISTG identifica un controlador de dominio en cada sitio como servidor cabeza de puente para cada vínculo de sitio. Si este servidor cabeza de puente no se encuentra disponible, el ISTG identifica a otro controlador de dominio como el servidor cabeza de puente. Material de lectura adicional Artículo de Microsoft Technet: How the Active Directory Replication Model Works (Cómo funciona el modelo de replicación de Active Directory) ¿Qué es un servidor cabeza de puente? Demostración: Configuración de servidores cabeza de puente Pregunta: La organización cuenta con dos sitios y dos dominios en el mismo bosque con controladores de dominios para ambos dominios en ambos sitios. Se configura un controlador de dominio en cada sitio como el servidor cabeza de puente preferido. Tiempo después se advierte que los controladores de dominio para uno de los dominios no están replicando a través del vínculo de sitio. ¿Qué se debe hacer para solucionarlo? Material de lectura adicional Artículo de Microsoft Technet: Administración de la replicación entre sitios Demostración: Configuración de la disponibilidad y frecuencia de la replicación Demostración: Configuración de la disponibilidad y frecuencia de la replicación Preguntas: Se configuran los vínculos de sitio entre Nueva York y Toronto y entre Nueva York y Londres. El sitio Nueva York-Toronto se encuentra disponible desde las 2 a.m. hasta las 5 a.m. EST. El vínculo al sitio Nueva York-Londres se encuentra disponible desde las 8 p.m. hasta las 11 p.m. EST. Se puede crear un nuevo usuario en Toronto. ¿Cuándo aparecerá el usuario nuevo en AD DS en un controlador de dominio de Londres? La organización cuenta con 4 sitios. Todos los sitios se incluyen en el VínculoSitioIPPredeterminado. Se desea modificar el programa de replicación de todos los sitios para que la replicación entre sitios ocurra cada 15 minutos. ¿Qué se debe hacer? Material de lectura adicional Ayuda para Sitios y servicios de Active Directory: Configurar la replicación entre sitios ¿Qué son los puentes de vínculos de sitio? ¿Qué son los puentes de vínculos de sitio? Puntos clave De manera predeterminada, todos los vínculos de sitio de AD DS son transitivos o tienen puentes. Esto significa que si el sitio A tiene un vínculo de sitio en común con el sitio B, el sitio B también cuenta con un sitio en común con el sitio C y los dos vínculos de sitio tienen puentes entre sí. Los controladores de dominio del sitio A pueden luego replicarse directamente con los controladores de dominio del sitio C, aunque no existan vínculos de sitio entre los sitios A y C. Se puede modificar la configuración predeterminada de los puentes de vínculos de sitios, deshabilitando los puentes de vínculos de sitios y luego aquellos vínculos de sitio que sean transitivos. Material de lectura adicional Artículo de Microsoft Technet: How the Active Directory Replication Model Works (Cómo funciona el modelo de replicación de Active Directory) Demostración: Modificación de los puentes de vínculos de sitio Demostración: Modificación de los puentes de vínculos de sitio Pregunta: Su organización cuenta con cinco sitios. Cuatro de los sitios se encuentran conectados con vínculos de red de área extensa (WAN), con ancho de banda extra, mientras que uno de los sitios se encuentra conectado a los demás sitios por un vínculo WAN con escaso ancho de banda disponible. Se deshabilitan los puentes de vínculos de sitios en la organización y luego se detecta que lleva más tiempo de lo normal el replicar los cambios de AD DS entre sitios. ¿Qué se debe hacer para optimizar la replicación entre los cuatro sitios con ancho de banda disponible mientras que se reduce el uso de red del sitio con menos ancho de banda disponible? Material de lectura adicional Artículo de Microsoft Technet: Administración de la replicación entre sitios ¿Qué es la memoria caché de pertenencia al grupo universal? ¿Qué es la memoria caché de pertenencia al grupo universal? Puntos clave Uno de los problemas que puede requerir atención al configurar la replicación de AD DS es si se deben implementar servidores de catálogo global en cada sitio. Debido a que se requieren servidores de catálogo global cuando los usuarios inician sesión en el dominio, el hecho de implementar un servidor de catálogo global en cada sitio optimiza la experiencia del usuario. Sin embargo, implementar un servidor de catálogo global en un sitio genera tráfico de replicación adicional, lo que puede llegar a ser un problema si la red de conexión entre los sitios de AD DS cuenta con un ancho de banda limitado. En estos casos, se pueden implementar controladores de dominio con Windows Server 2008 y así habilitar la caché de pertenencia al grupo universal para el sitio. Material de lectura adicional Artículo de Microsoft Technet: Diseño de la ubicación del servidor de catálogo global Demostración: Configuración de la memoria caché de pertenencia al grupo universal Demostración: Configuración de la memoria caché de pertenencia al grupo universal Material de lectura adicional Artículo de Microsoft Technet: Cache universal group memberships (Pertenencia al grupo universal de la memoria caché) Demostración: Herramientas para supervisar y administrar la replicación Demostración: Herramientas para supervisar y administrar la replicación Preguntas: ¿En qué circunstancias puede que se desee saber cuál de los controladores de dominio en un sitio es el ISTG? ¿Qué información se encuentra disponible en las herramientas de línea de comandos, que no se encuentra disponible en las herramientas de la interfaz gráfica de usuario (GUI)? Laboratorio: Configuración de sitios y replicación de Active Directory Laboratorio: Configuración de sitios y replicación de Active Directory Laboratorio: Configuración de sitios y replicación de Active Directory Escenario El Woodgrove Bank cuenta con muchas oficinas en todo el mundo. Para optimizar el tráfico de inicio de sesión de los clientes y administrar la replicación de AD DS, el administrador de la empresa ha creado un nuevo diseño para la configuración de sitios de AD DS y para configurar la replicación entre los sitios. Se deben crear sitios de AD DS y configurar la replicación basada en el diseño del administrador de la empresa, supervisar la replicación del sitio y garantizar que todos los componentes que se requieren para la replicación son funcionales. El diseño que se usa actualmente en el Woodgrove Bank, continúa siendo el predeterminado, no se le han realizado cambios. Aparte del sitio predeterminado, no se encuentran configurados otros sitios de AD DS ni vínculos a sitios. El administrador de la empresa ha creado el siguiente diseño de sitio: Nueva York tiene una conexión de red de área extensa (WAN) a una velocidad de 1,544 megabits por segundo (Mbps) con Londres, que tiene el 50% de ancho de banda disponible. Nueva York y Tokio también se encuentran conectados por una conexión WAN a una velocidad de 1.544 Mbps, que tiene el 50% de ancho de banda disponible. Cualquier cambio realizado a AD DS en cualquiera de estas tres ubicaciones debe ser replicado a las otras en el término de una hora. Miami se encuentra conectado a Nueva York por una conexión WAN a una velocidad de 256 kilobits por segundo (kbps), que tiene menos del 20% de ancho de banda disponible durante el horario de oficina habitual. Los cambios realizados a AD DS en cualquier sitio dentro de la organización no deben ser replicados a Miami durante el horario de oficina habitual. El controlador de dominio que se encuentra en Miami, debe recibir las actualizaciones solo desde un controlador de dominio en Nueva York. Los controladores de dominio en Nueva York, Tokio y Londres pueden recibir actualizaciones de cualquier otro controlador de dominio en uno de estos tres sitios. El controlador de dominio en Miami, no está configurado como un servidor de catálogo global debido a cuestiones relacionadas con la replicación de catálogo global. Para reducir el tráfico de red que se requiere para la autenticación, se debe habilitar la caché de pertenencia al grupo universal en el Sitio-Miami. Se debe configurar cada ubicación de la compañía como un sitio separado, con el siguiente nombre: Sitio-nombre de la ciudad Los vínculos de sitio se deben nombrar según el siguiente formato: Nombre de la ciudad-Nombre de la ciudad-Vínculo a sitio. La configuración de las direcciones de red para cada ubicación de la compañía se realizará como se detalla a continuación: Nueva York: 10.10.0.0/16 Londres: 10.20.0.0/16 Miami: 10.30.0.0/16 Tokio: 10.40.0.0/16 Nota: Debido a las limitaciones que presenta el laboratorio virtual, se configurarán sólo los sitios de las ubicaciones de Nueva York, Londres y Miami. Nota: El siguiente laboratorio requiere que se ejecuten cuatro máquinas virtuales al mismo tiempo. Se recomienda que los equipos de los estudiantes estén configurados con un GB adicional de memoria RAM (para alcanzar un total de 3 GB) y así mejorar el rendimiento de la máquina virtual en el laboratorio. Ejercicio 1: Configuración de sitios y subredes de AD DS Ejercicio 1: Configuración de sitios y subredes de AD DS En este ejercicio, se modificará la configuración existente del sitio, basada en el diseño del administrador de la empresa. Las tareas incluyen la creación de subredes y sitios nuevos, la creación de vínculos de sitio y el desplazamiento de los servidores a los sitios adecuados. Las principales tareas se realizarán como se detalla a continuación: 1. Iniciar las máquinas virtuales y luego iniciar sesión. 2. Comprobar la configuración y la topología de replicación actual del sitio. 3. Crear sitios de AD DS. Tarea 1: Iniciar las máquinas virtuales y luego iniciar sesión. 1. En la máquina host, haga clic en Inicio, elija Todos los programas, luego a Microsoft Learning y haga clic en 6824A. Se inicia Iniciador de laboratorio. 2. En Iniciador de laboratorio, junto a 6824A-NYC-DC1, haga clic en Iniciar. 3. En Iniciador de laboratorio, junto a 6824A-LON-DC1, haga clic en Iniciar. 4. En Iniciador de laboratorio, junto a 6824A-MIA-RODC, haga clic en Iniciar. 5. En Iniciador de laboratorio, junto a 6824A-NYC-RAS, haga clic en Iniciar. 6. Inicie sesión en NYC-DC1 como Administrador, usando la contraseña Pa$$w0rd. 7. Inicie sesión en LON-DC1 como Administrador, usando la contraseña Pa$$w0rd. 8. Inicie sesión en MIA-RODC como Administrador, usando la contraseña Pa$$w0rd. 9. Inicie sesión en NYC-RAS como Administrador, usando la contraseña Pa$$w0rd. 10. Minimice la ventana Iniciador de laboratorio. Tarea 2: Comprobar la configuración y la topología de replicación actual del sitio. 1. En NYC-DC1, abra Sitios y servicios de Active Directory y luego vaya a propiedades de NTDS Settings para NYC-DC1. 2. Compruebe que los objetos de conexión estén configurados en NYC-DC1. Confirme que los objetos de conexión se usen para replicar todas las particiones de directorio relevantes. 3. Compruebe que las conexiones estén configuradas para replicar siempre y para comprobar la existencia de actualizaciones disponibles cada hora. 4. Examine los objetos de conexión configurados en MIA-RODC. Compruebe que el RODC sólo tenga socios de replicación entrante y ningún socio de replicación saliente. Tarea 3: Crear sitios de AD DS 1. En Sitios y servicios de Active Directory, cambie el Default-First-Site-Name a Sitio-NuevaYork. 2. Cree nuevos sitios llamados Sitio-Miami, Sitio-Londres y Sitio-Tokio. 3. Cree nuevos objetos de subred con las siguientes propiedades: Prefijo: 10.10.0.0/16, Sitio: Sitio-Nueva York Prefijo: 10.20.0.0/16, Sitio: Sitio-Londres Prefijo: 10.30.0.0/16, Sitio: Sitio-Miami Prefijo: 10.40.0.0/16, Sitio: Sitio-Tokio 4. Compruebe que las subredes correctas estén asociadas con cada sitio. Resultado: Al finalizar este ejercicio, sabrá configurar sitios y subredes de AD DS y vincular las subredes a los sitios adecuados. Ejercicio 1: Respuestas claves (pasos detallados) Ejercicio 2: Configuración de la replicación de AD DS Ejercicio 2: Configuración de la replicación de AD DS En este ejercicio se configurará la replicación de AD DS entre sitios. Las tareas incluyen la creación de nuevos vínculos de sitios, la configuración de puentes de vínculos de sitio y finalmente, el movimiento de los controladores de dominio a los sitios adecuados. Las principales tareas se realizarán como se detalla a continuación: 1. Crear los objetos de vínculos de sitios. 2. Configurar los puentes de vínculos de sitios. 3. Modificar la configuración de la dirección IP del controlador de dominio. 4. Desplazar los controladores de dominio hacia los sitios adecuados. 5. Configurar la memoria caché de catálogo global para el Sitio-Miami. Tarea 1: Crear los objetos de vínculos de sitios 1. En Sitios y servicios de Active Directory, cambie el nombre predeterminado del sitio DEFAULTIPSITELINK a Vínculo-Sitio-NuevaYork-Londres. Configure el vínculo de sitio para incluir sólo Sitio-NuevaYork y SitioLondres y replicar cada 30 minutos. 2. Haga clic con el botón secundario en el vínculo de Vínculo-Sitio-NuevaYork-Londres y luego haga clic en Propiedades. 3. Cree un nuevo vínculo a sitio llamado vínculo de Vínculo-Sitio-NuevaYork-Tokio, que incluya Sitio-NuevaYork y Sitio-Tokio y que se replique cada treinta minutos. 4. Cree otro nuevo vínculo de sitio llamado vínculo de Vínculo-Sitio-NuevaYork-Miami, que incluya SitioNuevaYork y Sitio-Miami. Modifique el programa para que el vínculo de sitio no permita la replicación entre las 7 a.m. y las 7 p.m., de lunes a viernes. Tarea 2: Configurar puentes de vínculos de sitios En Sitios y servicios de Active Directory, desactive los puentes de vínculos a sitios para los vínculos de sitios IP. Cree un nuevo puente de vínculos de sitios denominado Puente-Vínculo-Sitio-NuevaYork-Londres-Tokio, que incluya todos los sitios excepto el Sitio-Miami. Tarea 3: Modificar la configuración de dirección IP del controlador de dominio 1. En LON-DCI, vaya a propiedades de Conexión de área local. Cambie la configuración de la dirección IP para usar la dirección IP 10.20.0.110 y la puerta de enlace predeterminada 10.20.0.1. 2. Asegúrese de que se puede rastrear 10.10.0.10 desde LON- DC1 y fuerce al servidor para que registre su IP en DNS. 3. En MIA-RODC, en la ventana del símbolo del sistema, use el comando Netsh interface ipv4 show interfaces para identificar el valor Idx asignado a la conexión de área local. 4. Use el comando netsh interface ipv4 set address name="ID" source=static address=10.30.0.15 mask=255.255.0.0 gateway=10.30.0.1 para cambiar la dirección IP por MIA-RODC. 5. Asegúrese de que se puede rastrear 10.10.0.10 desde MIA-RODC y luego fuerce al servidor para que registre su dirección IP en DNS. 6. En NYC-DC1, compruebe que las direcciones IP para LON-DC1 y MIA-RODC hayan sido actualizadas en el DNS. 7. Modifique el registro de delegación para que EMEA use 10.20.0.110 como dirección del servidor EMEA DNS. Tarea 4: Desplazar los controladores de dominio hacia los sitios adecuados 1. En NYC-DC1, en Sitios y servicios de Active Directory, desplace LON-DC1 desde el Sitio-NuevaYork, a Sitio-Londres. 2. Desplace MIA-RODC desde Sitio-Nueva York a Sitio-Miami. Tarea 5: Configurar la memoria caché de catálogo global para el Sitio-Miami 1. En NYC-DC1, en Sitios y servicios de Active Directory, vaya a Propiedades de NTDS Site Settings para Sitio-Miami. 2. Habilite la Caché de pertenencia al grupo universal y luego configúrela para que se actualice desde el SitioNuevaYork. Resultado: Al finalizar este ejercicio, sabrá configurar la replicación de AD DS. Ejercicio 2: Respuestas claves (pasos detallados) Ejercicio 3: Supervisión de la replicación de AD DS Ejercicio 3: Supervisión de la replicación de AD DS En este ejercicio se supervisará la replicación de AD DS entre sitios. Se usarán los comandos DCDiag y NLTest para comprobar la disponibilidad del servidor; y el comando Replmon para supervisar la replicación entre sitios. Las principales tareas se realizarán como se detalla a continuación: 1. Comprobar que se haya actualizado la topología de replicación. 2. Comprobar que la replicación funcione entre sitios. 3. Usar el comando DCDiag para comprobar la topología de replicación. 4. Usar el comando repadmin para comprobar que la replicación se haya realizado correctamente. 5. Apagar todas las máquinas virtuales y eliminar todos los cambios. Tarea 1: Comprobar que se haya actualizado la topología de replicación. En NYC-DC1, en Sitios y servicios de Active Directory, vaya a NTDS Settings para NYC-DC1 y luego fuerce al servidor para que compruebe la topología de replicación. Vaya a NTDS Settings para MIA-RODC en el Sitio-Miami y luego fuércela para que compruebe la topología de replicación. Esta tarea llevará unos minutos para completarse. Vaya a propiedades de NTDS Site Settings para el Sitio-NuevaYork y luego verifique que NYC-DC1 esté configurado como Generador de topologías entre sitios. Vaya a NTDS Site Settings para Sitio-Miami y luego compruebe que MIA-RODC no esté configurado como ISTG. Debido a que MIA-RODC es un RODC, no puede funcionar como un servidor cabeza de puente o un ISTG. Tarea 2: Comprobar que la replicación funcione entre sitios 1. En NYC-DC1, en Sitios y servicios de Active Directory, vaya a NTDS Settings para NYC-DC1. 2. En el panel de detalles, compruebe que se haya creado un objeto de conexión entre NYC-DC1 y LON-DC1 y luego fuerce la replicación en el objeto de conexión. 3. En LON-DC1, abra Sitios y servicios de Active Directory, vaya al objeto de conexión configurado en LON-DC1 entre LON-DC1 y NYC-DC1 y luego fuerce la replicación en el objeto de conexión. 4. En NYC-DC1, en Usuarios y equipos de Active Directory, cree en el Contenedor de usuarios, un nuevo usuario con UsuariodePrueba como nombre y nombre de inicio de sesión y use la contraseña Pa$$w0rd. 5. En Sitios y servicios de Active Directory, vaya al objeto de conexión configurado en MIA-RODC entre NYC-DC1 y MIA-RODC y luego fuerce la replicación en el objeto de conexión. 6. En Usuarios y equipos de Active Directory, cambie el foco a MIA-RODC. WoodgroveBank.com. 7. En el cuadro de diálogo Cambiar el controlador de dominio, haga clic en MIA-RODC.WoodgroveBank.com, luego haga clic en Aceptar y compruebe que la cuenta UsuariodePrueba haya sido replicada a MIA-RODC. Tarea 3: Usar el comando DCDiag para comprobar la topología de replicación En NYC-DC1, en un símbolo del sistema, escriba DCDiag / test:replications para comprobar que NYC-DC1 pase todas las pruebas de conectividad. Nota: Aparecerán errores de replicación porque NYC-DC2 y TOK-DC1 no se están ejecutando y se ha intentado realizar la replicación. Tarea 4: Usar el comando Repadmin para comprobar que la replicación se haya realizado correctamente 1. En NYC-DC1, en el símbolo del sistema, escriba repadmin /showrepl y luego compruebe que la replicación con LON-DC1 se haya realizado correctamente durante la última actualización de la replicación. 2. En el símbolo del sistema, escriba repadmin /showrepl MIA-RODC.WoodgroveBank.com y luego compruebe que todas las particiones de directorio hayan sido actualizadas sin errores durante la última actualización de la replicación. 3. En el símbolo del sistema, escriba repadmin /bridgeheads y luego compruebe que NYC-DC1 y LON-DC1 estén configurados como servidores cabeza de puente para su sitio. 4. En el símbolo del sistema, escriba repadmin / replsummary, y luego examine el resumen de replicación y cierre el símbolo del sistema. Tarea 5: Apagar todas las máquinas virtuales y eliminar todos los cambios 1. Por cada máquina virtual que se encuentre en funcionamiento, cierre la ventana de Control remoto para máquina virtual. 2. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar. 3. Cierre el Iniciador de laboratorio 6824A. Resultado: Al finalizar este ejercicio, se habrá comprobado que la replicación de AD DS está en funcionamiento. Ejercicio 3: Respuestas claves (pasos detallados) Revision del laboratorio Revisión del laboratorio Revisión del laboratorio Preguntas de revisión 1. ¿Cómo se pueden reducir las posibilidades de que se generen conflictos de replicación en su organización? 2. Se han implementado nueve controladores de dominio dentro del mismo dominio. Cinco de estos controladores de dominio se encuentran en un sitio, mientras que cuatro están en un sitio distinto. No se ha modificado la frecuencia de replicación predeterminada para la replicación dentro del sitio y entre sitios. Se crea una cuenta de usuario en un controlador de dominio. ¿Cuál es el tiempo máximo que le llevará a dicha cuenta de usuario replicarse a todos los controladores del dominio? 3. Se agrega un nuevo controlador de dominio a un dominio ya existente en el bosque. ¿Qué particiones de AD DS serán modificadas como consecuencia de esto? 4. La organización tiene un dominio con tres sitios: Un sitio para la oficina central y dos sitios para las sucursales. Los controladores de dominio en los sitios de las sucursales se pueden comunicar con los controladores de dominio de la oficina central, pero no pueden comunicarse directamente con los controladores de dominio de la otra sucursal, debido a restricciones de firewall. ¿Cómo se puede configurar la arquitectura de los vínculos de sitios en AD DS para integrar el firewall y garantizar que el Comprobador de coherencia de la información (KCC) no cree una conexión en forma automática entre los sitios de las sucursales? 5. La organización tiene una oficina central y 20 sucursales. Cada oficina se encuentra configurada como un sitio separado. Se cuenta con tres controladores de dominio implementados en la oficina central. Uno de los controladores de dominio de la oficina central tiene un procesador más rápido y una memoria mayor que los otros dos. Se quiere garantizar que la carga de trabajo de la replicación de AD DS sea asignada al mejor equipo. ¿Qué se debe hacer? Observaciones al momento de configurar Sitios y la replicación de AD DS Complementar o modificar los siguientes procedimientos recomendados según las situaciones de trabajo: En una organización con un solo sitio, la mayoría de las veces se puede aceptar la configuración predeterminada de replicación. Aunque se pueden modificar los tiempos de notificación predeterminados para la replicación de AD DS, rara vez existe razón alguna para hacerlo. En una organización con sitios múltiples se debe planear el diseño del sitio para optimizar el uso de la WAN, minimizando el tráfico de replicación de Active Directory y de inicio de sesión de los clientes. Usar los servidores cabeza de puente preferidos sólo si se desea que algunos controladores de dominio del sitio no sean servidores cabeza de puente. Algunos controladores de dominio pueden no ser lo suficientemente potentes como para replicarse en forma confiable entre sitios. De lo contrario, se debe permitir que el generador de topología entre sitios seleccione automáticamente servidores cabeza de puente. La configuración del sitio y las ubicaciones de los controladores de dominio dentro de los sitios, puede ser modificada luego de su instalación. Si se detecta que la replicación de AD DS resulta ineficiente, o la organización crece, es muy fácil modificar el proceso de replicación de AD DS, agregando o quitando sitios, o modificando la configuración de los vínculos de sitio. El tráfico de replicación de AD DS entre sitios se comprime. Esto significa que, excepto en las grandes organizaciones, el tráfico de replicación no consumirá una gran cantidad de ancho de banda entre sitios. Herramientas Usar las siguientes herramientas cuando se configuran los Sitios y replicación de AD DS: Herramienta Usar para Dónde encontrarla Administrador del Servidor Obtener acceso a las Herramientas de administración de AD DS en una única consola. Sitios y servicios de Crear y configurar sitios, subredes, Active Directory desplazar controladores de dominio entre sitios y forzar la replicación. Repadmin DCDiag Haga clic en Inicio, luego vaya a Herramientas administrativas y haga clic en Administrador del servidor. Haga clic en Inicio, luego vaya a Herramientas administrativas y haga clic en Usuarios y equipos de Active Directory. Recopilar datos sobre la topología de replicación actual y su estado y crear nuevos Instalada de manera predeterminada y se puede obtener acceso desde un símbolo del sistema. objetos de replicación. Recopilar datos sobre los controladores de Instalada de manera predeterminada y se puede dominio, incluyendo asociados de obtener acceso desde un símbolo del sistema. replicación y estado. Modulo 5 : Creación y configuración de las directivas de grupo Módulo 5 Creación y configuración de las directivas de grupo Los administradores enfrentan desafíos cada vez más complejos al administrar la infraestructura de la Tecnología de la información (TI). Deben ofrecer y mantener configuraciones de escritorio personalizadas para una mayor variedad de empleados; como usuarios móviles, trabajadores de la información u otros asignados a tareas estrictamente definidas, como ingreso de datos. La Directiva de grupo y la infraestructura de Servicios de dominio de Active Directory® (AD DS) de Windows Server®°2008 permiten a los administradores de TI automatizar la administración de usuarios y equipos, simplificando así las tareas administrativas y reduciendo los costos de TI. Gracias a la Directiva de grupo y a AD DS, los administradores pueden implementar configuraciones de seguridad y aplicar directivas de TI eficazmente y distribuir software de manera constante a través de un determinado sitio, dominio o rango de unidades organizativas (OU). Lección 1: Descripción general de la Directiva de grupo Lección 2: Configuración del ámbito de la Directiva de grupo Lección 3: Evaluación de la aplicación de objetos de Directiva de grupo Lección 4: Administración de objetos de directiva de grupo Lección 5: Delegación del control administrativo de Directiva de grupo Laboratorio: Creación y configuración de objetos de Directiva de grupo Lección 1: Descripción general de la Directiva de grupo Lección 1: Descripción general de las directivas de grupo Esta lección describe cómo usar la Directiva de grupo para simplificar la administración de equipos y usuarios en un entorno de Directorio activo. Aprenderá cómo se estructuran y aplican los Objetos de directiva de grupo (GPO) y algunas de las excepciones para la aplicación de los GPO. Asimismo, detalla las características de la Directiva de grupo que están incluidas con Windows Server 2008, que también facilitarán la administración de equipos y usuarios. ¿Qué son las directivas de seguridad? ¿Qué son las directivas de seguridad? Puntos clave La Directiva de grupo es una tecnología de Microsoft® que admite la administración de equipos y usuarios del tipo uno a varios en un entorno de Active Directory. Al editar la configuración de la Directiva de grupo y orientar un Objeto de directiva de grupo hacia los usuarios y equipos deseados, puede administrar valores de configuración específicos de manera centralizada. Así, es posible administrar prácticamente miles de equipos o usuarios cambiando sólo un GPO. Un Objeto de directiva de grupo es el conjunto de valores que se aplican a los usuarios y equipos seleccionados. La Directiva de grupo puede controlar muchos aspectos del entorno de un objeto de destino, incluyendo el registro, la seguridad del sistema de archivos NTFS, las directivas de auditoría y seguridad, la instalación y restricción de software, el entorno de escritorio, los scripts de inicio y fin de sesión, etc. Es posible asociar un GPO a múltiples contenedores en AD DS mediante la vinculación. Del mismo modo, es posible vincular múltiples GPO a un contenedor. Pregunta: ¿Cuándo sería útil la Directiva de grupo local en un entorno de dominio? Material de lectura adicional Artículo de Microsoft Technet: Directiva de grupo de Windows Server Configuración de Directiva de grupo Configuración de Directiva de grupo Puntos clave La Directiva de grupo tiene miles de valores configurables (alrededor de 2.400). Dichos valores pueden influir en casi todas las áreas del entorno de computación. No es posible aplicar todos los valores a todas las versiones de sistemas operativos Windows. Por ejemplo, muchos de los nuevos valores del sistema operativo Windows® XP Professional, Service Pack (SP) 2, como las directivas de restricción de software, sólo se aplicaban a ese sistema operativo. Asimismo, muchos de los cientos de valores nuevos sólo se aplican al sistema operativo Windows°Vista® y a Windows Server 2008. Si a un equipo se le aplica un valor que no puede procesar, simplemente lo ignora. Pregunta: ¿Cuál de las nuevas características le resultará más útil en su entorno? Material de lectura adicional Artículo de Microsoft Technet: Resumen de la configuración de la Directiva de grupo nueva o ampliada Artículo de Microsoft Technet: Novedades sobre Directivas de grupo en Windows Vista y Windows Server 2008 Cómo se aplican las directivas de grupo Cómo se aplican las directivas de grupo Puntos clave Los clientes inician la aplicación de la Directiva de grupo solicitando los GPO desde AD DS. Cuando se aplica una Directiva de grupo a un usuario o equipo, el componente cliente interpreta la directiva y realiza los cambios de entorno correspondientes. Dichos componentes se denominan Extensiones de cliente de directivas de grupo. A medida que se procesan los GPO, el proceso de Winlogon envía la lista de los GPO a procesar a todas las Extensiones de cliente de directivas de grupo. Entonces, la extensión usa la lista para procesar la directiva correcta cuando corresponda. Pregunta: ¿Cuáles serían algunas de las ventajas y desventajas de reducir el intervalo de actualización? Material de lectura adicional Artículo de Microsoft Technet: Directiva de grupo de Windows Server Excepciones al procesamiento de Directiva de grupo Excepciones al procesamiento de Directiva de grupo Puntos clave Existen diversos factores que pueden alterar el procesamiento normal de la Directiva de grupo; como por ejemplo el uso de una conexión lenta. Además, dependiendo de los diversos tipos de conexiones o sistemas operativos, varía la administración del procesamiento de Directiva de grupo. Pregunta: ¿En qué aspecto el Reconocimiento de ubicación de red (NLA) es superior al Protocolo de mensaje de control de Internet (ICMP) para la correcta aplicación de la Directiva de grupo? Material de lectura adicional Controlar las Extensiones de cliente mediante la Directiva de grupo Componentes de Directiva de grupo Componentes de Directiva de grupo Puntos clave Es posible usar las plantillas de Directiva de grupo para crear y establecer valores de Directiva de grupo, almacenados por los GPO. Los GPO se almacenan a su vez en el Contenedor de volumen de sistema (SYSVOL) en AD DS. El contenedor de SYSVOL funciona como repositorio central de los GPO. De este modo, una directiva podría estar relacionada con múltiples contenedores de Active Directory mediante la vinculación. Del mismo modo, varias directivas podrían vincularse a un contenedor. La Directiva de grupo cuenta con tres componentes principales: Plantillas de Directiva de grupo Contenedor de Directiva de grupo Objetos de directiva de grupo ¿Qué son los archivos ADM y ADMX? ¿Qué son los archivos ADM y ADMX? Puntos clave Archivos ADM Tradicionalmente, los archivos ADM se usan para definir los valores que puede configurar el administrador a través de la Directiva de grupo. Todos los sistemas operativos y los service pack Windows consecutivos incluyen una versión más actualizada de dichos archivos. Los archivos ADM usan su propio lenguaje de marcado. Por este motivo, es difícil personalizar archivos ADM. Las plantillas de ADM se encuentran en la carpeta %SystemRoot%\Inf. Archivos ADMX Windows Vista y Windows Server 2008 presentan un nuevo formato para mostrar valores de directivas basadas en el registro. Los valores de la directiva basada en el registro se definen usando un formato de archivo XML basado en los estándares, denominado archivos ADMX. Estos nuevos archivos reemplazan los archivos ADM. Las herramientas de Directiva de grupo de Windows Vista y Server 2008 continuarán reconociendo los archivos ADM personalizados que poseen en su ámbito anterior, pero omitirán todo archivo ADM que haya sido suplantado por archivos ADMX. Pregunta: ¿Cómo podría discernir si un GPO se ha creado o editado usando archivos ADM o ADMX? Material de lectura adicional Artículo de Microsoft Technet: Guía paso a paso para la administración de archivos ADMX de directiva de grupo Soporte técnico de Microsoft: Ubicación de los archivos ADM (Plantilla administrativa) en Windows ¿Qué es el almacén central? ¿Qué es el almacén central? Puntos clave Para empresas basadas en el dominio, los administradores pueden crear una ubicación de almacén central de archivos ADMX a la que puede obtener acceso cualquiera que tenga permiso para crear o editar Objetos de directiva de grupo. El editor de GPO de Windows Vista y Windows Server 2008 lee y muestra automáticamente la configuración de la directiva de Plantillas administrativas de archivos ADMX que el almacén central almacena en la memoria caché y omite los que están almacenados localmente. Si el controlador de dominio no se encuentra disponible, se usa el almacén central. Debe crearse el almacén central y actualizarse manualmente en un controlador de dominio. El uso de archivos ADMX dependerá del sistema operativo del equipo en el que se está creando o editando el GPO. Por lo tanto, el controlador de dominio puede ser un servidor con Windows 2000, Windows Server®°2003 o Windows Server 2008. El Servicio de replicación de archivos (FRS) replicará el controlador del dominio a otros controladores de ese dominio. Pregunta: ¿Cuál sería la ventaja de crear el almacén central en el emulador PDC? Material de lectura adicional Soporte técnico de Microsoft: Cómo crear un almacén central para plantillas administrativas de Directiva de grupo en Windows Vista Demostración: Configuración de objetos de directiva de grupo Demostración: Configuración de objetos de directiva de grupo Pregunta: Cuando se abre la GPMC en un equipo con Windows XP, no se ve la nueva configuración de Windows Vista en el Editor de objetos de directiva de grupo. ¿Por qué? Lección 2: Configuración del ámbito de la Directiva de grupo Lección 2: Configuración del ámbito de la Directiva de grupo Existen diversas técnicas en la Directiva de grupo que permiten a los administradores manipular el modo de aplicación de la Directiva de grupo. Es posible controlar el orden de procesamiento de directivas predeterminado mediante la aplicación de: bloqueo de la herencia, filtros de seguridad, filtros del Instrumental de administración de Windows (WMI), o usando la característica de bucle invertido. En esta lección se describen estas técnicas. Orden de procesamiento de directiva de grupo Orden de procesamiento de directiva de grupo Puntos clave No todos los GPO que se aplican a un usuario o equipo tienen la misma precedencia. Los GPO se aplican en un determinado orden. Dicho orden implica que los primeros valores que se procesan pueden sobrescribirse con valores que se procesan luego. Por ejemplo, una directiva aplicada a nivel de la OU para esa OU en particular puede revertir una directiva que restringe el acceso al Panel de control a nivel del dominio. Pregunta: Su organización tiene diversos dominios en múltiples sitios. Se desea aplicar una Directiva de grupo a todos los usuarios de dos dominios diferentes. ¿Cuál es la mejor manera de lograrlo? Material de lectura adicional Artículo de Microsoft Technet: Group Policy processing and precedence (Procesamiento y precedencia de la Directiva de grupo) (Procesamiento y precedencia de la Directiva de grupo) ¿Qué son las directivas de grupo local múltiples? ¿Qué son las directivas de grupo local múltiples? Puntos clave En los sistemas operativos de Microsoft anteriores al Windows Vista, sólo era posible establecer una configuración en la Directiva de grupo local. Dicha configuración se aplicaba a todos los usuarios que iniciaban sesión desde el equipo local. Si bien esto no ha cambiado, Windows Vista y Windows Server 2008 tienen una característica adicional. Con Windows Vista y Windows Server 2008, ahora los usuarios locales pueden establecer diversos valores de usuario. No obstante, continúa habiendo sólo una configuración de equipo disponible, que afecta a todos los usuarios. Pregunta: ¿Cuándo serían útiles los Objetos de directiva de grupo local múltiples en un entorno de dominio? Material de lectura adicional Artículo de Microsoft Technet: Step-by-Step Guide to Managing Multiple Local Group Policy Objects (Guía paso a paso para la administración de Objetos de directiva de grupo local múltiples) Opciones para modificar el procesamiento de la directiva de grupo Opciones para modificar el procesamiento de la directiva de grupo Puntos clave Puede haber ocasiones en las que el funcionamiento de la Directiva de grupo no sea el deseado. Por ejemplo, puede resultar necesario que determinados usuarios o grupos estén exentos de la configuración restrictiva o que un GPO tuviera que aplicarse sólo a equipos con determinadas características de hardware o software. De manera predeterminada, todos los valores de la Directiva de grupo se aplican al grupo de Usuarios autenticados de un determinado contenedor. Sin embargo, es posible modificar dicho comportamiento mediante diversos métodos. Pregunta: Ha creado una directiva de restricción de escritorio y la ha vinculado a la Unidad organizativa de finanzas. La Unidad organizativa de finanzas tiene varias unidades organizativas secundarias que poseen GPO independientes que revocan algunas de las restricciones de su escritorio. ¿Cómo se aseguraría de que todos los usuarios del Departamento de finanzas recibieran su directiva de escritorio? Material de lectura adicional Artículo de Microsoft Technet: Controlar el ámbito de los Objetos de directiva de grupo usando la GPMC Demostración: Configurar vínculos de objetos de directiva de grupo Demostración: Configurar vínculos de objetos de directiva de grupo Pregunta: Verdadero o falso: si se vincula un GPO a múltiples contenedores, la modificación de la configuración de uno de esos vínculos sólo afectará ese contenedor. Demostración: Configurar la herencia de directivas de grupo Demostración: Configurar la herencia de directivas de grupo Pregunta: Su dominio tiene dos directivas de nivel de dominio: GPO1 y GPO2. Debe asegurarse de que todas las unidades organizativas reciban el GPO 1; pero dos de ellas no pueden verse afectadas por el GPO2. ¿Cómo se puede lograr esto? Demostración: Filtración de objetos de directiva de grupo usando grupos de seguridad Demostración: Filtración de objetos de directiva de grupo usando grupos de seguridad Pregunta: Desea garantizar que una directiva específica vinculada a una unidad organizativa sólo repercutirá sobre los miembros del grupo global Administrador. ¿Cómo se lograría esto? Demostración: Filtrar objetos de directivas de grupo usando filtros de WMI Demostración: Filtrar objetos de directivas de grupo usando filtros de WMI Pregunta: Necesita implementar una aplicación de software que requiere que los equipos tengan más de 1 GB de RAM. ¿Cuál es la mejor manera de lograrlo? ¿Cómo funciona el procesamiento de bucle invertido? ¿Cómo funciona el procesamiento de bucle invertido? Puntos clave La configuración de la directiva del usuario suele derivar exclusivamente de los GPO asociados a la cuenta del usuario, según la ubicación de su AD DS. No obstante, el procesamiento de bucle invertido indica al sistema que debe aplicar un conjunto de valores del usuario alternativo al equipo para cualquier usuario que inicie sesión en un equipo afectado por dicha directiva. El procesamiento de bucle invertido está pensado para equipos de uso especial en los que se debe modificar la directiva de uso según el equipo, como es el caso de los equipos de lugares públicos o aulas. Al aplicar bucle invertido, se verán afectados todos los usuarios, excepto los locales. El bucle invertido funciona usando los dos modos que se presentan a continuación: Modo de fusión Modo de reemplazo Material de lectura adicional Artículo de Microsoft Technet: El procesamiento de bucle invertido con fusión o reemplazo Artículo de Microsoft Technet: Procesamiento de bucle invertido de Directiva de grupo Discusión: Configuración del ámbito de procesamiento de directiva de grupo Discusión: Configuración del ámbito de procesamiento de directiva de grupo Escenario Use el siguiente escenario para la discusión. Estructura física El Woodgrove Bank posee un único dominio que abarca dos sitios: la oficina central y Toronto. El sitio Toronto está conectado al sitio de la oficina central a través de un vínculo de alta velocidad. Dentro de la oficina central, hay una sucursal en Winnipeg. Esta oficina está conectada a la oficina central a través de un vínculo lento. En la oficina de Winnipeg hay cinco usuarios. La oficina de Winnipeg no cuenta con un controlador de dominio sino con un servidor SQL server. Esta organización abarca equipos con Windows XP Professional y Windows Vista. Requisitos Todos los equipos del dominio que tienen instalado el Windows XP Professional contarán con una pequeña aplicación de software distribuida a través de la Directiva de grupo. Los usuarios del dominio no deberían tener acceso a las propiedades de pantalla del escritorio. El grupo Administradores estará exento de esta restricción. Tanto a los usuarios de Winnipeg como a los de la sucursal de Toronto se les aplicarán más restricciones de escritorio. Ambas sucursales contarán con un equipo quiosco en el lobby para acceso público a Internet. Es necesario bloquear este equipo para que el usuario no pueda modificar la configuración. Las cuentas de sus equipos se ubican en las unidades organizativas de sus respectivas sucursales. Las cuentas de los equipos de todos los servidores, a excepción de los controladores de dominio, se ubicarán en la unidad organizativa del servidor o en una unidad organizativa anidada dentro de la unidad organizativa del servidor. Se debe aplicar la configuración de Seguridad de línea de base a todos los servidores. Se debe aplicar la configuración de Seguridad de línea de base a todos los servidores SQL server. Pregunta: ¿Cómo construiría un esquema de Directiva de grupo para cumplir con los requisitos? Lección 3: Evaluación de la aplicación de objetos de Directiva de grupo Lección 3: Evaluación de la aplicación de objetos de Directiva de grupo Los administradores de sistema necesitan saber de qué modo la configuración de la Directiva de grupo afecta los equipos y usuarios de un entorno administrado. Esta información es esencial cuando se planea la Directiva de grupo para una red y cuando se depuran Objetos de directiva de grupo existentes. Obtener la información puede ser una tarea compleja si se tiene en cuenta la gran cantidad de posibles combinaciones de sitios, dominios y unidades organizativas, y los numerosos tipos de configuraciones de Directiva de grupo que puede haber. Los filtros de los grupos de seguridad y la herencia, el bloqueo y la implementación de GPO complican aún más la tarea. La herramienta de la línea de comandos Resultados de directiva de grupo (GPResult.exe) y la GPMC ofrecen informes para simplificar dichas tareas. ¿Qué es el informe de directiva de grupo? ¿Qué es el informe de directiva de grupo? Puntos clave El informe de Directiva de grupo es una característica de la Directiva de grupo que facilita la implementación y la solución de problemas. Dos herramientas principales para la solución de problemas son la herramienta de la línea de comandos GPResult.exe y el asistente para Resultados de directiva de grupo de la GPMC. La característica de Resultados de directiva de grupo permite a los administradores determinar el conjunto de directivas resultante aplicado a un determinado equipo y/o usuario que ha iniciado sesión en ese equipo. Si bien estas herramientas son similares, cada una de ellas brinda distinta información. Pregunta: Desea saber qué controlador de dominio ofreció Directiva de grupo a un cliente. ¿Qué utilidad usaría para averiguarlo? Material de lectura adicional Recursos de Microsoft: Gpresult Artículo de Microsoft Technet: Resultados de directiva de grupo (Administrar Directivas de grupo con la Consola de administración de Directivas de grupo) ¿Qué es la modelación de directivas de grupo? ¿Qué es la modelación de directivas de grupo? Puntos clave Otro método para evaluar Directivas de grupo es usar el Asistente para Modelación de directivas de grupo en la GPMC para modelar cambios del entorno antes de hacerlos efectivos. El Asistente para Modelación de directivas de grupo calcula el efecto neto de los GPO. El Asistente para Modelación de directiva de grupo también simula, por ejemplo, la pertenencia al grupo de seguridad, la evaluación del filtro de WMI y las consecuencias de mover los objetos de un usuario o equipo a otra unidad organizativa o sitio. También es posible especificar la detección de vínculo lento, el procesamiento de bucle invertido, o ambos usando el Asistente para Modelación de directivas de grupo. De hecho, el proceso de Modelación de directiva de grupo se ejecuta en un controlador de dominio en su dominio de Active Directory. Como el asistente nunca consulta el equipo cliente, no puede considerar las directivas locales. Pregunta: ¿Qué simulaciones se pueden realizar con el Asistente para Modelación de directivas de grupo? Elija todas las que correspondan. 1. Procesamiento de bucle invertido 2. Mover un usuario a otro dominio del mismo bosque. 3. Filtro de grupo de seguridad 4. Detección de vínculo lento 5. Filtro de WMI 6. Todas las anteriores Material de lectura adicional Artículo de Microsoft Technet: Usar Modelación de directivas de grupo y Resultados de directivas de grupo para evaluar los valores de la Directiva de grupo Demostración: Cómo evaluar la aplicación de la directiva de grupo Demostración: Cómo evaluar la aplicación de la directiva de grupo Pregunta: Un usuario informa que no puede obtener acceso al Panel de control. Otros usuarios del departamento pueden obtener acceso al Panel de control. ¿Qué herramientas usaría para solucionar el problema? Lección 4: Administración de objetos de directiva de grupo Lección 4: Administración de objetos de Directiva de grupo La GPMC brinda mecanismos para realizar copias de seguridad, restaurar, migrar y copiar los GPO existentes. Es de vital importancia para conservar las instalaciones de su Directiva de grupo en caso de error o desastre. Ayuda a evitar la recreación manual de los GPO perdidos o dañados y a tener que realizar la planificación, evaluación e instalación de las fases nuevamente. Parte de su plan de operaciones de Directiva de grupo actual debe incluir copias de seguridad regulares de todos los GPO. La GPMC también permite copiar e importar Objetos de directiva de grupo tanto del mismo dominio como entre dominios. Tareas de administración de GPO Tareas de administración de GPO Puntos clave Al igual que con los datos críticos y los recursos relacionados con Active Directory, se deben realizar copias de seguridad de los GPO para proteger la integridad del AD DS y los GPO. La GPMC ofrece las opciones de copia de seguridad y restauración básicas, pero también brinda control adicional sobre los GPO para fines administrativos. Pregunta: Se realizan copias de seguridad regulares de los GPO. Un administrador cambió varios valores del GPO incorrecto inadvertidamente. ¿Cuál es la manera más rápida de resolver el problema? Material de lectura adicional Biblioteca de Windows Server: Copia de seguridad, restauración, migración y copia de los GPO. Artículo de Microsoft Technet: Importar usando la GPMC ¿Qué es un GPO de inicio? ¿Qué es un GPO de inicio? Puntos clave Los GPO de inicio almacenan un grupo de valores de la Directiva de la plantilla administrativa de un solo objeto. Los GPO de inicio sólo contienen Plantillas administrativas. Es posible importar y exportar los GPO de inicio para distribuirlos a otras áreas de la empresa. Al crear un nuevo GPO desde un GPO de inicio, el nuevo GPO posee todos los valores de la Plantilla administrativa que el GPO de inicio definió. De este modo, los GPO de inicio funcionan como plantillas para crear GPO; lo que ayuda a obtener consistencia en entornos distribuidos. Es posible exportar los GPO de inicio individuales a archivos .Cab para facilitar la distribución. Luego, es posible volver a importar estos archivos a la GPMC La GPMC almacena los GPO de inicio en una carpeta denominada GPO de inicio, ubicada en SYSVOL. Material de lectura adicional Temas de ayuda: Trabajar con GPO de inicio Demostración: Cómo copiar un GPO Demostración: Cómo copiar un GPO Pregunta: ¿Cuál es la ventaja de copiar un GPO y vincularlo a una unidad organizativa sobre vincular el GPO original a múltiples unidades organizativas? Demostración: Realización de copias de seguridad y restauración de GPO Demostración: Realización de copias de seguridad y restauración de GPO Pregunta: ¿Qué permisos se necesitan para realizar una copia de seguridad de un GPO? Demostración: Importación de un GPO Demostración: Importación de un GPO Pregunta: ¿Cuál es el propósito de una tabla de migración? Migración de objetos de directiva de grupo Migración de objetos de directiva de grupo Puntos clave El Migrador ADMX permite convertir plantillas de ADM personalizadas a plantillas ADMX. También se crea el archivo ADML asociado. Los archivos convertidos se guardan en la carpeta de documentos del usuario de manera predeterminada. Una vez creados los nuevos archivos, se debe copiar el archivo ADMX en la carpeta Definiciones de directiva o en otro almacén central, y copiar el archivo ADML en la subcarpeta correspondiente. Entonces, las nuevas Plantillas administrativas comienzan a estar disponibles en la GPMC. Material de lectura adicional Sitio web de Microsoft: Migrador ADMX Lección 5: Delegación del control administrativo de Directiva de grupo Lección 5: Delegación del control administrativo de directivas de grupo En un ámbito distribuido, es habitual encontrar diversos grupos delegados a la realización de diferentes tareas administrativas. La Administración de directivas de grupo es una de las tareas administrativas que se pueden delegar. Opciones para delegar el control de los GPO Opciones para delegar el control de los GPO Puntos clave La delegación permite la distribución de la carga de trabajo administrativo a través de la empresa. Un grupo podría encargarse de la creación y edición de los GPO, mientras otro grupo realiza los informes y análisis. Un grupo independiente podría encargarse de los filtros de WMI. Es posible delegar de manera independiente las siguientes tareas de Directiva de grupo: Crear los GPO Editar los GPO Administrar vínculos de Directiva de grupo para un sitio, dominio o unidad organizativa Realizar análisis de Modelación de directiva de grupo en un determinado dominio o unidad organizativa Leer los datos de Resultados de directivas de grupo para objetos en un determinado dominio o unidad organizativa Crear filtros de WMI en un dominio Pregunta: Se realizan copias de seguridad regulares de los GPO. Un administrador cambió varios valores del GPO incorrecto inadvertidamente. ¿Cuál es la manera más rápida de resolver el problema? Material de lectura adicional Artículo de Microsoft Technet: Delegar la Directiva de grupo Demostración: Cómo delegar el control administrativo de los GPO Demostración: Cómo delegar el control administrativo de los GPO Pregunta: Un usuario que se encuentra en un dominio diferente del bosque necesita un permiso para crear Objetos de directiva de grupo (GPO) en su dominio. ¿Cuál es la mejor manera de lograrlo? Laboratorio: Creación y configuración de objetos de Directiva de grupo Laboratorio: Creación y configuración GPO Escenario El Woodgrove Bank ha decidido implementar la Directiva de grupo para administrar los escritorios de los usuarios y configurar la seguridad de los equipos. La organización ya ha implementado una configuración de unidades organizativas que incluye unidades organizativas de máximo nivel agrupadas por ubicación, con unidades organizativas adicionales dentro de cada ubicación para los distintos departamentos. Las cuentas de usuario se encuentran dentro del mismo contenedor que las cuentas del equipo de la estación de trabajo. Las cuentas del equipo del servidor se encuentran distribuidas entre diversas unidades organizativas. El administrador de la empresa ha creado un plan de implementación de GPO. Se le ha solicitado que cree GPO para que se puedan aplicar determinadas directivas a todos los objetos de dominio. Algunas directivas son obligatorias. También desea crear valores de directiva que se apliquen sólo a subconjuntos de objetos de dominio y desea que las directivas de la configuración de los equipos y de los usuarios sean independientes. Debe delegar la administración de GPO a los administradores dentro de cada empresa. Nota: Algunas de las tareas de este laboratorio están diseñadas para ilustrar las técnicas de administración y configuración de GPO y puede que no siempre sigan los procedimientos recomendados. Requisitos de Directiva de grupo Los usuarios del dominio no tendrán acceso al menú Ejecutar. La directiva se aplicará a todos los usuarios, excepto a los de la unidad organizativa Admins TI. Los ejecutivos no tendrán acceso a la configuración de pantalla de escritorio. Los usuarios de las sucursales de NYC, Miami y Toronto no tendrán acceso al Panel de control. Todos los administradores de sucursales estarán exentos de esta restricción. Se aplicará a todos los equipos del dominio una directiva de Seguridad de línea de base, obligatoria, que no mostrará el nombre del último usuario que ha iniciado sesión. A los equipos con Windows Vista o Windows XP se les aplicará una configuración adicional para que esperen la red en el inicio. Los usuarios del grupo de administradores tendrán la URL de soporte técnico de Microsoft en Favoritos. En los equipos quiosco de las sucursales se habilitará el procesamiento de bucle invertido. Ejercicio 1: Creación y configuración de objetos de directiva de grupo Ejercicio 1: Creación y configuración de objetos de directiva de grupo Creará y vinculará los GPO que especifique el diseño del administrador de la empresa. Las tareas incluyen modificar la directiva de domino predeterminada y crear directivas vinculadas a unidades organizativas y sitios específicos. Las principales tareas se realizarán como se detalla a continuación: 1. Encender e iniciar la sesión en NYC-DC1. 2. Crear los GPO. 3. Configurar los GPO 4. Vincular los GPO. Tarea 1: Encender e iniciar la sesión en NYC-DC1 En la máquina host, haga clic en Inicio, elija Todos los programas, seleccione Microsoft Learning y luego, haga clic en 6824A. Se inicia Iniciador de laboratorio. En Iniciador de laboratorio, junto a 6824A-NYC-DC1, haga clic en Inicio. Inicie sesión en NYC- DC1 como Administrador usando la contraseña Pa$$w0rd. Minimice la ventana Iniciador de laboratorio. Tarea 2: Crear los GPO Use la GPMC para hacer lo siguiente: Crear un GPO llamado Restringir panel de control. Crear un GPO llamado Restringir pantalla del escritorio. Crear un GPO llamado Restringir comando de ejecución. Crear un GPO llamado Seguridad de línea de base. Crear un GPO llamado Seguridad de Vista y XP Crear un GPO llamado Admin Favoritos. Crear un GPO llamado Seguridad de equipo quiosco Tarea 3: Configurar los GPO 1. Edite el GPO Restringir comando ejecutar para impedir el acceso al menú Ejecutar. 2. Edite el GPO Seguridad de línea de base de manera tal que no muestre el nombre del último usuario que ha iniciado sesión. 3. Edite el GPO Seguridad de Vista y XP para que siempre espere que la red reinicie los equipos. 4. Edite el GPO Admin Favoritos de manera tal que incluya la URL de soporte técnico de Microsoft (http://support.microsoft.com) en los Favoritos de Internet. 5. Edite el GPO Restringir panel de control para evitar el acceso de los usuarios al Panel de control. 6. Edite el GPO Restringir pantalla de escritorio para evitar el acceso a la configuración de pantalla de escritorio. 7. Edite el GPO Seguridad de equipo quiosco de manera tal que use el procesamiento de bucle invertido y oculte e inhabilite todos los elementos del escritorio al usuario que ha iniciado sesión. Nota: Algunos de los pasos de esta tarea, están dispuestos en otro orden en la guía de laboratorio, ambos son correctos, solo se encuentran en un orden diferente. Tarea 4: Vincular los GPO Use la GPMC para hacer lo siguiente: Vincular el GPO Restringir comando ejecutar al contenedor de dominio. Vincular el GPO Seguridad de línea de base al contenedor de dominio. Vincular el GPO Seguridad de Vista y XP al contenedor de dominio. Vincular el GPO Seguridad del equipo quiosco al contenedor de dominio. Vincular el GPO Admin Favoritos a la unidad organizativa Admin. Vincular el GPO Restringir panel de control a las unidades organizativas de Miami, NYC y Toronto. Vincular el GPO Restringir pantalla del escritorio a la unidad organizativa Ejecutivos. Resultado: Al finalizar este ejercicio, habrá creado y configurado Objetos de directiva de grupo. Ejercicio 1: Respuestas claves (pasos detallados) Ejercicio 2: Administración del ámbito de aplicación de GPO Ejercicio 2: Administración del ámbito de aplicación de GPO En este ejercicio, se configurará el ámbito de la configuración de GPO basada en el diseño del administrador de la empresa. Las tareas incluyen deshabilitar partes de los GPO, bloquear e implementar herencia y aplicar filtros en base a los grupos de seguridad y a los filtros de WMI. Las principales tareas se realizarán como se detalla a continuación: 1. Configurar la administración de directivas de grupo para el contenedor de dominio. 2. Configurar la administración de Directivas de grupo para la unidad organizativa Admins TI 3. Configurar la administración de Directivas de grupo para las unidades organizativas de las sucursales. 4. Crear y aplicar un filtro de WMI para el GPO Seguridad de Vista y XP. Tarea 1: Configurar la administración de directivas de grupo para el contenedor de dominio 1. Configure el vínculo Seguridad de línea de base para que esté en modo Exigido y deshabilitar la directiva para el Usuario. 2. Configure Seguridad de Vista y XP para que esté en modo Exigido. 3. Use el filtro de pertenencia al grupo de seguridad para configurar el GPO Seguridad del equipo quiosco de manera tal que se aplique sólo al grupo global Equipos quiosco. Tarea 2: Configurar la administración de Directivas de grupo para la unidad organizativa Admins TI Bloquee la herencia en la unidad organizativa Admins TI de manera tal que los usuarios de Admins TI estén exentos del GPO Restringir comando ejecutar. Tarea 3: Configurar la administración de Directivas de grupo para las unidades organizativas de las sucursales Use el filtro de pertenencia al grupo de seguridad para configurar el GPO Restringir panel de control de manera tal que deniegue el permiso Aplicar directiva de grupo a los siguientes grupos: Mia_GerentesSucursalGG NYC_GerentesSucursalGG Tor_GerentesSucursalGG Resultado: Al finalizar este ejercicio, habrá configurado el ámbito de la configuración de los GPO. Ejercicio 2: Respuestas claves (pasos detallados) Ejercicio 3: Comprobación de la aplicación de GPO Ejercicio 3: Comprobación de la aplicación de GPO En este ejercicio se comprobará la aplicación de los GPO para garantizar que los GPO se apliquen como se especifica en el diseño. Los estudiantes iniciarán sesión como usuarios específicos y también usarán la Modelación de directivas de grupo y el Conjunto de directivas resultante (RSoP) para comprobar que los GPO se estén aplicando correctamente. Las principales tareas se realizarán como se detalla a continuación: 1. Iniciar NYC-CL1. 2. Comprobar que un usuario de la sucursal de Miami está recibiendo la directiva correcta. 3. Comprobar que un administrador de la sucursal de Miami está recibiendo la directiva correcta. 4. Comprobar que un usuario de la unidad organizativa Admins TI está recibiendo la directiva correcta. 5. Comprobar que un usuario de la unidad organizativa ejecutiva está recibiendo la directiva correcta. 6. Comprobar que no aparezca el nombre de usuario. 7. Usar la modelación de Directiva de grupo para comprobar la configuración del equipo quiosco. Tarea 1: Iniciar NYC-CL1 Tarea 2: Comprobar que un usuario de la sucursal de Miami está recibiendo la directiva correcta 1. Inicie sesión en NYC-CL1 como Anton, usando la contraseña Pa$$w0rd. 2. Asegúrese de que no haya vínculo al menú Ejecutar en la carpeta Accesorios en el menú Inicio. 3. Asegúrese de que no haya vínculo al Panel de control en el menú Inicio. 4. Cierre sesión. Tarea 3: Comprobar que un administrador de la sucursal de Miami está recibiendo la directiva correcta 1. Inicie sesión en NYC-CL1 como Roya, usando la contraseña Pa$$w0rd. 2. Asegúrese de que no haya vínculo al menú Ejecutar en la carpeta Accesorios del menú Inicio. 3. Asegúrese de que aparezca un vínculo a Panel de control en el menú Inicio. 4. Cierre sesión. Tarea 4: Comprobar que un usuario de la unidad organizativa Admins TI está recibiendo la directiva correcta 1. Inicie sesión en NYC-CL1 como Betsy, usando la contraseña Pa$$w0rd. 2. Asegúrese de que un vínculo al menú Ejecutar aparezca en la carpeta Accesorios en el menú Inicio. 3. Asegúrese de que aparezca un vínculo a Panel de control en el menú Inicio. 4. Inicie Explorador de Internet, abra Favoritos y asegúrese de que aparezca el vínculo a Soporte técnico. 5. Cierre sesión. Tarea 5: Comprobar que un usuario de la unidad organizativa Executivos está recibiendo la directiva correcta 1. Inicie sesión en NYC-CL1 como Chase, usando la contraseña Pa$$w0rd. 2. Asegúrese de que no haya vínculo al menú Ejecutar en la carpeta Accesorios en el menú Inicio. 3. Asegúrese de que aparezca un vínculo a Panel de control en el menú Inicio. 4. Asegúrese de que no haya acceso a la configuración de pantalla de escritorio. Pista: Al intentar obtener acceso a la configuración de pantalla, recibirá un mensaje que informa que la función ha sido deshabilitada. 5. Cierre sesión. Tarea 6: Comprobar que no aparezca el nombre de usuario. Compruebe que no aparezca el nombre del último usuario que inició sesión. Tarea 7: Usar la modelación de Directiva de grupo para comprobar la configuración del equipo quiosco 1. Inicie sesión en NYC-DC1 como Administrador, usando la contraseña Pa$$w0rd. 2. Inicie la GPMC, haga clic con el botón secundario en la carpeta Modelado de directivas de grupo, haga clic en el Asistente de modelado de directivas de grupo y luego haga clic en Siguiente dos veces. 3. En la pantalla de Selección de usuario y equipo, haga clic en Equipo, escriba Woodgrovebank\NYC-CL1 y haga clic en Siguiente tres veces. 4. En la pantalla de Grupos de seguridad del equipo, haga clic en Agregar. 5. En el cuadro de diálogo Seleccionar grupos, escriba Equipos quiosco y luego haga clic en Siguiente. 6. En la pantalla de Filtros WMI para equipos, haga clic en Siguiente dos veces, haga clic en Finalizar y luego visualice el informe. Resultado: Al finalizar este ejercicio, habrá comprobado y verificado una aplicación de GPO. Ejercicio 3: Respuestas claves (pasos detallados) Ejercicio 4: Administración de GPO Ejercicio 4: Administración de GPO En este ejercicio, se usará la GPMC para hacer copias de seguridad, restaurar e importar Objetos de directiva de grupo. Las principales tareas se realizarán como se detalla a continuación: 1. Hacer una copia de seguridad de una directiva individual. 2. Hacer copia de seguridad de todos los GPO. 3. Eliminar y restaurar un GPO individual. 4. Importar un GPO. Tarea 1: Hacer una copia de seguridad de una directiva individual 1. En la GPMC, abra la carpeta Carpeta de directiva de grupo. 2. Haga clic con el botón secundario en la directiva Restringir panel de control y luego haga clic en Copia de Seguridad. 3. Vaya hasta D:\6824\Copia de Seguridad GPO. 4. Haga clic en Hacer Copia de Seguridad y luego haga clic en Aceptar después de que la copia de seguridad se haya realizado correctamente. Tarea 2: Hacer copia de seguridad de todos los GPO 1. Haga clic con el botón secundario en la carpeta Carpeta de directivas de grupo y luego haga clic en Hacer Copias de seguridad de todos. 2. Asegúrese de que la ubicación de la copia de seguridad sea D:\6824\Copias de Seguridad GPO. Confirme la eliminación. Tarea 3: Eliminar y restaurar un GPO individual 1. Haga clic con el botón secundario en la directiva Admin Favoritos y luego haga clic en Borrar Haga clic en Sí y luego haga clic en Aceptar cuando la eliminación se haya realizado correctamente. 2. Haga clic con el botón secundario en la carpeta Carpeta de directivas de grupo y luego haga clic en Administrar copias de seguridad. 3. Restaure el GPO Admin Favoritos. 4. Confirme que la directiva Admin Favoritos aparece en la carpeta Objetos de directivas de grupo. Tarea 4: Importar un GPO 1. Cree un nuevo GPO denominado Importar a la carpeta de directivas de grupo. 2. Haga clic con el botón secundario en el GPO Importar y luego haga clic en Importar configuración. 3. En el Asistente para Importar configuración, haga clic en Siguiente. 4. En la ventana Hacer Copia de seguridad del GPO, haga clic en Siguiente. 5. Asegúrese de que la ubicación de la carpeta Copia de seguridad sea D:\6824\Copias de Seguridad GPO. 6. En la pantalla GPOde origen, haga clic en Restringir panel de control y luego haga clic en Siguiente 7. Cierre Importar configuración del asistente. 8. Haga clic en el Importar GPO, haga clic en la ficha Configuraciones y luego asegúrese de que el valor Prohibir acceso al panel de control esté en posición Habilitado. Resultado: Al finalizar este ejercicio, habrá hecho copias de seguridad, restaurado e importado Objetos de directiva de grupo. Ejercicio 4: Respuestas claves (pasos detallados) Ejercicio 5: Delegación del control administrativo de los GPO Ejercicio 5: Delegación del control administrativo de los GPO En este ejercicio, delegará el control administrativo de los GPO basado en el diseño del administrador de la empresa. Las tareas incluyen configurar permisos para crear, editar y vincular Objetos de directiva de grupo. Luego se comprobará la configuración de permisos. Las principales tareas se realizarán como se detalla a continuación: 1. Otorgar a Betsy el derecho de crear Objetos de directiva de grupo en el dominio. 2. Delegar a Betsy el derecho de editar el Importar GPO. 3. Delegar a Betsy el derecho de vincular Objetos de directiva de grupo a la unidad organizativa Ejecutivos. 4. Permitir el inicio de sesión de los usuarios de dominio en los controladores de dominio. 5. Comprobar la delegación. 6. Cerrar todas las máquinas virtuales y descartar los discos para deshacer. Tarea 1: Otorgar a Betsy el derecho de crear Objetos de directiva de grupo en el dominio 1. Seleccione la carpeta Objetos de directivas de grupo, haga clic en la ficha de Delegación y luego haga clic en Agregar 2. En el cuadro de diálogo Seleccionar usuarios, escriba Betsy en el campo Nombre del objeto y luego haga clic en Aceptar. Tarea 2: Delegar a Betsy el derecho de editar el GPO Importar 1. En la carpeta Objetos de directivas de grupo, seleccione la GPO Importar, haga clic en la ficha Delegación y luego haga clic en Agregar 2. En el cuadro de diálogo Seleccionar usuarios, escriba Betsy en el campo y luego haga clic en Aceptar. 3. En el cuadro de diálogo Agregar grupo o usuario, seleccione Editar configuración en la lista desplegable y luego haga clic en Aceptar. Tarea 3: Delegar a Betsy el derecho de vincular Objetos de directiva de grupo a la unidad organizativa Ejecutivos 1. Seleccione la unidad organizativa Ejecutivos, haga clic en la ficha Delegación y luego haga clic en Agregar. 2. En el cuadro de diálogo Seleccionar usuarios, escriba Betsy en el campo Nombre del objeto y luego haga clic en Aceptar. 3. En el cuadro de diálogo Agregar grupo o usuario, seleccione Sólo este contenedor y haga clic en Aceptar. Tarea 4: Permitir el inicio de sesión de los Usuarios de dominio en los controladores de dominio Nota: Este paso se incluye en el laboratorio para permitirle comprobar los permisos delegados. Para obtener resultados óptimos, debe instalar las herramientas de administración en una estación de trabajo de Windows en lugar de permitir a los Usuarios de dominio iniciar sesión en los controladores de dominio. 1. En NYC-DC1, inicie Administración de directiva de grupo y luego edite la Default Domain Controllers Policy. 2. En la ventana Editor de administración de directiva de grupo, ingrese en la carpeta Asignación de derechos del usuario. 3. Haga doble clic en Permitir inicio de sesión localmente. En el cuadro de diálogo Propiedades de Permitir inicio de sesión localmente, haga clic en Agregar grupo o usuario. 4. Conceda al grupo Usuarios de dominio el derecho de iniciar la sesión local. 5. Abra un símbolo del sistema, escriba gpupdate /force y luego presione Enter. Tarea 5: Comprobar la delegación 1. Inicie sesión en NYC-CL1 como Betsy. 2. Abra una Consola de Administración de directiva de grupo. 3. Haga clic con el botón secundario en la carpeta Objetos de directiva de grupo y luego haga clic en Nuevo. 4. Cree una nueva directiva denominada Prueba. Esta operación se completará correctamente. 5. Haga clic con el botón secundario en el GPO Importar y luego haga clic en Editar Esta operación se completará correctamente. 6. Haga clic con el botón secundario en la unidad organizativa Ejecutivos y vincule a ésta el GPO Prueba. Esta operación se completará correctamente. 7. Haga clic con el botón secundario en la directiva de Admin Favoritos e intente editarla. No es posible realizar esta operación. 8. Cierre la GPMC. Tarea 6: Cerrar todas las máquinas virtuales y descartar los discos para deshacer 1. Por cada máquina virtual que se encuentre en funcionamiento, cierre la ventana Control remoto para máquina virtual. 2. En el cuadro Cierre, seleccione Apagar el equipo y descartar los cambios y después haga clic en Aceptar. 3. Cierre el Iniciador de laboratorio 6824A. Resultado: Al finalizar este ejercicio, habrá hecho copias de seguridad, restaurado e importado Objetos de directiva de grupo. Ejercicio 5: Respuestas claves (pasos detallados) Revision y conclusiones del modulo Revisión y conclusiones del módulo Observaciones Tenga en cuenta las siguientes observaciones al crear y configurar la Directiva de grupo: Múltiples objetos de directiva de grupo local Los archivos ADMX y ADML reemplazan los archivos ADM Métodos para controlar la directiva de grupo, la herencia, los filtros y la implementación Herramientas e informes de la Directiva de grupo Preguntas de revisión 1. Desea forzar la aplicación de determinados valores de Directiva de grupo a través de un vínculo lento. ¿Qué se puede hacer? 2. Debe asegurarse de que se aplique una directiva de nivel de dominio; pero el grupo global Administrators debe estar excluido de dicha directiva. ¿Cómo se lograría esto? 3. Desea que se habiliten determinadas plantillas administrativas a todos los GPO que contienen valores de usuario. Debe ser posible enviar dichas directivas a otros administradores de la empresa. ¿Cuál es el mejor método? 4. Desea controlar el acceso a los dispositivos de almacenamiento extraíbles en todas las estaciones de trabajo cliente a través de la Directiva de grupo. ¿Es posible usar la Directiva de grupo para lograrlo? Modulo 6 : Configuración de entornos de usuario usando la directiva de grupo Módulo 6 Configuración de entornos de usuario usando la directiva de grupo Este módulo es una introducción a la tarea de configurar el entorno de usuario usando la Directiva de grupo. Específicamente, lo que este módulo describe son las destrezas y el conocimiento necesarios para usar la Directiva de grupo para configurar la redirección de carpetas y también para saber cómo usar scripts. También describe de qué modo las plantillas administrativas afectan Windows Vista y Windows Server 2008 y cómo implementar software usando la Directiva de grupo. Lección 1: Establecimiento de la configuración de la Directiva de grupo Lección 2: Configuración de los scripts y la redirección de carpetas usando la Directiva de grupo Lección 3: Configuración de plantillas administrativas Lección 4: Configuración de las preferencias de la Directiva de grupo Lección 5: Implementación de software usando la Directiva de grupo Laboratorio: Configuración de entornos de usuario usando la Directiva de grupo Lección 1: Establecimiento de la configuración de la Directiva de grupo Lección 1: Establecimiento de la configuración de la directiva de grupo La Directiva de grupo puede ofrecer distintos tipos de configuración. En el caso de algunas configuraciones, es simplemente una cuestión de “activarlas” mientras que en otros casos son más complejas de configurar. Esta lección describe cómo establecer las diversas configuraciones de la Directiva de grupo. Opciones para establecer la configuración de la directiva de grupo Opciones para establecer la configuración de la directiva de grupo Puntos clave Para que la configuración de una Directiva de grupo produzca efecto alguno, se la debe establecer. La mayoría de las configuraciones de la Directiva de grupo cuenta con tres estados. Éstos son: Habilitada Deshabilitada Sin configurar También se deben establecer los valores para algunas de las configuraciones de la Directiva de grupo. Por ejemplo, se deben configurar las necesidades y valores de la pertenencia restringida a grupos, para los grupos y usuarios. Pregunta: Una directiva en el nivel de dominio restringe el acceso al Panel de control. Se desea que los usuarios de la unidad organizativa (OU) Administradores tengan acceso al Panel de control, pero no se desea bloquear la herencia. ¿Cómo se puede lograr esto? Material de lectura adicional Artículo de Microsoft Technet: How Core Group Policy Works (Cómo funciona Demostración: Establecimiento de la configuración de la Directiva de grupo usando el Editor de directiva de grupo Demostración: Establecimiento de la configuración de la Directiva de grupo usando el Editor de directiva de grupo Pregunta: ¿Cómo se puede impedir que una directiva de nivel inferior invierta la configuración de una directiva de nivel superior? Lección 2: Configuración de los scripts y la redirección de carpetas usando la Directiva de grupo Lección 2: Configuración de scripts y la redirección de carpetas usando directivas de grupo Windows Server 2008 permite usar la Directiva de grupo para distribuir scripts a los usuarios y a los equipos. También se pueden redirigir carpetas que se encuentran en el perfil del usuario, desde el disco duro local del usuario a un servidor central. Opciones de configuración para la redirección de carpetas Puntos clave Existen tres tipos de configuración disponibles para la redirección de carpetas: ninguna, básica y avanzada. La Redirección básica de carpetas apunta a usuarios que deban redirigir carpetas a un área común y a usuarios que necesitan que sus datos sean privados. La Redirección avanzada permite especificar diferentes ubicaciones de red para diferentes grupos de seguridad de Active Directory. Pregunta: Los usuarios de un mismo departamento suelen iniciar sesión en equipos diferentes. Necesitan tener acceso a la carpeta Mis documentos. También necesitan que los datos sean privados. ¿Qué configuración de redirección de carpetas elegiría? Material de lectura adicional Artículo de Microsoft Technet: Recomendaciones para la Redirección de carpetas ¿Qué son los scripts de directiva de grupo? ¿Qué son los scripts de directiva de grupo? Puntos clave Los scripts de la Directiva de grupo se pueden usar para realizar una gran cantidad de tareas. Puede que se desee realizar tareas cada vez que se inicia o apaga el equipo o cuando los usuarios cierran o inician sesión. Por ejemplo, se pueden usar scripts para limpiar los escritorios cuando los usuarios cierran sesión y apagan sus equipos, o eliminar el contenido de directorios temporales o limpiar el archivo de paginación para que el entorno sea más seguro. Pregunta: Se mantienen scripts de inicio de sesión en una carpeta compartida en la red. ¿Cómo podemos asegurarnos de que esos scripts estarán siempre disponibles para los usuarios, en todas las ubicaciones?. Material de lectura adicional Artículo de Microsoft Technet: Los dos aspectos del procesamiento de extensión de la secuencia de comandos de Directiva de grupo Artículo de Microsoft Technet: Los dos aspectos del procesamiento de extensión de la secuencia de comandos de Directiva de grupo (Parte 2) Soporte técnico de Microsoft: Descripción general de los scripts para inicio de sesión, cierre de sesión, inicio y apagado, en Windows 2000. Los scripts de la Directiva de grupo se pueden usar para realizar una gran cantidad de tareas. Puede que se desee realizar tareas cada vez que se inicia o apaga el equipo o cuando los usuarios cierran o inician sesión. Por ejemplo, se pueden usar scripts para limpiar los escritorios cuando los usuarios cierran sesión y apagan sus equipos, o eliminar el contenido de directorios temporales o limpiar el archivo de paginación para que el entorno sea más seguro. Pregunta: Se mantienen scripts de inicio de sesión en una carpeta compartida en la red. ¿Cómo podemos asegurarnos de que esos scripts estarán siempre disponibles para los usuarios, en todas las ubicaciones? Material de lectura adicional Artículo de Microsoft Technet: Los dos aspectos del procesamiento de extensión de la secuencia de comandos de Directiva de grupo Artículo de Microsoft Technet: Los dos aspectos del procesamiento de extensión de la secuencia de comandos de Directiva de grupo (Parte 2) Soporte técnico de Microsoft: Descripción general de los scripts para inicio de sesión, cierre de sesión, inicio y apagado, en Windows 2000. Demostración: Configuración de scripts usando Directiva de grupo Demostración: Configuración de scripts usando Directiva de grupo Pregunta: ¿Qué otro método puede usarse para asignar scripts de inicio de sesión a los usuarios? ¿Qué es la redirección de carpetas? ¿Qué es la redirección de carpetas? Puntos clave Cuando se redirigen carpetas se cambia la ubicación de almacenamiento de la carpeta, desde el disco duro local del equipo del usuario a una carpeta compartida en un servidor de archivos en la red. Luego de redirigir una carpeta a un servidor de archivos, al usuario aún le aparece como si ésta estuviera almacenada en el disco duro local. La redirección de carpetas hace que las tareas de administración y realización de copias de seguridad de datos sean más fáciles. Al redirigir carpetas, se puede garantizar el acceso de los usuarios a los datos, sin importar desde qué equipos inician sesión. Pregunta: Escriba algunas desventajas de la redirección de carpetas. Material de lectura adicional Artículo de Microsoft Technet: La característica Redirección de carpetas en Windows MSDN: IE7 en Vista: Redirección de carpetas a Favoritos en una misma máquina Descargas de Microsoft: Administrar la guía para la implementación de datos de usuarios móviles Opciones de configuración para la redirección de carpetas Opciones de configuración para la redirección de carpetas Puntos clave Existen tres tipos de configuración disponibles para la redirección de carpetas: ninguna, básica y avanzada. La Redirección básica de carpetas apunta a usuarios que deban redirigir carpetas a un área común y a usuarios que necesitan que sus datos sean privados. La Redirección avanzada permite especificar diferentes ubicaciones de red para diferentes grupos de seguridad de Active Directory. Pregunta: Los usuarios de un mismo departamento suelen iniciar sesión en equipos diferentes. Necesitan tener acceso a la carpeta Mis documentos. También necesitan que los datos sean privados. ¿Qué configuración de redirección de carpetas elegiría? Material de lectura adicional Artículo de Microsoft Technet: Recomendaciones para la Redirección de carpetas Opciones para brindar seguridad a las carpetas redirigidas Opciones para brindar seguridad a las carpetas redirigidas Puntos clave Mientras que debe crear, en forma manual, una carpeta de red compartida en la cual almacenar las carpetas redirigidas, la redirección de carpetas puede crear las carpetas redirigidas del usuario por usted. Cuando se usa esta opción, los permisos apropiados se establecen en forma automática. Si se crean carpetas manualmente, se deben conocer los permisos apropiados. Pregunta: ¿Qué pasos se podrían seguir para proteger los datos mientras se encuentran en tránsito entre el cliente y el servidor? Material de lectura adicional Soporte técnico de Microsoft: Característica Redirección de carpetas en Windows Biblioteca de Windows Server:Consideraciones de seguridad para configurar la redirección de carpetas Demostración: Configuración de la redirección de carpetas Demostración: Configuración de la redirección de carpetas Pregunta: Los usuarios de un mismo departamento desean tener acceso a los Favoritos de Internet de los demás. ¿Qué opciones de redirección de carpetas elegiría? Lección 3: Configuración de plantillas administrativas Lección 3: Configuración de Plantillas administrativas Los archivos de plantillas administrativas proveen la mayor parte de la configuración de directivas disponible, que está diseñada para modificar claves específicas del registro. Esto se conoce como directiva basada en el registro. En muchas aplicaciones, el uso de las directivas basadas en el registro que proveen los archivos de plantillas administrativas, es la mejor manera de ofrecer compatibilidad para la administración centralizada de los valores de directivas y la más sencilla. En esta lección se describe cómo configurar plantillas administrativas. ¿Qué son las Plantillas administrativas? ¿Qué son las Plantillas administrativas? Puntos clave Las Plantillas administrativas permiten tener el control del entorno del sistema operativo y la experiencia del usuario. Existen dos tipos de plantillas administrativas: una para los usuarios y una para los equipos. Las Plantillas administrativas son el principal medio para establecer la configuración del registro del equipo cliente por medio de la Directiva de grupo. Las Plantillas administrativas son un repositorio de los cambios basados en el registro. Al usar las secciones de Plantillas administrativas de GPO, se puede implementar una gran cantidad de modificaciones tanto al equipo (el subárbol HKEY_MÁQUINA-LOCAL del registro) como al usuario (el subárbol HKEY_USUARIO_ACTUAL del registro) del registro. Pregunta: ¿Qué secciones de las Plantillas administrativas resultarán más útiles en su entorno? Material de lectura adicional Artículo de Microsoft Technet: Usar archivos de Plantillas administrativas con Directiva de grupo basada en el Registro. Artículo de Microsoft Technet: Referencia técnica de la extensión de las Plantillas administrativas Demostración: Configuración de Plantillas administrativas Demostración: Configuración de Plantillas administrativas Pregunta: Se debe garantizar que Windows Messenger no se pueda ejecutar en un equipo en particular. ¿Cómo podrían usarse las plantillas administrativas para implementar esto? Modificación de Plantillas administrativas Modificación de Plantillas administrativas Puntos clave Debido a que los archivos ADMX están basados en XML, se puede usar cualquier editor de textos para editar o crear nuevos archivos ADMX. Sin embargo, también existen programas compatibles con XML (como Microsoft Visual Studio) que los administradores o programadores pueden usar para crear o modificar archivos ADMX. Una vez que se cuenta con un archivo ADMX válido, sólo se debe ubicarlo en la carpeta Definiciones de directivas o en el almacén central, si alguno de los dos existe. Material de lectura adicional Artículo de Microsoft Technet: Crear un archivo personalizado con base ADMX Descargas de Microsoft: Muestra de archivos ADMX de Directiva de grupo Demostración: Agregado de Plantillas administrativas para aplicaciones de Office Demostración: Agregado de Plantillas administrativas para aplicaciones de Office Pregunta: ¿Pueden usarse aún archivos ADM personalizados para entregar la configuración de Directiva de grupo en Windows Server 2008? Discusión: Opciones para el uso de Plantillas administrativas Discusión: Opciones para el uso de Plantillas administrativas Lección 4: Configuración de las preferencias de la Directiva de grupo Lección 4: Configuración de las preferencias de la Directiva de grupo Muchos valores comunes que afectan al entorno de usuario y de equipo pueden no ser entregados por medio de la Directiva de grupo, por ejemplo, las unidades asignadas. Estos valores, por lo general, eran entregados por medio de scripts de inicio de sesión o soluciones de digitalización. Windows Server 2008 incluye las nuevas Preferencias de la directiva de grupo, integradas a la Consola de administración de directivas de grupo (GPMC). Además, los administradores pueden configurar las preferencias, instalando las Herramientas de administración de servidor remoto (RSAT) en un equipo con Windows Vista Service Pack 1 (SP1). Esto permite que muchos valores comunes sean entregados por medio de la Directiva de grupo. Qué son las preferencias de la Directiva de grupo? Qué son las preferencias de la Directiva de grupo? Puntos clave Las extensiones de preferencia de la Directiva de grupo son más de veinte extensiones de la Directiva de grupo que expanden el intervalo de valores configurables dentro de un GPO. La mayor diferencia entre los valores de directivas y los valores de preferencia, es que los valores de preferencia no son impuestos. Esto significa que el usuario final puede modificar cualquier valor de preferencia que se aplica por medio de la Directiva de grupo, sin embargo, la configuración de las directivas impide que los usuarios las modifiquen. Diferencia entre la configuración de la Directiva de grupo y las preferencias Diferencia entre la configuración de la Directiva de grupo y las preferencias Puntos clave La diferencia clave entre las preferencias y la configuración de la Directiva de grupo es la obligatoriedad. Características de las preferencias de la Directiva de grupo Características de las preferencias de la Directiva de grupo Puntos clave La mayoría de las extensiones de preferencia de la Directiva de grupo son compatibles con las siguientes acciones para cada elemento de preferencia. Crear. Crear un nuevo elemento en el equipo de destino. Eliminar. Eliminar un elemento existente en el equipo de destino. Reemplazar. Eliminar y crear un elemento en el equipo de destino. El resultado es que las preferencias de la Directiva de grupo reemplazan toda la configuración existente y los archivos que se relacionan con el elemento de preferencia. Actualizar. Modificar un elemento existente en el equipo de destino. Implementación de las preferencias de la Directiva de grupo Implementación de las preferencias de la Directiva de grupo Puntos clave Las preferencias de la Directiva de grupo no requieren que se instale servicio o servidor alguno. Windows Server 2008 incluye las preferencias de la Directiva de grupo de manera predeterminada, como parte de la Consola de administración de directivas de grupo (GPMC). Los administradores pueden configurar e implementar las preferencias de la Directiva de grupo en un entorno de Windows Server 2003, instalando las Herramientas de administración de servidor remoto (RSAT) en un equipo con Windows Vista con SP1. Demostración: Implementación de las preferencias de la Directiva de grupo Demostración: Implementación de las preferencias de la Directiva de grupo Pregunta: Se ha implementado un cierto número de preferencias de la Directiva de grupo. Los usuarios informan que no pueden modificar algunos de esos valores. ¿Cuál podría ser el problema? Opciones para modificar la distribución de software Opciones para modificar la distribución de software La implementación de software en la Directiva de grupo incluye las opciones para configurar el software instalado. Se pueden categorizar los programas que son publicados en el Panel de control y asociar las extensiones de los nombres de archivos con las aplicaciones. También se pueden agregar modificaciones al software implementado. Material de lectura adicional Artículo de Microsoft Technet: Especificar categorías para la administración de aplicaciones Artículo de Microsoft Technet: Procedimientos recomendados para la Instalación de software de directiva de grupo, especificar opciones de instalación automática basada en la sección de extensión del nombre del archivo Artículo de Microsoft Technet: Agregar y eliminar modificaciones de un paquete de aplicaciones Demostración: Modificación de la distribución de software Demostración: Modificación de la distribución de software Pregunta: Se quiere implementar una utilidad administrativa para los miembros del grupo de seguridad Administradores de dominio. Estas utilidades deben estar disponibles en cualquier equipo en que un administrador inicie sesión, pero sólo deben instalarse cuando sea necesario. ¿Cuál es el mejor método para lograrlo? Realización del mantenimiento de software usando la Directiva de grupo Realización del mantenimiento de software usando la Directiva de grupo Puntos clave A veces un paquete de software necesitará ser actualizado a una nueva versión. La ficha Actualizaciones permite actualizar un paquete usando el GPO. También se puede re-implementar un paquete si el archivo original de Instalador de Windows ha sido modificado. Se pueden eliminar paquetes de software si fueron distribuidos originariamente usando la Directiva de grupo. La eliminación puede ser obligatoria u opcional. Pregunta: La organización se está actualizando a una nueva versión de un paquete de software. Algunos usuarios de la organización necesitan la versión anterior. ¿Cómo se implementaría la actualización? Material de lectura adicional Artículo de Microsoft Technet: Establecer las predeterminaciones de la Instalación de software de la directiva de grupo Discusión: Evaluación del uso de la Directiva de grupo para implementar software Discusión: Evaluación del uso de la Directiva de grupo para implementar software Pregunta: Se quiere implementar una utilidad administrativa para los miembros del grupo de seguridad Administradores de dominio. Estas utilidades deben estar disponibles en cualquier equipo en que un administrador inicie sesión, pero sólo deben instalarse cuando sea necesario. ¿Cuál es el mejor método para lograrlo? Laboratorio: Configuración de entornos de usuario usando la Directiva de grupo Laboratorio: Configuración de entornos de usuario usando la Directiva de grupo Escenario El Woodgrove Bank ha decidido implementar la Directiva de grupo para administrar los escritorios de los usuarios. La organización ya ha implementado una configuración de unidad organizativa (OU) que incluye unidades organizativas de máximo nivel agrupadas por ubicación, con unidades organizativas adicionales dentro de cada ubicación para los distintos departamentos. Las cuentas de usuario se encuentran ubicadas dentro del mismo contenedor que las cuentas del equipo de la estación de trabajo. Las cuentas del equipo servidor se encuentran distribuidas entre diversas unidades organizativas. El administrador de la empresa ha creado un diseño de GPO que será usado para administrar el entorno de escritorio de usuario. Se le ha solicitado que configure los Objetos de la directiva de grupo para que se apliquen valores específicos a los escritorios y equipos de los usuarios. Nota: Algunas de las tareas de este laboratorio están diseñadas para ilustrar las técnicas de administración y configuración de GPO, pero puede que no siempre sigan los procedimientos recomendados. Ejercicio 1: Configuración de scripts y la redirección de carpetas Ejercicio 1: Configuración de scripts y la redirección de carpetas Escenario Se le ha encargado la tarea de crear un script que asignará una unidad de red a la carpeta compartida denominada Datos en NYC-DC1. Luego usará la Directiva de grupo para asignar el script a todos los usuarios en las unidades organizativas Toronto, Miami y NYC. El script debe ser almacenado en una ubicación altamente disponible. También establecerá permisos para compartir y asegurar una carpeta en NYC-DC1. La carpeta de Documentos será redirigida allí para todos los miembros de la unidad organizativa ejecutiva. Las principales tareas para este ejercicio son: 1. Iniciar las máquinas virtuales y luego iniciar sesión. 2. Crear un script de inicio de sesión para asignar la carpeta compartida Datas. 3. Usar la Directiva de grupo para copiar el script a los recursos compartidos NetLogon y luego asignar el script a las unidades organizativas apropiadas. 4. Compartir y asegurar una carpeta para el grupo Ejecutivos. 5. Redirigir la carpeta Documentos para el grupo Ejecutivos. Tarea 1: Iniciar las máquinas virtuales y luego iniciar sesión. 1. En la máquina host, haga clic en Inicio, elija Todos los programas, seleccione Microsoft Learning y luego, haga clic en 6824A. Se inicia Iniciador de laboratorio. 2. En Iniciador de laboratorio, junto a 6824A-NYC-DC1, haga clic en Iniciar. 3. Inicie sesión en NYC-DC1 como Administrador, usando la contraseña Pa$$w0rd. 4. Minimice la ventana Iniciador de laboratorio. Tarea 2: Crear un script de inicio de sesión para asignar la carpeta compartida Datos. 1. Inicie Bloc de notas.exe 2. En Bloc de notas, escriba el comando Net Use J: \\NYC-DC1\Datos 3. Cierre y guarde el archivo como C:\Map.bat. 4. Asegúrese de que el campo de tipo Guardar como diga Todos los archivos. Tarea 3: Usar la Directiva de grupo para copiar el script a los recursos compartidos NetLogon y luego asignar el script a las unidades organizativas apropiadas. 1. Abra la ventana Explorador de Windows y copie C:\map.bat al portapapeles y luego cierre la ventana Explorador de Windows. 2. Inicie la GPMC y luego cree una nueva Directiva de grupo denominada Script de inicio de sesión. 3. Edite la directiva expandiendo la Configuración del usuario y Configuración de Windows y luego haciendo clic en Scripts (Inicio de sesión o cierre de sesión). 4. Abra Propiedades del script de inicio de sesión del GPO, haga clic en Mostrar archivos, haga clic con el botón secundario y clic en Pegar para copiar el script desde el portapapeles a la carpeta de scripts, luego cierre el Explorador. 5. En el cuadro de diálogo Propiedades de inicio de sesión, haga clic en Agregar. 6. En el cuadro de diálogo Agregar un script haga clic en Buscar. 7. En el cuadro de diálogo Buscar, seleccione el archivo Map.bat. 8. Cierre Editor de administración de directiva de grupo. 9. Establezca un vínculo entre la Directiva script de inicio de sesión y las unidades organizativas de Miami, NYC y Toronto. Tarea 4: Compartir y asegurar una carpeta para el grupo Ejecutivos. 1. En el Windows Explorer, abra Propiedades de la carpeta D:\6824\EjecDatos. 2. Haga clic en la ficha Compartir y luego en Uso compartido avanzado. 3. Seleccione la casilla Compartir esta carpeta y luego haga clic en Permisos. 4. Eliminar el grupo Todos. 5. Agregar Ejecutivos_WoodgroveGG y luego concédales Control total. 6. Haga clic en la ficha Seguridad y luego en Avanzado. 7. En la ficha Permisos, haga clic en Editar, desactive la casilla junto a Incluir permisos heredables del primario de este objeto y luego copie los permisos. 8. Elimine todos los usuarios y grupos excepto Dueño creador y Sistema. 9. Agregue los Ejecutivos_WoodgroveGG y luego asigne los permisos Listar carpetas/Leer datos y Crear carpetas/anexar datos, Sólo a esta carpeta. 10. Cierre las propiedades y luego cierre el Explorador de Windows. Tarea 5: Redirigir la carpeta Documentos al grupo Ejecutivos. 1. Cree un nuevo GPO denominado Redireccionamiento ejecutivo. 2. Edite la directiva: Expanda Configuración de usuario, Directivas, Configuración de Windows y Redirección de carpetas, haga clic con el botón secundario en Documentos y luego haga clic en Propiedades. 3. En la ficha Destino, establezca la configuración para que sea: Básico: Redirigir la carpeta de todos a la misma ubicación. 4. Deje la ubicación de la carpeta de destino con la configuración predeterminada y luego escriba: \\NYCDC1\Ejec Datos en el campo Ruta de raíz. 5. Establezca un vínculo entre la directiva y la unidad organizativa Ejecutivos. Resultado: Al finalizar este ejercicio, habrá configurado la redirección de scripts y carpetas. Ejercicio 1: Respuestas claves (pasos detallados) Ejercicio 2: Configuración de plantillas administrativas Ejercicio 2: Configuración de plantillas administrativas Escenario Se le ha solicitado que cree y asigne Plantillas administrativas de Directiva de grupo para controlar el entorno de equipos y usuarios. Todos los equipos tendrán aplicada la siguiente configuración: Permitir la administración remota entrante. Detección de vínculo lento configurado a 800 kbps. Los equipos de las unidades organizativas Miami, Toronto y NYC, impedirán la instalación de dispositivos extraíbles. Los equipos de la unidad organizativa Ejecutiva tendrán cifrados los archivos sin conexión. Todos los usuarios de dominio tendrán aplicada la siguiente configuración: Las herramientas para editar el registro estarán prohibidas. Se quitará el reloj de la barra de tareas. Además, los usuarios de las unidades organizativas Miami, Toronto y NYC tendrán aplicada la siguiente configuración: Los perfiles estarán limitados a 1 gigabyte (GB) de tamaño. La Barra lateral de Windows estará desactivada. Las principales tareas para este ejercicio son: 1. Modificar las Directivas de dominio predeterminadas para que contengan la configuración de todos los equipos. 2. Crear y asignar un GPO para impedir la instalación de dispositivos extraíbles en los equipos de las sucursales. 3. Crear y asignar un GPO para cifrar los archivos sin conexión en los equipos ejecutivos. 4. Crear y asignar un GPO en el nivel de dominio para todos los usuarios de dominio. 5. Crear y asignar un GPO para limitar el tamaño del perfil y desactivar la Barra lateral de Windows para los usuarios de las sucursales. Tarea 1: Modificar las Directivas de dominio predeterminadas para que contengan la configuración de todos los equipos. 1. En la GMPC, edite la Directiva de dominio predeterminado: expanda Configuración del equipo, expanda Directivas, luego Plantillas administrativas, Red, Conexiones de red, Firewall de Windows y luego Perfil del dominio. En el panel de detalles, haga doble clic en Firewall de Windows: Permitir la excepción de administración remota de entrada. 2. Habilite la directiva para la subred local en Permitir mensajes entrantes no solicitados de estas direcciones IP: 3. Expanda Configuración del equipo, luego expanda Plantillas administrativas, Sistema y Directivas de grupo. 4. Habilite Detección de vínculo de baja velocidad de la Directiva de grupo para que sea a 800kbps. Tarea 2: Crear y asignar un GPO para impedir la instalación de dispositivos extraíbles en los equipos de las sucursales. 1. Cree un nuevo GPO denominado Impedir dispositivos extraíbles. 2. Edite el GPO expandiendo Configuración del equipo, luego Directivas, Plantillas administrativas, Sistema, Instalación de dispositivos y luego Restricciones de la instalación de dispositivos. 3. Habilite la configuración Impedir la instalación de dispositivos extraíbles. 4. Establezca un vínculo entre la directiva Impedir dispositivos extraíbles y las unidades organizativas Miami, NYC y Toronto. Tarea 3: Crear y asignar un GPO para cifrar los archivos sin conexión en los equipos ejecutivos. 1. Cree un nuevo GPO denominado Cifrado de archivos sin conexión. 2. Edite la directiva expandiendo Configuración del equipo, luego Directivas, Plantillas administrativas, Red y por último Archivos sin conexión. 3. Habilite el Cifrado de la memoria caché de archivos sin conexión. 4. Establezca un vínculo entre el GPO y la unidad organizativa Ejecutivos. Tarea 4: Crear y asignar un GPO en el nivel de dominio para todos los usuarios de dominio. 1. Cree un Nuevo GPO denominado Directiva para todos los usuarios. 2. Expanda Configuración del usuario, luego Directivas, Plantillas administrativas y, por último, Sistema. 3. Habilite la configuración Impedir acceso a herramientas de edición del registro. 4. Haga clic en el menú Inicio y Barra de tareas. 5. Habilite Quitar el reloj del área de notificación del sistema. 6. Establezca un vínculo entre el GPO y el domino Woodgrovebank.com. Tarea 5: Crear y asignar una directiva para limitar el tamaño del perfil y desactivar la Barra lateral de Windows para los usuarios de las sucursales. 1. Cree un nuevo GPO denominado Directivas para los usuarios de sucursales. 2. Edite el GPO expandiendo Configuración del usuario, luego Directivas, Plantillas administrativas, Sistema y por último Perfiles del usuario. 3. Habilite el Límite de tamaño para el perfil a un valor de 1000000. 4. Expanda Configuración del usuario, luego expanda Directivas, Plantillas administrativas, Componentes de Windows y luego Windows Sidebar. 5. Habilite la configuración Windows Sidebar. 6. Establezca un vínculo entre el GPO denominado Directivas para usuarios de sucursales y las unidades organizativas de Miami, NYC y Toronto. Resultado: Al finalizar este ejercicio, habrá configurado Plantillas administrativas. Ejercicio 2: Respuestas claves (pasos detallados) Ejercicio 3: Configuración de preferencias Ejercicio 3: Configuración de preferencias Escenario Se le ha solicitado que cree y asigne Preferencias de directiva de grupo para controlar el entorno de equipos y usuarios. Agregue un acceso directo a Bloc de notas.exe al escritorio NYC-DC1. Cree una carpeta nueva denominada Informes en la unidad C: de todos los equipos que se estén ejecutando. Configure el menú Inicio para equipos con Windows Vista. Las principales tareas para este ejercicio son: 1. Agregar un acceso directo a Bloc de notas.exe al escritorio NYC-DC1. 2. Crear una carpeta nueva denominada Informes en la unidad C: de todos los equipos con Windows Server 2008. 3. Configurar el menú Inicio para equipos con Windows Vista. Tarea 1: Agregar un acceso directo a Bloc de notas.exe al escritorio NYC-DC1. 1. En la GMPC, edite las Preferencias de directivas de dominio predeterminado: 2. Edite las preferencias de Configuración de Windows para crear un acceso directo denominado Bloc de notas, con los siguientes parámetros: 3. Ubicación: Todos los usuarios\ Escritorio 4. Ruta de destino: C:\Windows\Sistema32\Bloc de notas.exe 5. En la ficha Común, configure el nivel del elemento que tiene como destino el nombre de equipo NYC-DC1. Tarea 2: Crear una carpeta nueva denominada Informes en la unidad C: de todos los equipos con Windows Server 2008 1. En la Configuración del equipo, Preferencias de la configuración de Windows, cree una nueva carpeta. 2. Configure la ruta para que sea: C:\Informes. 3. En la ficha Común, configure el nivel del elemento que tiene como destino el Sistema operativo Windows Server 2008. Tarea 3: Configurar el menú Inicio para los equipos con Windows Vista. 1. Expanda Configuración del usuario, luego Preferencias y luego Configuración del panel de control y cree un nuevo objeto de menú Inicio para Windows Vista. 2. Configure el menú Inicio para que elimine la carpeta Juegos y para que agregue las herramientas administrativas del sistema al menú Todos los programas. Resultado: Al finalizar este ejercicio, habrá configurado las Preferencias. Ejercicio 3: Respuestas claves (pasos detallados) Ejercicio 4: Comprobación de la aplicación de GPO Ejercicio 4: Comprobación de la aplicación de GPO Escenario Inicie sesión como diversos usuarios de dominio para comprobar la aplicación de Directiva de grupo. Use el Conjunto resultante de directivas (RSoP) de la directiva de grupo para comprobar que los GPO se están aplicando correctamente. Las principales tareas para este ejercicio son: 1. Comprobar que las preferencias hayan sido aplicadas. 2. Iniciar la máquina virtual 6824A-NYC-CL1 y luego iniciar sesión como Woodgrovebank\Administrador y observar la configuración aplicada. 3. Iniciar sesión como usuario en la unidad organizativa Ejecutivos y observar la configuración aplicada. 4. Iniciar sesión como usuario de una sucursal y observar la configuración aplicada. 5. Usar la GPMC en NCY-DC1 para la revisar los resultados de la Directiva de grupo. 6. Cerrar todas las máquinas virtuales y descartar los discos para deshacer. Tarea 1: Comprobar que las preferencias hayan sido aplicadas. 1. Cierre sesión en NYC-DC1 y luego, inicie sesión como Administrador usando la contraseña Pa$$w0rd. 2. En el escritorio, compruebe que se ha creado un acceso directo para el Bloc de notas. 3. Compruebe que se haya creado una carpeta denominada Informes en la unidad C:. 4. Compruebe que las Herramientas administrativas aparezcan en el menú Inicio y que la carpeta Juegos no se muestre. Tarea 2: Iniciar la máquina virtual 6824A-NYC-CL1 y luego, iniciar sesión como Woodgrovebank\Administrador y observar la configuración aplicada. 1. Abra el Cliente de control remoto para servidor virtual y luego haga doble clic en 6824A-NYC-CL1. 2. Inicie sesión en NYC-CL1 como Administrador, usando la contraseña Pa$$w0rd. Cierre sesión y luego inicie sesión como Administrador. Nota: Se requieren dos inicios de sesión debido a las credenciales almacenadas en una memoria caché. 3. Asegúrese de que el Reloj no se muestre en el Área de notificación. 4. Haga clic con el botón secundario en la Barra de tareas, luego en Propiedades y por último haga clic en la ficha del Área de notificación. Compruebe que no tiene habilitada la opción Mostrar reloj y luego haga clic en Aceptar. 5. Cierre sesión en NYC-CL1. Tarea 3: Iniciar sesión como usuario en la unidad organizativa Ejecutivos y observar la configuración aplicada. 1. Inicie sesión en NYC-CL1 como Tony, usando la contraseña Pa$$w0rd. Asegúrese de que el Reloj no se muestre en el Área de notificación. 2. Haga clic en Inicio, haga clic con el botón secundario en la carpeta Documentos y luego en Propiedades. Asegúrese de que la ubicación sea \\nyd-dc1\execdata\tony. 3. Haga clic en Inicio, escriba Regedt32 en el cuadro de búsqueda y luego presione ENTER. Asegúrese de que se ha deshabilitado la Modificación del registro. 4. Asegúrese de que no se muestre la Barra lateral de Windows. 5. Cierre sesión en NYC-CL1. Tarea 4: Iniciar sesión como usuario en una sucursal y observar la configuración aplicada. 1. Inicie sesión en NYC-CL1 como Roya, usando la contraseña Pa$$w0rd. Asegúrese de que el Reloj no se muestre en el Área de notificación. 2. Haga clic en Inicio, haga clic con el botón secundario en la carpeta Documentos y luego en Propiedades. Asegúrese de que la ubicación sea C:\Usuarios\Roya. 3. Haga clic en Inicio, escriba Regedt32 en el cuadro de búsqueda y luego presione ENTER. Asegúrese de que se ha deshabilitado la Modificación del registro. 4. Asegúrese de que no se muestre la Barra lateral de Windows. 5. Haga clic en Inicio y luego abra Equipo. Asegúrese de que la unidad J: se encuentre asignada para Compartir datos. 6. Cierre sesión en NYC-CL1. Tarea 5: Usar la GPMC en NCY-DC1 para revisar los resultados de la Directiva de grupo. 1. Restaure la GPMC en NYC-DC1. 2. Haga clic con el botón secundario en Resultados de directivas de grupo y luego haga clic en el Asistente para los resultados de directivas de grupo. 3. Seleccione el equipo Woodgrovebank\NYC-CL1. 4. Seleccione Woodgrovebank\Tony como usuario. 5. En la pantalla Resumen, haga clic en Siguiente y luego en Finalizar. 6. En el Resumen del informe de los resultados de directivas de grupo, expanda la sección Objetos de directiva de grupo. 7. Haga clic en la ficha Configuración y luego expanda Plantillas administrativas. 8. Cierre la GPMC. Tarea 6: Cerrar todas las máquinas virtuales y descartar los discos para deshacer 1. Por cada máquina virtual que se encuentre en funcionamiento, cierre la ventana de Control remoto de la máquina virtual. 2. En el cuadro Cerrar, seleccione Cerrar el equipo y descartar los cambios y después haga clic en Aceptar. 3. Cierre el Iniciador de laboratorio 6824A. Resultado: Al finalizar este ejercicio, habrá comprobado una aplicación de GPO. Ejercicio 4: Respuestas claves (pasos detallados) Revision y conclusiones del modulo Revisión y conclusiones del módulo Observaciones Cuando se configuran entornos de usuario usando la Directiva de grupo, se debe considerar lo siguiente: La Configuración de directivas habilitada, impone una configuración. La Configuración de directivas deshabilitada, revierte una configuración. La Configuración de directivas que no se encuentra establecida no es afectada por la Directiva de grupo. Los scripts pueden ser aplicados al usuario o equipo por medio de la Directiva de grupo. Los scripts pueden ser escritos en múltiples lenguajes. Almacenar los scripts usando los recursos compartidos NetLogon hace que estén altamente disponibles. Algunas carpetas pueden ser redirigidas desde el perfil de los usuarios a una carpeta compartida en la red. Distintos grupos de seguridad pueden ser redirigidos a diferentes ubicaciones de red. Las Plantillas administrativas aplican configuraciones modificando el registro para el usuario y el equipo. Los archivos ADMX se pueden personalizar. Se puede distribuir software vía Directiva de grupo por medio de archivos .MSI. Se puede publicar software a usuarios o asignarlos a usuarios o equipos. El software asignado a los usuarios son específicos para esos usuarios. El software asignado a los equipos se encuentra disponible para todos los usuarios de ese equipo. El software puede ser modificado y mantenido por medio de la Directiva de grupo. El software puede ser eliminado por medio de la Directiva de grupo. Preguntas de revisión 1. Se le ha asignado un script de inicio de sesión en una unidad organizativa por medio de la Directiva de grupo. El script se encuentra ubicado en una carpeta de red compartida denominada Scripts. Algunos usuarios de la unidad organizativa reciben el script y otros no. ¿Cuál puede ser la causa de esto? 2. ¿Qué pasos se podrían seguir para evitar que vuelva a ocurrir este tipo de problemas? 3. Tiene dos scripts de inicio de sesión asignado a los usuarios. – script1 y script2. El Script2 depende de la correcta compleción del script1. Los usuarios informan que el script2 nunca se ejecuta. ¿Cuál es el problema y cómo lo resolvería? Modulo 7 : Implementación de la seguridad usando Directiva de grupo Módulo 7 Implementación de la seguridad usando Directiva de grupo No contar con las directivas de seguridad adecuadas puede traer muchos riesgos para una organización. Una directiva de seguridad diseñada de manera apropiada ayuda a proteger la inversión de una organización en lo que se refiere a la información corporativa y los recursos internos, como por ejemplo hardware y software. Sin embargo, contar solamente con una directiva de seguridad no es suficiente. Se debe implementar la directiva para que sea efectiva. Se puede aprovechar Directiva de grupo para estandarizar la seguridad y de este modo controlar el entorno. Lección 1: Configuración de directivas de seguridad Lección 2: Implementación de directivas de contraseña de personalización avanzada Lección 3: Restricción de pertenencia a grupos y acceso a software Lección 4: Administración de la seguridad usando plantillas de seguridad Laboratorio: Implementación de la seguridad usando la Directiva de grupo Lección 1: Configuración de directivas de seguridad Lección 1: Configuración de directivas de seguridad Directiva de grupo brinda una configuración que se puede usar para implementar la seguridad en su organización. Por ejemplo, se puede usar la configuración de Directiva de grupo para brindar mayor seguridad a las contraseñas, al inicio y a los permisos para los servicios del sistema. Esta lección describe la información y las destrezas necesarias para configurar las directivas de seguridad. ¿Qué son las directivas de seguridad? ¿Qué son las directivas de seguridad? Puntos clave Las directivas de seguridad son reglas para proteger los recursos en los equipos y las redes. Directiva de grupo permite configurar varias de dichas reglas como valores de Directiva de grupo. Por ejemplo, se pueden configurar directivas de contraseña como parte de Directiva de grupo. Directiva de grupo cuenta con una amplia sección de seguridad para configurar la seguridad tanto de los usuarios como de los equipos. De esta manera, se puede implementar la seguridad de manera constante en todas las unidades organizativas (OU) en Servicios de dominio de Active Directory® (AD DS), definiendo la configuración de seguridad en un Objeto de directiva de grupo que está asociado a un sitio, dominio o unidad organizativa. Material de lectura adicional Artículo de Microsoft Technet: Configuración de seguridad Artículo de Microsoft Technet: Group Policy Security Settings (Configuración de seguridad de Directiva de grupo) ¿Qué es Directiva de seguridad de dominio predeterminada? ¿Qué es Directiva de seguridad de dominio predeterminada? Puntos clave La directiva de dominio predeterminada está vinculada al dominio y por lo tanto influye en todos los objetos del dominio a menos que un GPO que se ha aplicado en un nivel inferior bloquee o invalide los valores antes mencionados. Esta directiva cuenta con muy pocos valores configurados de manera predeterminada. Aunque Directiva predeterminada de dominio cuenta con todos los valores y capacidades de cualquier GPO, se recomienda usar dicha directiva solamente para entregar Directivas de cuenta. Se debe crear otros GPO para entregar una configuración diferente. Material de lectura adicional Artículo de Microsoft Technet: Guía de seguridad de Windows Server 2003, Capítulo 3: Directiva de dominio ¿Qué son las directivas de cuenta? ¿Qué son las directivas de cuenta? Puntos clave Las directivas de cuenta protegen las cuentas y los datos de su organización mitigando la amenaza de que las contraseñas de las cuentas puedan ser descifradas por fuerza bruta. En los sistemas operativos de Windows y en muchos otros, el método más común para autenticar la identidad de un usuario se basa en usar una contraseña secreta. Una mayor seguridad para su entorno de red exige que todos los usuarios usen contraseñas seguras. La configuración de la directiva de contraseña controla la complejidad y la duración de las contraseñas. Se puede establecer la configuración de la directiva de contraseña a través de Directiva de grupo. Material de lectura adicional Artículo de Microsoft Technet: Account Passwords and Policies (Directivas y contraseñas de cuenta) ¿Qué son las directivas locales? ¿Qué son las directivas locales? Puntos clave Cada uno de los equipos con Windows°2000 Server o posterior cuentan exactamente con un Objeto de directiva de grupo local (LGPO). En este objeto, los valores de Directiva de grupo se almacenan en equipos individuales, sin importar si forman parte de un entorno de Active Directory. El LGPO se almacena en una carpeta oculta denominada %windir%\sistema32\Directiva de grupo. Esta carpeta no existirá hasta que se haya configurado un LGPO. ¿Qué son las Directivas de seguridad de red? ¿Qué son las Directivas de seguridad de red? Puntos clave Automatizar los valores de configuración de un equipo cliente es un paso fundamental para reducir el costo de implementación de la seguridad de redes y reducir los problemas de compatibilidad que resultan de los valores configurados incorrectamente. Con Windows Server 2003, se podía automatizar la configuración inalámbrica del cliente usando la configuración de Directivas de red inalámbrica en Directiva de grupo. Windows Server 2008 y Windows Vista incluyen nuevas características para las directivas de red y Directiva de grupo es compatible con la configuración de autenticación 802.1X para conexiones alámbricas e inalámbricas. Material de lectura adicional: Artículo de Microsoft Technet: Joining a Windows Vista Wired Client to a Domain (Unir un cliente alámbrico de Windows Vista a un dominio) Artículo de Microsoft Technet: Capítulo 6: Diseño de la seguridad para LAN inalámbrica mediante 802.1X Artículo de Microsoft Technet: Configuración de la Directiva de grupo inalámbrica para Windows Vista Artículo de Microsoft Technet: Definir directivas de red inalámbrica basadas en Active Directory Firewall de Windows con seguridad avanzada Firewall de Windows con seguridad avanzada Puntos clave Windows Vista y Windows Server 2008 incluyen una nueva y mejorada versión del Firewall de Windows. El nuevo Firewall de Windows es un firewall basado en host con estado que permite o bloquea el tráfico de red según su configuración. Material de lectura adicional Artículo de Microsoft Technet: The New Windows Firewall in Windows Vista and Windows Longhorn (Nuevo Firewall de Windows en Windows Vista y Windows Longhorn) Demostración: Descripción general de la configuración de seguridad adicional Demostración: Descripción general de la configuración de seguridad adicional Pregunta: Es necesario garantizar que no se permita la ejecución de servicio particular en cualquiera de los servidores de red. ¿Cómo se lograría esto? Demostración: ¿Qué es Directiva de seguridad de controlador de dominio predeterminada? Demostración: ¿Qué es Directiva de seguridad de controlador de dominio predeterminada? Pregunta: ¿Cuál es el intervalo de actualización predeterminado de Directiva de grupo para los controladores de dominio? Lección 2: Implementación de directivas de contraseña de personalización avanzada Lección 2: Implementación de directivas de contraseña de personalización avanzada En Windows Server 2008, usando directivas de contraseña de personalización avanzada se pueden permitir diferentes requisitos de contraseña y directivas de bloqueo de cuenta para diversos usuarios o grupos de Active Directory. Esta lección describe la información y las destrezas para implementar directivas de contraseña de personalización avanzada. ¿Qué son las directivas de contraseña de personalización avanzada? ¿Qué son las directivas de contraseña de personalización avanzada? Puntos clave En versiones anteriores de AD DS, se podía aplicar solamente una directiva de contraseña y de bloqueo de cuenta a todos los usuarios del dominio. Las directivas de contraseña de personalización avanzada permiten contar con requisitos de contraseña y directivas de bloqueo de cuenta diferentes para diversos usuarios o grupos de Active Directory. Esto es conveniente cuando se desea que conjuntos diferentes de usuarios cuenten con requisitos de contraseña distintos, pero no se desean dominios individuales. Por ejemplo, es posible que el grupo Admins de Dominio necesite requisitos de contraseña estrictos a los que no deben estar sujetos los usuarios comunes. En caso de no implementar contraseñas de personalización avanzada, las directivas de cuenta de dominio predeterminadas normales se aplicarán a todos los usuarios. Pregunta: ¿Cómo usaría contraseñas de personalización avanzada en su entorno? Material de lectura adicional Artículo de Microsoft Technet: AD DS: Fine-Grained Password Policies (AD DS: Directivas de contraseña de personalización avanzada) Cómo se implementan las directivas de contraseña de personalización avanzada Cómo se implementan las directivas de contraseña de personalización avanzada Puntos clave Para almacenar directivas de contraseña de personalización avanzada, Windows Server 2008 incluye dos nuevas clases de objetos en el esquema de Active Directory. Estos son: Contenedor de configuraciones de contraseña (PSC) Objeto de configuración de contraseñas (PSO) La clase del objeto del PSC se crea de manera predeterminada en el Contenedor del sistema en el dominio, que almacena los PSO del dominio. No se puede cambiar el nombre, mover o eliminar este contenedor. Pregunta: ¿Cómo se podría ver el Contenedor de configuraciones de contraseña en Usuarios y equipos de Active Directory? Material de lectura adicional Artículo de Microsoft Technet: AD DS: Fine-Grained Password Policies (AD DS: Directivas de contraseña de personalización avanzada) Implementación de directivas de contraseña de personalización avanzada Implementación de directivas de contraseña de personalización avanzada Puntos clave Existen tres pasos principales necesarios para la implementación de contraseñas de personalización avanzada: Crear grupos necesarios y agregar usuarios apropiados. Crear los PSO para todas las directivas de contraseña definidas. Aplicar los PSO para los usuarios apropiados o grupos de seguridad global. Pregunta: En su organización, un grupo de usuarios trabaja regularmente con archivos confidenciales. Es necesario garantizar que todos estos usuarios tengan implementadas directivas de cuenta estrictas. Las cuentas de usuario están distribuidas en múltiples unidades organizativas. ¿Cómo lograría esto con el menor esfuerzo administrativo posible? Material de lectura adicional Artículo de Microsoft Technet: Step by Step Guide for Fine-Grained Password and Account Lockout Policy Configuration (Guía paso a paso para la configuración de contraseñas de personalización avanzada y directivas de bloqueo de cuenta) Demostración: Implementación de directivas de contraseña de personalización avanzada Demostración: Implementación de directivas de contraseña de personalización avanzada Pregunta: ¿Qué utilidades están disponibles para administrar los PSO? Elija todas las que correspondan. Edición de ADSI GPMC CSVDE LDIFDE NTDSUtil Usuarios y equipos de Active Directory Lección 3: Restricción de pertenencia a grupos y acceso a software Lección 3: Restricción de pertenencia a grupos y acceso a software En un entorno de red extenso, uno de los desafíos de la seguridad de red es el de controlar la pertenencia a los grupos integrados en el directorio y en las estaciones de trabajo. Otra cuestión es evitar el acceso a software no autorizado en las estaciones de trabajo. ¿Qué es la pertenencia a grupos restringidos? ¿Qué es la pertenencia a grupos restringidos? Puntos clave En algunos casos, es posible que desee controlar la pertenencia a ciertos grupos en un dominio para evitar que se agreguen otras cuentas de usuario a esos grupos, como por ejemplo al grupo de administradores locales. Se puede usar la Directiva de grupos restringidos para controlar la pertenencia a grupos. Use la directiva para especificar qué miembros se ubican en un grupo. Si se define una Directiva de grupos restringidos y se actualiza Directiva de grupo, se eliminará cualquier miembro actual de un grupo que no se encuentre en la lista de miembros de la Directiva de grupos restringidos. Pueden incluirse los miembros predeterminados, como por ejemplo los administradores de dominio. A pesar de que se pueden controlar los grupos de dominio asignando directivas de grupos restringidos a los controladores de dominio, se debe utilizar en primer lugar dicha configuración para establecer la pertenencia a grupos fundamentales, como por ejemplo Enterprise Admins y Schema Admins. Además puede usar esta configuración para controlar la pertenencia a los grupos locales integrados en estaciones de trabajo y servidores miembro. Por ejemplo, se puede colocar el grupo Helpdesk en el grupo local Administradores en todas las estaciones de trabajo. No se pueden especificar los usuarios locales en un GPO de dominio. Se eliminarán todos los usuarios locales que actualmente formen parte de un grupo local controlado por la directiva. La única excepción es que la cuenta local Administradores siempre se encontrará en el grupo local Administradores. Pregunta: Su empresa cuenta con cinco servidores web ubicados físicamente en toda América del Norte. Las cuentas de equipo del servidor web se encuentran ubicadas en una única unidad organizativa. Desea otorgarles a todos los usuarios en el grupo global denominado Web_Backup el derecho para hacer copias de seguridad y restaurar servidores web. ¿Cómo se podría usar Directiva de grupo para lograrlo? Material de lectura adicional Artículo de Microsoft Technet: Grupos restringidos Artículo de Microsoft Technet: Group Policy Security Settings (Configuración de seguridad de Directiva de grupo) Demostración: Configuración de la pertenencia a grupos restringidos Demostración: Configuración de la pertenencia a grupos restringidos Pregunta: Se creó una Directiva de grupo que agrega el grupo Helpdesk al grupo local Administradores y se vinculó la directiva con una unidad organizativa. En esta instancia, Administradores de dominio ya no cuentan con autoridad administrativa sobre los equipos en dicha unidad organizativa. ¿Cuál es el problema más frecuente y cómo se resolvería? ¿Qué es la directiva de restricción de software? ¿Qué es la directiva de restricción de software? Puntos clave Quizás se desee restringir el acceso a software para evitar que los usuarios ejecuten determinadas aplicaciones o tipos de aplicaciones, como por ejemplo VBscripts. La directiva de restricción de software brinda a los administradores un mecanismo controlado por directivas para identificar software y controlar su capacidad para ejecutarse en un equipo cliente. Pregunta: Cuenta con una cierta cantidad de equipos en un grupo de trabajo. Necesita restringir el acceso a una determinada aplicación para que solamente se les permita a los miembros del grupo Administradores iniciar la aplicación. ¿Cómo se lograría esto? Material de lectura adicional Artículo de Microsoft Technet: Uso de directivas de restricción de software para proteger contra software no autorizado Opciones para configurar directivas de restricción de software Opciones para configurar directivas de restricción de software Puntos clave Las directivas de restricción de software usan reglas para determinar si se permite ejecutar una aplicación. Cuando se crea una regla, en primer lugar se identifica la aplicación. Luego se la debe identificar como una excepción para el valor predeterminado de la directiva, ya sea No restringido o No permitido. El motor de aplicación consulta las reglas en la directiva de restricción de software antes de permitir que se ejecute un programa. Pregunta: Necesita restringir el acceso a una aplicación en particular sin importar en qué ubicación del directorio se ha instalado. ¿Qué tipo de regla debería usar? Material de lectura adicional Artículo de Microsoft Technet: Uso de directivas de restricción de software para proteger contra software no autorizado Demostración: Configuración de Directivas de restricción de software Demostración: Configuración de Directivas de restricción de software Pregunta: Desea garantizar que se permitan ejecutar solamente los scripts de Visual Basic firmados digitalmente. ¿Qué tipo de regla debería usar? Lección 4: Administración de la seguridad usando plantillas de seguridad Lección 4: Administración de la seguridad usando plantillas de seguridad Una directiva de seguridad es un grupo de valores de seguridad que influye en la seguridad del equipo. Se puede usar una directiva de seguridad para establecer directivas locales y de cuenta en su equipo local y en Active Directory. Se pueden crear plantillas de seguridad a modo de ayuda para crear directivas de seguridad y cumplir con las necesidades de seguridad de la empresa. Pueden usarse dichas plantillas para configurar los valores de seguridad asignados a los equipos, ya sea manualmente o a través de Directiva de grupo. ¿Qué son las plantillas de seguridad? ¿Qué son las plantillas de seguridad? Puntos clave Una plantilla de seguridad es un grupo de valores de seguridad configurados. Se pueden usar plantillas de seguridad predefinidas como base para crear directivas de seguridad que pueden personalizarse a fin de satisfacer sus necesidades o crear nuevas plantillas. Para crear o personalizar plantillas, debe usar el complemento Plantillas de seguridad. Después de crear una nueva plantilla o personalizar una plantilla de seguridad predefinida, puede usarla para configurar la seguridad en un equipo individual o en numerosos equipos. Estas plantillas contienen una configuración de seguridad para todas las áreas de seguridad. Material de lectura adicional Artículo de Microsoft Technet: Plantillas de seguridad Demostración sobre la aplicación de plantillas de seguridad Demostración sobre la aplicación de plantillas de seguridad Pregunta: Cuenta con múltiples servidores de base de datos ubicados en diferentes unidades organizativas. ¿Cuál es la manera más simple de aplicar una configuración de seguridad consistente con todos los servidores de base de datos? ¿Qué es el Asistente para configuración de seguridad? ¿Qué es el Asistente para configuración de seguridad? Puntos clave El Asistente para configuración de seguridad (SCW) es una herramienta para minimizar la superficie de ataque que fue introducido con Windows Server 2003 con Service Pack 1 (SP1). SCW sirve de ayuda para los administradores a la hora de crear directivas de seguridad y determina la funcionalidad mínima requerida para una o varias funciones del servidor y luego deshabilita la funcionalidad que no se requiere. SCW sirve de guía para el proceso de crear, editar, aplicar o revertir una directiva de seguridad basada en las funciones seleccionadas del servidor. Las directivas de seguridad que se crean con SCW son archivos XML que, una vez aplicados, configuran servicios, seguridad de red, valores de registro específicos, directivas de auditoría y si corresponde, Servicios de Internet Servidor de información (IIS). Pregunta: ¿Qué tipos de funciones del servidor existen en su organización? Material de lectura adicional Artículo de Microsoft Technet: Plantillas de seguridad Artículo de Microsoft Technet: Asistente para configuración de seguridad para Windows Server 2003 Demostración: Configuración de la seguridad del servidor usando el Asistente para configuración de seguridad Demostración: Configuración de la seguridad del servidor usando el Asistente para configuración de seguridad Pregunta: ¿Cuál es la ventaja principal del SCW? Opciones para integrar el Asistente para configuración de seguridad y las Plantillas de seguridad Opciones para integrar el Asistente para configuración de seguridad y las Plantillas de seguridad Puntos clave Las directivas de seguridad que se crean con el SCW pueden también incluir plantillas de seguridad personalizadas. Algunos de los valores que se pueden configurar usando el SCW se superponen en parte con los valores que se configuran usando solamente las plantillas de seguridad. Ningún conjunto de cambios de valores incluye por completo al otro. Por ejemplo, el SCW incluye los valores de IIS que no están incluidos en una plantilla de seguridad. Por el contrario, las plantillas de seguridad pueden incluir tales elementos como Directivas de restricción de software, que no pueden configurarse mediante el SCW. Material de lectura adicional Artículo de Microsoft Technet: Security Configuration Wizard Overview (Descripción general del Asistente para configuración de seguridad) Artículo de Microsoft Technet: Security Watch: The Security Configuration Wizard (Inspección de seguridad: asistente para configuración de seguridad) Demostración: Importación de Directivas de configuración de seguridad a Plantillas de seguridad Demostración: Importación de Directivas de configuración de seguridad a Plantillas de seguridad Pregunta: Se necesita abrir un puerto en los equipos cliente de Windows Vista para una aplicación personalizada. ¿Debería usar el SCW o crear una plantilla de seguridad y usar un GPO? Laboratorio: Implementación de la seguridad usando la Directiva de grupo Laboratorio: Implementación de la seguridad usando Directiva de grupo Escenario Woodgrove Bank ha decidido implementar Directiva de grupo para configurar la seguridad de los usuarios y equipos en la organización. La compañía actualizó recientemente todas las estaciones de trabajo a Windows Vista y a todos los servidores a Windows Server 2008. La organización desea utilizar Directiva de grupo para implementar la configuración de seguridad para las estaciones de trabajo, los servidores y los usuarios. El administrador de la empresa creó un diseño que incluye modificaciones realizadas a la directiva predeterminada de seguridad de dominio y GPO adicionales para configurar la seguridad. La compañía desea contar con la flexibilidad para asignar diferentes directivas de contraseña para usuarios específicos. También desea automatizar la configuración de los valores de seguridad al máximo. Nota: Algunas de las tareas de este laboratorio están diseñadas para ilustrar las técnicas de administración y configuración de GPO y puede que no siempre sigan los procedimientos recomendados. Ejercicio 1: Configuración de la directiva de cuenta y de seguridad Ejercicio 1: Configuración de la directiva de cuenta y de seguridad Se le ha asignado la tarea de implementar una directiva de cuenta de dominio según los siguientes criterios: Las contraseñas de dominio constarán de ocho caracteres. Se implementarán contraseñas seguras. Las contraseñas se cambiarán exactamente cada veinte días. Las cuentas se bloquearán durante 30 minutos después de cinco intentos de inicio de sesión inválidos. Se configurará también una directiva local en el cliente de Windows Vista que habilita la cuenta local Administrador y prohíbe el acceso al menú Ejecutar para los No administradores. Luego se creará una directiva de red inalámbrica para Windows Vista que genera un perfil para la red inalámbrica corporativa. Este perfil definirá 802.1x como el método de autenticación. Dicha directiva también denegará el acceso a una red inalámbrica denominada Investigar. Finalmente, configurará una directiva para evitar que el servicio Registro remoto se ejecute en un controlador de dominio. Las principales tareas para este ejercicio se realizarán como se detalla a continuación: 1. Iniciar la máquina virtual e iniciar la sesión como Administrador. 2. Crear una directiva de cuenta para el dominio. 3. Establecer la configuración de directiva local para un cliente de Windows Vista. 4. Crear un GPO de red inalámbrica para los clientes de Windows Vista. 5. Configurar un GPO que prohíba un servicio en todos los controladores de dominio. Tarea 1: Iniciar la máquina virtual e iniciar la sesión como Administrador 1. En la máquina host, haga clic en Inicio, elija Todos los programas, seleccione Microsoft Learning y luego haga clic en 6824A. Se inicia Iniciador de laboratorio. 2. En Iniciador de laboratorio, junto a 6824A-NYC-DC1, haga clic en Iniciar. 3. Inicie sesión en NYC-DC1 como Administrador, usando la contraseña Pa$$w0rd. 4. Minimice la ventana Iniciador de laboratorio. Tarea 2: Crear una directiva de cuenta para el dominio 1. Inicie consola de Administración de directivas de grupo. 2. Edite Directivas de cuenta en Default Domain Policy según los siguientes valores: Directiva de contraseñas: Contraseñas de dominio: Debe contar con al menos 8 caracteres Contraseñas seguras (…cumplir requisitos de seguridad): Habilitada Vigencia mínima de la contraseña: 19 días Vigencia máxima de la contraseña: 20 días Directiva de bloqueo de cuenta: Umbral de bloqueo de cuenta: 5 intentos de inicio de sesión inválidos Duración del bloqueo de cuenta: 30 minutos Contador de bloqueo: restablecer después de 30 minutos Tarea 3: Establecer la configuración de directiva local para un cliente de Windows Vista 1. Inicie NYC-CL1 e inicie la sesión como WoodgroveBank\Administrador con la contraseña Pa$$w0rd. 2. Cree un nueva MMC y luego agregue el complemento para Editor de objetos de directiva de grupos para el equipo local. 3. Abra Configuración del equipo, luego Configuración de Windows, abra Configuración de seguridad, luego Directivas locales, abra Opciones de seguridad y luego habilite el valor Cuentas: estado de la cuenta de administrador. 4. Agregue el complemento Editor de objetos de directiva de grupo a la MMC nuevamente y haga clic en Examinar. 5. Haga clic en la ficha Usuarios, seleccione el grupo No administradores, haga clic en Aceptar y luego en Finalizar. 6. En Directiva Equipo local\ No administradores, abra Configuración de usuario, Plantillas administrativas, haga clic en la carpeta Menú inicio y barra de tareas y luego habilite el valor Quitar el menú Ejecutar del menú inicio. 7. Cierre la MMC sin guardar los cambios. Tarea 4: Crear un GPO de red inalámbrica para los clientes de Windows Vista 1. En la GPMC, cree un nuevo GPO denominado Vista Inalámbrico. 2. Edite el GPO haciendo clic con el botón secundario en Directivas de red inalámbrica (IEEE 802.11) y luego en Crear una nueva directiva de Windows Vista. 3. En el cuadro de diálogo Propiedades de nueva directiva de red inalámbrica Vista, haga clic en Agregar y luego en Infraestructura. 4. Cree un nuevo perfil denominado Corporativo y luego en el campo Nombre(s) de red (SSID), escriba Corp. 5. Haga clic en la ficha Seguridad, cambie método de Autenticación a Abierto con 802.1X y luego haga clic en Aceptar. 6. Haga clic en la ficha Permisos de red y luego en Agregar. 7. Escriba Examinar en el campo Nombre de red (SSID): y establezca el Permiso en Denegar. Haga clic en Aceptar dos veces. 8. Cierre Editor de administración de directiva de grupo y luego deje abierta la GPMC. Tarea 5: Configurar una directiva que prohíba un servicio en todos los controladores de dominio 1. Edite lo siguiente para deshabilitar el servicio Registro remoto: Default Domain Policy, Configuración de equipo, Directivas, Configuración de Windows, Configuración de seguridad y Servicios del sistema. 2. Cierre Editor de administración de directiva de grupo y deje abierta la GPMC. Resultado: Al finalizar este ejercicio, se habrán establecido las configuraciones de las directivas de cuenta y de seguridad. Ejercicio 1: Respuestas claves (pasos detallados) Ejercicio 2: Implementación de directivas de contraseña de personalización avanzada Ejercicio 2: Implementación de directivas de contraseña de personalización avanzada La directiva de seguridad corporativa indica que todos los miembros del grupo IT Administrativo contarán con directivas de contraseña estrictas. Las contraseñas deberán cumplir con los siguientes criterios: Se recordarán 30 contraseñas en el historial de contraseñas. Las contraseñas de dominio constarán de 10 caracteres. Se implementarán contraseñas seguras. Las contraseñas no se almacenarán con cifrado reversible. Las contraseñas se cambiarán exactamente cada siete días. Las cuentas se bloquearán durante 30 minutos después de tres intentos de inicio de sesión inválidos. Se creará una directiva de contraseña de personalización avanzada para implementar dichas directivas en el grupo global Admins TI. Las principales tareas se realizarán como se detalla a continuación: 1. Crear un PSO usando Edición de ADSI. 2. Asignar el PSO Admin TI al grupo global Admins TI. Tarea 1: Crear un PSO usando Edición de ADSI 1. En el menú Ejecutar, escriba adsiedit.msc y luego presione ENTRAR. 2. Haga clic con el botón secundario en Editor ADSI, elija Conectar a y luego haga clic en Aceptar para confirmar los valores predeterminados. 3. Busque DC=woodgrovebank, DC=com, CN= System, CN=Password Setting Container, haga clic con el botón secundario en CN= Password Setting Container y luego cree un nuevo objeto. 4. En el cuadro de diálogo Crear Objeto, haga clic en msDS- PasswordSettings y luego en Siguiente. 5. En la casilla Valor, escriba AdminTI. 6. En el valor msDS- PasswordSettingsPrecedence, escriba 10. 7. En el valor msDS- PasswordReversibleEncryptionEnabled, escriba FALSE. 8. En el valor msDS- PasswordHistoryLength, escriba 30. 9. En el valor msDS-PasswordComplexityEnabled, escriba True. 10. En el valor msDS- MinimumPasswordLength, escriba 10. 11. En el valor msDS-MinimumPasswordAge, escriba -5184000000000. 12. En el valor msDS- MaximumPasswordAge, escriba -6040000000000. 13. En el valor msDS- LockoutThreshold, escriba 3. 14. En el valor msDS-LockoutObservationWindow, escriba -18000000000. 15. En el valor msDS- LockoutDuration, escriba -18000000000 y luego haga clic en Finalizar. 16. Cierre la MMC ADSI Editar sin guardar los cambios. Tarea 2: Asignar el PSO AdminTI al grupo global AdminsTI 1. Abra Usuarios y equipos de Active Directory. 2. Haga clic en Ver y luego en Características avanzadas. 3. Expanda Woodgrovebank.com, luego System y finalmente haga clic en Password Settings Container. 4. En el panel de detalles, haga clic con el botón secundario en el PSO Admin TI y luego haga clic en Propiedades. 5. Haga clic en la ficha Editor de atributos, desplácese hacia abajo, seleccione el atributo msDSPSOAppliesTo y luego haga clic en Editar. 6. Agregue el grupo AdminsTI_WoodgroveGG. 7. Cierre Usuarios y equipos de Active Directory. Resultado: Al finalizar este ejercicio, se habrán implementado las directivas de contraseña de personalización avanzada. Ejercicio 2: Respuestas claves (pasos detallados) Ejercicio 3: Configuración de las directivas de grupos restringidos y restricción de software Ejercicio 3: Configuración de las directivas de grupos restringidos y restricción de software Es necesario garantizar que el grupo global Admins TI esté incluido en el grupo local Administradores para todos los equipos de la organización. Se considera que los controladores de dominio son de alta seguridad y no se permitirá que Explorador de Internet se ejecute en los controladores de dominio. También evitará que los scripts de Visual Basic (VBS) se ejecuten en la unidad C: de los controladores de dominio. Las principales tareas se realizarán como se detalla a continuación: 1. Configurar grupos restringidos para el grupo de administradores locales. 2. Crear un GPO que prohíba que Explorador de Internet y los scripts de VBS se ejecuten en los controladores de dominio. Tarea 1: Configurar grupos restringidos para el grupo de administradores locales 1. Si se requiere, abra la GPMC, abra la carpeta Objetos de directiva de grupo y luego edite Default Domain Policy. 2. Vaya a Configuración de equipo, expanda Directivas, luego Configuración de Windows, expanda Configuración de seguridad, haga clic con el botón secundario en Grupos restringidos y luego haga clic en Agregar grupo. 3. Agregue el grupo Administradores y luego haga clic en Aceptar. 4. En el cuadro de diálogo Administradores Propiedades, agregue los siguientes grupos: Woodgrovebank\AdminsTI_WoodgroveGG Woodgrovebank\ Admins. del Dominio 5. Cierre Editor de administración de directiva de grupo. Tarea 2: Prohibir que se ejecute Explorador de Internet y los scripts de VBS en los controladores de dominio 1. Edite Default Domain Controllers Policy. 2. Vaya a Configuración de Windows, expanda Configuración de seguridad, haga clic con el botón secundario en Directivas de restricción de software y luego haga clic en Nueva directiva de restricción de nuevo software. 3. Haga clic con el botón secundario en Reglas adicionales y luego haga clic en Regla de nuevo hash. 4. Examine y busque C:\Archivos de programa\ Internet Explorer\iexplore.exe y luego haga clic en Abrir. Asegúrese de que Nivel seguridad esté en No permitido. 5. Haga clic con el botón secundario en Reglas adicionales y luego haga clic en Regla de nueva ruta. 6. En el campo Ruta de acceso, escriba *.vbs y luego haga clic en Aceptar. 7. Cierre Editor de administración de directiva de grupo. Resultado: Al finalizar este ejercicio, se habrán configurado las directivas de grupos restringidos y de restricción de software. Ejercicio 3: Respuestas claves (pasos detallados) Ejercicio 4: Configuración de las plantillas de seguridad Ejercicio 4: Configuración de las plantillas de seguridad Se creará una plantilla de seguridad para los servidores de archivos y de impresión que cambiarán el nombre de la cuenta Administrador y que no muestra el último nombre de usuario que inició sesión. Luego se usará el Asistente para configuración de seguridad para crear una directiva de seguridad que protege el servidor de archivos y de impresión e incluye la plantilla de seguridad. Se usará la interfaz de SCW para aplicar la directiva en el servidor de archivos y de impresión NYC-SVR1. Finalmente, convertirá la directiva en un GPO denominado SeguridadFP. Las principales tareas para este ejercicio se realizarán como se detalla a continuación: 1. Crear una plantilla de seguridad para los servidores de archivos y de impresión. 2. Iniciar NYC-SVR1, unirse al dominio y deshabilitar Firewall de Windows. 3. Ejecutar Asistente de configuración de seguridad e importar la plantilla SeguridadFP. 4. Transformar la DirectivaFP en un GPO. Tarea 1: Crear una plantilla de seguridad para los servidores de archivos y de impresión 1. Cree una nueva MMC, luego agregue el complemento para Plantillas de seguridad. 2. Expanda Plantillas de seguridad, haga clic con el botón secundario en C:\Users\Administrador\Documents \Security\Templates y luego haga clic en Nueva plantilla. 3. Escriba el nombre SeguridadFP para la plantilla. 4. Busque Directivas locales y luego Opciones de seguridad. Defina Cuentas: cambiar el nombre de la cuenta de administrador con el valor AdminFP. 5. Establezca Inicio de sesión interactiva: No mostrar el último nombre de usuario en Habilitada. 6. En el panel de la carpeta, haga clic con el botón secundario en SeguridadFP y luego haga clic en Guardar. 7. Cierre la MMC sin guardar los cambios. Tarea 2: Iniciar NYC-SVR1, unirse al dominio y deshabilitar el Firewall de Windows 1. Inicie NYC-SVR1 e inicie la sesión como AdminLocal, usando la contraseña Pa$$w0rd. 2. Una NYC-SVR1 al dominio WoodgoveBank.com. 3. Reinicie el equipo e inicie sesión como Administrador. 4. Deshabilite Firewall de Windows. Nota: Este paso se lleva a cabo para simplificar las tareas del laboratorio; no es un procedimiento recomendado. Tarea 3: Ejecutar el Asistente para configuración de seguridad e importar la plantilla SeguridadFP 1. En NYC-DC1, inicie Asistente para configuración de seguridad. 2. En la página Bienvenida, haga clic en Siguiente. 3. En la pantalla Acción de configuración, haga clic en Siguiente. 4. En la pantalla Seleccionar servidor, escriba NYC-SVR1.woodgrovebank.com y luego haga clic en Siguiente. 5. Después de que se procesan las bases de datos de la configuración de seguridad, haga clic en Siguiente. 6. En la pantalla Configuración de servicio basado en funciones, haga clic en Siguiente. 7. En la pantalla Seleccionar funciones del servidor, desactive la casilla junto a Servidor DNS. 8. Seleccione la casilla junto a Servidor de archivos. 9. Seleccione la casilla junto a Servidor de impresión y luego haga clic en Siguiente. 10. En la pantalla Seleccionar características de cliente, haga clic en Siguiente. 11. En la pantalla Seleccionar opciones de administración y otras, haga clic en Siguiente. 12. En la pantalla Seleccionar servicios adicionales, haga clic en Siguiente. 13. En la pantalla Tratamiento de servicios sin especificar, continúe haciendo clic en Siguiente hasta llegar a la pantalla Nombre de archivo de directiva de seguridad. 14. En la pantalla Nombre de archivo de directiva de seguridad, escriba DirectivaFP al final de la ruta C:\Windows\security\msscw\Policies\. 15. Haga clic en Incluir plantillas de seguridad y luego en Agregar. 16. Agregue la directiva Documentos\security\Templates\SeguridadFP. 17. En la pantalla Aplicar directiva de seguridad, haga clic en Aplicar ahora y luego en Siguiente. 18. En la pantalla Aplicar directiva de seguridad, haga clic en Siguiente y luego en Finalizar. Tarea 4: Transformar la DirectivaFP en un GPO 1. En NYC-DC1, inicie la Línea de comandos y escriba scwcmd transform/p:” C:\Windows\security\msscw \Policies\DirectivasFP.xml” /g:FileServerSecurity. 2. Abra la GPMC de ser necesario y luego abra la carpeta Objetos de directiva de grupo. Haga doble clic en SeguridadArchivoServidor GPO y luego examine la configuración. 3. Cierre la GPMC y cierre sesión en NYC-DC1. Resultado: Al finalizar este ejercicio, habrá configurado plantillas de seguridad. Ejercicio 4: Respuestas claves (pasos detallados) Ejercicio 5: Comprobación de la configuración de seguridad Ejercicio 5: Comprobación de la configuración de seguridad Iniciará sesión como diversos usuarios para probar los resultados de Directiva de grupo. Las principales tareas para este ejercicio se realizarán como se detalla a continuación: Iniciar sesión como Administrador Local del equipo con Windows Vista y comprobar la pertenencia al grupo de administradores locales. Iniciar sesión en el equipo con Windows Vista como un usuario común y probar la directiva de cuenta. Iniciar sesión en el controlador de dominio como el administrador de dominio y probar las restricciones de software y los servicios. Usar la modelación de directivas de grupo para probar la configuración en el servidor de archivos y de impresión. Cerrar todas las máquinas virtuales y descartar los discos para deshacer. Tarea 1: Iniciar sesión como Administrador Local del equipo con Windows Vista y comprobar la pertenencia al grupo de administradores locales 1. Inicie sesión en NYC-CLI como NYC-CL1\administrador usando la contraseña Pa$$w0rd. 2. Inicie Comando Preguntar y ejecute el comando GPupdate /force. 3. Asegúrese de que el menú Ejecutar aparezca en la carpeta Accesorios en el menú Inicio. 4. Abra Panel de control, haga clic en Cuentas de usuario, haga clic en Administrar cuentas de usuario, luego en la ficha Opciones avanzadas, haga clic en Opciones avanzadas, luego en Grupos, abra el grupo Administradores y luego asegúrese de que los grupos globales Admins. del dominio e AdminsTI_WoodgroveGG estén presentes. 5. Reinicie NYC-CL1. Tarea 2: Iniciar sesión en el equipo con Windows Vista como un usuario común y probar la directiva 1. Inicie sesión en NYC- CL1 como Woodgrovebank\Roya usando la contraseña Pa$$w0rd. 2. Asegúrese de que el menú Ejecutar no aparezca en la carpeta Accesorios del menú Inicio. 3. Presione Alt derecho + Suprimir y luego haga clic en Cambiar una contraseña. 4. En el campo Contraseña anterior, escriba Pa$$w0rd. 5. En los campos Nueva contraseña y Confirmar contraseña, escriba w0rdPa$$. No se podrá actualizar la contraseña ya que no ha expirado la duración mínima de la contraseña. 6. Cierre sesión en NYC-CL1. Tarea 3: Iniciar sesión en el controlador de dominio como el administrador de dominio y probar las restricciones de software y servicios 1. Inicie sesión en NYC-DC1 como Administrador, usando la contraseña Pa$$w0rd. 2. Inicie Símbolo del sistema y luego ejecute el comando GPupdate /force. 3. Intente iniciar Explorador de Internet, lea el mensaje de error y luego haga clic en Aceptar. 4. Busque D:\6824\Allfiles\mod07\LabFiles, haga doble clic en Hello.vbs, lea el mensaje de error y luego haga clic en Aceptar. 5. Abra la MMC Servicios en Herramientas administrativas. Deslícese hacia abajo hasta el servicio Registro remoto y asegúrese de que esté establecido en Deshabilitado. Tarea 4: Usar el Modelado de directivas de grupo para probar la configuración en el servidor de archivos y de impresión 1. Abra la GPMC y luego inicie Asistente de Modelado de directivas de grupo. 2. Aceptar todos los valores predeterminados excepto los de la ventana Seleccionar usuario y equipo. 3. Haga clic en Equipo y luego escriba Woodgrovebank\NYC-SVR1. 4. Una vez que finaliza el asistente, observe la configuración de la directiva. Tarea 5: Cerrar todas las máquinas virtuales y descartar los discos para deshacer 1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto para máquina virtual. 2. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar. 3. Cierre el Iniciador de laboratorio 6824A. Resultado: Al finalizar este ejercicio, habrá comprobado la configuración de seguridad. Ejercicio 5: Respuestas claves (pasos detallados) Revisión del laboratorio Revisión del laboratorio Observaciones para implementar la seguridad usando Directiva de grupo Tenga en cuenta lo siguiente al implementar la seguridad usando Directiva de grupo. Las directivas de seguridad son reglas que protegen los recursos en equipos y redes y pueden implementarse usando Directiva de grupo. La Directiva de dominio predeterminada y la Directiva predeterminada de los controladores de dominio se crean de manera predeterminada. Las directivas de cuenta deben implementarse en el nivel de dominio. Todas las directivas de nivel de dominio pueden entregar directivas de cuenta. Los clientes reciben directivas de cuenta desde los controladores de dominio. Por lo general, las directivas locales afectan a todos los usuarios del equipo local, incluyendo los usuarios de dominio. Las directivas de seguridad de red pueden controlar la configuración inalámbrica para Windows XP y versiones posteriores. Las directivas de seguridad de red pueden controlar la configuración alámbrica para Windows Vista y versiones posteriores. El Firewall de Windows es compatible con reglas de salida. El reconocimiento de la red puede determinar automáticamente su perfil de firewall. Hoy en día, la configuración de firewall y la configuración de IPsec están integradas. Las contraseñas de personalización avanzada permiten que diferentes usuarios o grupos globales cuenten con diversas directivas de cuenta. Las directivas de personalización avanzada no se entregan a través de Directiva de grupo. Se deben crear directivas de personalización avanzada usando Edición de ADSI o LDIFDE. Tanto la pertenencia a grupos locales como a grupos de dominio pueden controlarse a través de Directiva de grupo. El acceso a software puede controlarse mediante Directiva de grupo. Los administradores locales pueden estar exentos de las restricciones de software. Existen cuatro tipos de reglas para controlar el acceso a software. Las plantillas de seguridad pueden usarse para brindar un conjunto consistente de configuraciones de seguridad. El Asistente para configuración de seguridad puede usarse a modo de ayuda para crear directivas de seguridad. Las preferencias pueden reemplazar muchas de las funciones de los scripts de inicio de sesión. Las preferencias se aplican una vez, pero no son obligatorias y los usuarios pueden modificarlas. Las preferencias pueden establecerse para ser actualizadas con la misma regularidad que Directiva de grupo. Las preferencias pueden tener objetos como destino. Preguntas de revisión 1. Desea implementar una directiva de restricción de software en un nuevo tipo de archivo ejecutable. ¿Qué debe hacer antes de poder crear una regla para dicho código ejecutable? 2. ¿Qué valor se debe configurar para garantizar que los usuarios sólo cuenten con tres intentos de inicio de sesión inválidos? 3. Desea brindar una configuración de seguridad consistente para todos los equipos cliente en la organización. Las cuentas de equipo están distribuidas en múltiples unidades organizativas. ¿Cuál es la mejor manera de brindarlo? 4. Un administrador de su organización ha modificado accidentalmente la Directiva predeterminada de controladores de dominio. Se necesita restaurar la directiva a su configuración predeterminada original. ¿Cómo se lograría esto? Modulo 8 : Implementación de un plan de supervisión de Servicios de dominio de Active Directory Módulo 8 Implementación de un plan de supervisión de Servicios de dominio de Active Directory Para controlar y administrar el sistema operativo de una organización, es importante comprender las herramientas que pueden usarse para supervisar el mantenimiento del sistema. Al usar herramientas como Visor de eventos, Monitor de confiabilidad y rendimiento y las directivas de auditoría podrá anticiparse a los problemas y administrar los eventos de cada día. Lección 1: Supervisión de AD DS usando Visor de eventos Lección 2: Supervisión de los Servidores de dominio de Active Directory usando el Monitor de confiabilidad y rendimiento Lección 3: Configuración de la auditoría de AD DS Laboratorio: Supervisión de AD DS Lección 1: Supervisión de AD DS usando Visor de eventos Lección 1: Supervisar Servicios de dominio de Active Directory usando Visor de eventos La supervisión del rendimiento del servidor es una parte importante del mantenimiento y la administración de un sistema operativo. Visor de eventos es una aplicación que le permite examinar, administrar y supervisar los eventos registrados en los registros de eventos. Características de Visor de eventos Características de Visor de eventos Puntos clave Visor de eventos es uno de los primeros lugares a los que debe recurrir para solucionar problemas de Microsoft Windows. Se incorporaron una serie de nuevas características en Visor de eventos para Windows Vista® y Windows Server®°2008. Visor de eventos se ha vuelto a escribir por completo con una nueva interfaz de usuario que facilita el filtrado y la ordenación de eventos, además de controlar qué eventos se registran. También es posible realizar ciertas tareas básicas de diagnóstico desde Visor de eventos. Visor de eventos, además, brinda varios nuevos archivos de registros. Material de lectura adicional Artículo de Microsoft Technet: Visor de eventos Artículo de Microsoft Technet: Online Event Information (Información de eventos en línea) Demostración: Descripción general de Visor de eventos Demostración: Descripción general de Visor de eventos Pregunta: Existe un problema con Directiva de grupo. ¿Qué registro debe consultar para conocer los eventos detallados de Directiva de grupo? Registros de AD DS Registros de AD DS Puntos clave Los Registros de aplicaciones y del sistema aún brindan información general y eventos de registro de varias áreas, aunque Visor de eventos también ofrece en la actualidad una amplia gama de registros de aplicaciones y servicios. Estos registros pueden brindar información detallada sobre Servicios de dominio de Active Directory (AD DS) y otros servicios como Directiva de grupos, los archivos sin conexión, el cliente de Windows Update, entre varios otros. ¿Qué son las Vistas personalizadas? ¿Qué son las Vistas personalizadas? Puntos clave Las Vistas personalizadas son filtros que reciben un nombre y se guardan. Después de crear y guardar una vista personalizada, podrá volver a usarla sin crear nuevamente su filtro subyacente. Para volver a usar una vista personalizada, navegue hasta la categoría Vistas personalizadas en el árbol de consola y seleccione el nombre de la vista personalizada. Al seleccionar la vista personalizada, se aplica el filtro subyacente y se muestran los resultados. Es posible importar y exportar las vistas personalizadas, lo que le permitirá compartirlas entre los usuarios y equipos. Material de lectura adicional Artículo de Microsoft Technet: Crear una Vista personalizada ¿Qué son las suscripciones? ¿Qué son las suscripciones? Puntos clave Visor de eventos le permite ver los eventos en un único equipo remoto. Sin embargo, la solución de un problema puede requerir el análisis de un conjunto de eventos almacenados en varios registros de diferentes equipos. Visor de eventos permite recopilar las copias de eventos desde varios equipos remotos y almacenarlas localmente. Para especificar los eventos que se desean recopilar, debe crear una suscripción de eventos. Una vez que la suscripción está activa y se recopilan los eventos, es posible ver y controlar los eventos reenviados como lo haría con cualquier evento almacenado localmente. Pregunta: ¿Cuándo sería más útil aplicar las suscripciones en su organización? Material de lectura adicional Artículo de Microsoft Technet: Event Subscriptions (Suscripciones de eventos) Artículo de Microsoft Technet: Configurar Equipos para reenviar y recopilar eventos Demostración: Configuración de Vistas personalizadas y Suscripciones Demostración: Configuración de Vistas personalizadas y Suscripciones Pregunta: Desea supervisar un grupo determinado de eventos a través de múltiples servidores web. ¿Cuál es la mejor manera de lograrlo? Lección 2: Supervisión de los Servidores de dominio de Active Directory usando el Monitor de confiabilidad y rendimiento Lección 2: Supervisión de Servidores de dominio de Active Directory usando Monitor de confiabilidad y rendimiento Por lo general, el rendimiento es la medida de velocidad con la que un equipo finaliza las tareas del sistema y las aplicaciones. Es posible usar la supervisión de rendimiento para realizar un seguimiento de ciertos procesos y mostrar los resultados. También se puede usar la supervisión de rendimiento a modo de ayuda para optimizar la planeación, rastrear procesos que necesitan optimizarse y comprender las cargas de trabajo y sus efectos en el uso de recursos a fin de identificar los cuellos de botella. El rendimiento total del sistema debe estar limitado por la velocidad de acceso a los discos duros físicos, la cantidad de memoria disponible, la velocidad del procesador o la capacidad de transferencia de las interfaces de red. Características de Monitor de confiabilidad y rendimiento Características de Monitor de confiabilidad y rendimiento Puntos clave Monitor de confiabilidad y rendimiento de Windows le permite realizar un seguimiento del impacto de rendimiento de las aplicaciones y los servicios, además de generar alertas o acciones cuando se exceden los umbrales definidos por el usuario para un rendimiento óptimo. Monitor de confiabilidad y rendimiento de Windows presenta las características que se describen a continuación. Vista de recursos Monitor de confiabilidad Conjuntos de recopiladores de datos Realizar un seguimiento del rendimiento de aplicaciones y servicios Asistentes y plantillas para crear registros Generar alertas y acciones al alcanzar los umbrales Generar informes Acceso a Monitor de confiabilidad y rendimiento Material de lectura adicional Artículo de Microsoft Technet: Monitor de confiabilidad y rendimiento de Windows Demostración: Descripción general de Monitor de confiabilidad y rendimiento Demostración: Descripción general de Monitor de confiabilidad y rendimiento Pregunta: ¿Dónde puede encontrar información en tiempo real sobre la actividad de la red? Supervisión de AD DS usando Monitor de rendimiento Supervisión de AD DS usando Monitor de rendimiento Puntos clave Supervisar el servicio distribuido de AD DS y los servicios que lo respaldan ayuda a mantener la consistencia de los datos del directorio y el nivel necesario del servicio en todo el bosque. Se pueden supervisar indicadores importantes para descubrir y resolver problemas menores antes de que se conviertan en potenciales interrupciones prolongadas del servicio. Además de los contadores de la línea de base normales que supervisa para todos los servidores, hay objetos y decenas de contadores que son específicos para AD DS. Material de lectura adicional Artículo de Microsoft Technet: Monitoring Active Directory (Supervisión de Active Directory) ¿Qué es una Línea de base de Active Directory? ¿Qué es una Línea de base de Active Directory? Puntos clave Una línea de base del equipo es una medida del comportamiento especificado de los recursos durante la actividad normal, que indica cómo funciona el recurso o una colección de recursos del sistema. Luego, esta información se compara con la actividad posterior a fin de supervisar el uso y la respuesta del sistema frente a las condiciones aleatorias. Material de lectura adicional Artículo de Microsoft Technet: Deploying Active Directory for Branch Office Environments, Chapter 9 - Post Deployment Monitoring of Domain Controllers (Implementar Active Directory para entornos de sucursales, Capítulo 9: Supervisión posterior a la implementación de controladores de dominio) Supervisión de la disponibilidad del servicio con Monitor de confiabilidad Supervisión de la disponibilidad del servicio con Monitor de confiabilidad Puntos clave La confiabilidad de un sistema es la medida que analiza la frecuencia con la que el sistema se aparta del comportamiento configurado y esperado. Monitor de confiabilidad calcula el Índice de estabilidad del sistema, que refleja si los problemas inesperados redujeron la confiabilidad del sistema. Un gráfico del Índice de estabilidad a través del tiempo identifica con rapidez las fechas en las que comenzaron a ocurrir problemas. Pregunta: Desea consultar un registro histórico de software que ha sido agregado o eliminado del equipo. ¿Dónde buscaría esa información? Material de lectura adicional Artículo de Microsoft Technet: Guía paso a paso de supervisión del rendimiento y la confiabilidad de Windows Vista Supervisión de Servicios de dominio de Active Directory usando los Conjuntos de recopiladores de datos Supervisión de Servicios de dominio de Active Directory usando los Conjuntos de recopiladores de datos Puntos clave Una nueva característica incluida en Monitor de confiabilidad y rendimiento de Windows es el Conjunto de recopiladores de datos, que agrupa a los recopiladores de datos en elementos reutilizables que se ajustan a diversos escenarios de supervisión de rendimiento. Pregunta: Desea crear una alerta que le notifique cuando el espacio disponible en disco sea reducido. ¿Cómo la crearía? Material de lectura adicional Artículo de Microsoft Technet: Creación de conjuntos de recopiladores de datos Demostración: Supervisión de AD DS Demostración: Supervisión de AD DS Pregunta: ¿Cuál es la manera más fácil de registrar el mismo conjunto de datos en varios equipos? Lección 3: Configuración de la auditoría de AD DS Lección 3: Configuración de la Auditora de Servicios de dominio de Active Directory En los entornos seguros es necesario supervisar AD DS de modo activo. Como parte de la estrategia de seguridad global, se debe determinar el nivel de auditoría adecuado para el entorno. La auditoría debe identificar las acciones, ya sean correctas o no, que han modificado o intentado modificar los objetos de Active Directory. ¿Qué es la Auditoría de AD DS? ¿Qué es la Auditoría de AD DS? Puntos clave Un registro de auditoría registra una entrada cada vez que los usuarios realizan determinadas acciones. Por ejemplo, la modificación de un objeto o una directiva puede generar una entrada de auditoría que muestre la acción realizada, la cuenta de usuario asociada y la fecha y hora de la acción. Es posible auditar tanto los intentos satisfactorios como no satisfactorios de realizar acciones. Antes de implementar la directiva de auditoría, debe determinar qué categorías de eventos desea editar. La configuración de auditoría que seleccione para las categorías de eventos definirá su directiva de auditoría. En los servidores miembros y las estaciones de trabajo que se unen a un dominio, la configuración de auditoría para las categorías de eventos no está definida de manera predeterminada. En los controladores de dominio, algunas tareas de auditoría se activan de manera predeterminada. Material de lectura adicional Artículo de Microsoft Technet: Windows Server "Longhorn" Beta 3 Auditing AD DS Changes Step-by-Step Guide (Guía paso a paso de cambios de auditoría de AD DS “Longhorn” Beta 3 de Windows Server) Soporte técnico de Microsoft: Cómo usar la Directiva de grupo para establecer la configuración de auditoría de seguridad en detalle para los equipos con Windows Vista y Windows Server 2008 en un dominio de Windows Server 2008, en un dominio de Windows Server 2003 y en un dominio de Windows 2000 Artículo de Microsoft Technet: Conjunto de Auditpol Demostración: Configuración de Directiva de auditoría Demostración: Configuración de Directiva de auditoría Pregunta: ¿Qué registros muestran los resultados de la auditoría? Tipos de eventos para auditar Tipos de eventos para auditar Puntos clave Aunque la categoría Acceso del servicio de directorio aún ofrece información acerca de todos los eventos del directorio y está habilitada de manera predeterminada, puede obtenerse información más detallada en las subcategorías. Pregunta: Desea realizar un seguimiento de los detalles relacionados con las modificaciones realizadas a los objetos de Active Directory para una unidad organizativa (OU) determinada y las unidades organizativas secundarias. ¿Qué entrada de control de acceso (ACE) deberá configurar para capturar esa información? Material de lectura adicional Artículo de Microsoft Technet: Guía paso a paso sobre la auditoría de cambios en AD DS en Windows Server 2008 Demostración: Configuración de la Auditoría de AD DS Demostración: Configuración de la Auditoría de AD DS Pregunta: ¿Cómo habilitaría el seguimiento de los eventos de error para la subcategoría de cambio de servicio de directorio? Laboratorio: Supervisión de AD DS Laboratorio: Supervisión de AD DS Escenario Woodgrove Bank ha finalizado la instalación de AD DS. Como administrador de AD DS, debe supervisar la disponibilidad y el rendimiento de AD DS. El administrador del servidor brindó un plan de supervisión que incluye la disponibilidad y el rendimiento del servicio, además de los componentes de supervisión del registro de eventos. Al usar Supervisión de confiabilidad y rendimiento, Visor de eventos y otras herramientas, supervisará los controladores de dominio de AD DS. Ejercicio 1: Supervisión de AD DS usando Visor de eventos Ejercicio 1: Supervisión de AD DS usando Visor de eventos Como administrador de red, desea recopilar información de Visor de eventos del servicio de directorio de todos los controladores de dominio. Creará una vista personalizada para capturar los eventos Error crítico, Error y Advertencia para AD DS y el servidor DNS. Luego, exportará la vista a una carpeta de red compartida e importará la vista personalizada a NYC-DC2. Además, desea supervisar cuándo los servicios se detienen y comienzan en NYC-DC2. Creará una suscripción para reenviar el evento 7036 de NYC-DC2 a NYC-DC1 y luego comprobará el resultado. Finalmente, adjuntará una tarea a un registro del programa de instalación de Windows para recibir una notificación cada vez que se genera un evento en el registro de instalación en NYC-DC1 a fin de que pueda realizar un seguimiento de las instalaciones de la aplicación. Además, adjuntará una tarea al evento 7036 que le informará sobre los problemas existentes con los servicios. Las principales tareas para este ejercicio se realizarán como se detalla a continuación: 1. Iniciar las máquinas virtuales y luego iniciar sesión. 2. Crear una vista personalizada para capturar los eventos relevantes. 3. Exportar una vista personalizada. 4. Importar una vista personalizada. 5. Configurar equipos para reenviar y recopilar eventos. 6. Crear una suscripción para reenviar eventos de NYC-DC2 a NYC-DC1. 7. Adjuntar una tarea a un registro de eventos y a un evento. Tarea 1: Iniciar las máquinas virtuales y luego iniciar sesión 1. En la máquina host, haga clic en Inicio, elija Todos los programas, seleccione Microsoft Learning y luego haga clic en 6824A. Se inicia Iniciador de laboratorio. 2. En Iniciador de laboratorio, junto a 6824A-NYC-DC1, haga clic en Iniciar. 3. En Iniciador de laboratorio, junto a 6824A-NYC-DC2, haga clic en Iniciar. 4. Inicie sesión en NYC- DC1 como Administrador usando la contraseña Pa$$w0rd. 5. Inicie sesión en NYC-DC2 como Administrador usando la contraseña Pa$$w0rd. 6. Minimice la ventana Iniciador de laboratorio. Tarea 2: Crear una vista personalizada para capturar los eventos relevantes 1. En NYC-DC1, inicie la sesión como Administrador usando la contraseña Pa$$w0rd. 2. Inicie Visor de eventos desde la carpeta Herramientas administrativas. 3. Haga clic con el botón secundario en Personalizar vistas y luego haga clic en Crear vista personalizada. 4. Seleccione la casilla junto a Crítico, Advertencia y Error. 5. Haga clic en la flecha desplegable junto a Registros de eventos, expanda Aplicación y registros de servicios, seleccione Servicio de directorio y Servidor DNS y luego haga clic en Aceptar. 6. Denomine la vista personalizada Servicio de directorio. Tarea 3: Exportar una vista personalizada 1. Haga clic con el botón secundario en la vista personalizada Servicio de directorio y luego haga clic en Exportar vista personalizada. 2. Guarde la vista exportada como C:\Datos\ Active Directory. Tarea 4: Hacer clic con el botón secundario en Vistas personalizadas y luego hacer clic en Crear una vista personalizada 1. Inicie sesión en NYC-DC2 como Administrador usando la contraseña Pa$$w0rd. 2. Inicie Visor de eventos desde la carpeta Herramientas administrativas. 3. Haga clic con el botón secundario en Vistas personalizadas y luego haga clic en Importar vista personalizada. 4. Importe la vista personalizada desde \\NYC-DC1\Datos\Active Directory.xml. Tarea 5: Configurar equipos para reenviar y recopilar eventos 1. En NYC-DC1 (el equipo recopilador), abra Línea de comandos, escriba wecutil qc e Y y luego presione ENTER para realizar los cambios. 2. Cierre el símbolo del sistema. 3. Cambie a NYC-DC2 (el equipo de origen). 4. Abra Línea de comandos, escriba winrm configrápida e Y y luego presione ENTER para realizar los cambios. 5. Cierre el símbolo del sistema. Tarea 6: Crear una suscripción para reenviar eventos de NYC-DC2 a NYC-DC1 1. En NYC-DC1, en Visor de eventos, haga clic con el botón secundario en Subscripciones y luego haga clic en Crear Subscripción. 2. Escriba el nombre de la suscripción Servicio de eventos, haga clic en Colector Iniciado y luego haga clic en Seleccionar equipos. 3. Haga clic en Agregar dominio de equipos y luego agregue NYC-DC2. 4. Haga clic en Seleccionar eventos y luego seleccione los eventos Información. 5. Haga clic en la flecha desplegable junto a Registros de eventos, expanda Registros de Windows y luego seleccione el registro Sistema. 6. En el campo ID del evento, escriba 7036 y luego haga clic en Aceptar. 7. Haga clic en Avanzado, luego en Usuario específico y finalmente en Usuario y contraseña. 8. Asegúrese de que el nombre de usuario sea Woodgrovebank\Administrador y luego escriba la contraseña Pa$$w0rd. 9. Haga clic en Minimizar latencia y luego en Aceptar dos veces. Haga clic en Sí en caso de que aparezcan los mensajes de Visor de eventos. 10. En el panel de la carpeta, haga clic en la carpeta Subscripciones y asegúrese de que el estado de la suscripción Eventos de servicio sea Activo. 11. En NYC-DC2, abra Símbolo del sistema. 12. En Símbolo del sistema, escriba net stop dns y luego presione ENTER. 13. Escriba Inicio net de DNS y luego presione ENTER. 14. En NYC-DC1, haga clic en el registro Eventos reenviados. Examine los eventos de información. Nota: Es posible que los eventos reales demoren unos minutos en aparecer en el registro Eventos reenviados. Inicie y detenga el servicio DNS nuevamente si resulta necesario. Tarea 7: Adjuntar una tarea a un registro de eventos y a un evento 1. En NYC-DC1, expanda Registros de Windows, haga clic con el botón secundario en el registro Instalación y luego haga clic en Adjuntar una tarea a este registro. 2. En Crear un asistente básico de tarea, haga clic en Siguiente. 3. En la ventana Cuando se registra un evento específico, haga clic en Siguiente. 4. En la ventana Acción, haga clic en Enviar un e-mail y luego en Siguiente. 5. En la ventana Enviar un e-mail, escriba Visor de eventos en el campo De. 6. Escriba Administrador@woodgrovebank.com en el campo A. 7. Escriba Instalación de la aplicación en el campo Asunto. 8. Escriba Mail.Woodgrovebank.com en el campo Servidor SMTP, haga clic en Siguiente y luego en Finalizar. Haga clic en Aceptar. 9. Haga clic en el registro Eventos reenviados para abrirlo. 10. Haga clic con el botón secundario en uno de los eventos 7036 y luego haga clic en Adjuntar tarea a este evento. 11. En la pantalla Crear una tarea básica, haga clic en Siguiente. 12. En la pantalla Cuando se registra un evento específico, haga clic en Siguiente. 13. En la pantalla Acción, haga clic en Mostrar un mensaje y luego en Siguiente. 14. En la pantalla Mostrar un mensaje, escriba Evento de servicio en el campo Título, escriba Servicio detenido o iniciado en el campo Mensaje, haga clic en Siguiente, luego en Finalizar y finalmente haga clic en Aceptar para reconocer el mensaje de Visor de eventos. 15. Cambie a NYC-DC2 y repita los pasos para detener e iniciar el servicio DNS. 16. Cuando aparece el cuadro de mensaje mostrando el mensaje, haga clic en Aceptar para reconocer el mensaje. Nota: Es posible que el cuadro de mensaje esté oculto detrás de la ventana Visor de eventos. Búsquelo en la Barra de tareas. 17. Cierre todas las ventanas. Resultado: Al finalizar este ejercicio, habrá supervisado AD DS usando Visor de eventos. Ejercicio 1: Respuestas claves (pasos detallados) Ejercicio 2: Supervisión de AD DS usando el Monitor de confiabilidad y rendimiento Ejercicio 2: Supervisión de AD DS usando el Monitor de confiabilidad y rendimiento Como administrador de red, podrá configurar Monitor de confiabilidad y rendimiento para supervisar algunos de los contadores de servicio del directorio. Además, creará Conjuntos de recopiladores de datos, supervisará el rendimiento del servidor usando Monitor de rendimiento y configurará una alerta que se activará cuando el espacio disponible en disco sea reducido. Las principales tareas para estos ejercicios son: 1. Configurar Monitor de confiabilidad y rendimiento para supervisar AD DS. 2. Crear un conjunto de recopiladores de datos. Tarea 1: Configurar Monitor de confiabilidad y rendimiento para supervisar AD DS 1. En NYC-DC1, abra el Monitor de rendimiento y confiabilidad en Herramientas administrativas y luego haga clic en Monitor de rendimiento. 2. Haga clic en el signo verde Más de la barra de herramientas para agregar objetos y contadores. 3. En el cuadro de diálogo Agregar contadores, expanda el objeto Servicios de directorio y luego agregue el contador DRA Total de bytes de entrada/sec. 4. Repita el paso anterior para agregar los siguientes contadores: 5. Bytes Totales DRA de salida/seg. 6. DS Subprocesos en uso 7. DS Directory lee/seg. 8. DS Directory escribe/seg. 9. Expanda Estadísticas de seguridad para todo el sistema y luego agregue el contador de Autenticaciones Kerberos. 10. Expanda DNS y luego agregue el contador UDP Query received. Tarea 2: Crear un conjunto de recopiladores de datos 1. En el panel de la carpeta, haga clic con el botón secundario en Monitor de rendimiento, haga clic en Nuevo y luego en Conjunto de Recopiladores de datos 2. Asigne el nombre Active Directory al conjunto de recopiladores de datos. 3. Deje el directorio Raíz como la ruta predeterminada y luego haga clic en Finalizar. 4. Expanda Conjunto de Recopiladores de datos, luego expanda Definido por el Usuario, haga clic con el botón secundario en Active Directory y luego presione Iniciar. 5. Expanda Informes, luego Definido por el Usuario, después Active Directory y, finalmente, haga clic en Monitor de registro del sistema.blg. El estado del informe muestra que el registro está recopilando datos. 6. Haga clic con el botón secundario en el conjunto de recopiladores de datos de Active Directory y luego haga clic en Detener. 7. Haga clic en Monitor de registro del sistema.blg. El gráfico del registro se muestra en el panel de detalles. Resultado: Al finalizar este ejercicio, habrá supervisado AD DS usando Monitor de confiabilidad y rendimiento. Ejercicio 2: Respuestas claves (pasos detallados) Ejercicio 3: Configuración de la auditoría de AD DS Ejercicio 3: Configuración de la auditoría de AD DS Como administrador de red, se le asignó la tarea de implementar una directiva de auditoría para realizar un seguimiento de los eventos específicos que suceden en AD DS. Primero, deberá analizar el estado actual de la directiva de auditoría. Luego, deberá configurar la auditoría a fin de realizar un seguimiento de las modificaciones correctas o incorrectas que se realizaron a los objetos de Active Directory, incluyendo los valores de atributos nuevos y anteriores. Finalmente, probará la directiva. Las principales tareas para este ejercicio se realizarán como se detalla a continuación: 1. Examinar el estado actual de la directiva de auditoría. 2. Habilitar el Acceso del servicio de directorio de auditoría en los controladores de dominio. 3. Configurar la SACL para el dominio. 4. Probar la directiva. 5. Cerrar todas las máquinas virtuales y descartar los discos para deshacer. Tarea 1: Examinar el estado actual de la directiva de auditoría 1. En NYC-DC1, abra Símbolo del sistema. 2. En la ventana del símbolo del sistema, escriba Auditpol.exe /get /category:* y luego presione ENTER. Analice la configuración predeterminada de la directiva de auditoría. 3. Minimice el símbolo del sistema. Tarea 2: Habilitar el Acceso del servicio de directorio de auditoría en los controladores de dominio 1. En NYC-DC1, abra Administración de directiva de grupo. 2. Abra la carpeta Objetos de directivas de grupo y luego edite la Directiva de controladores de dominio predeterminado. 3. Expanda Configuración del equipo, luego Configuración de Windows, después Configuración de seguridad, expanda Directivas locales y luego haga clic en Directiva de auditoría. Tenga en cuenta que todos los valores de la directiva están configurados como No esta definido. 4. Haga doble clic en Auditar el acceso al servicio de directorio, defina la configuración de la directiva para Éxito y error y luego haga clic en Aceptar. 5. Cierre el Editor de administración de directivas de grupo y luego cierre la consola Administración de directiva de grupo. 6. Restaure Símbolo del sistema y luego escriba gpupdate 7. Una vez finalizada la actualización, vuelva a ejecutar el comando Auditpol.exe /get /category* y luego examine la configuración predeterminada de la directiva de auditoría. 8. Cierre el símbolo del sistema. Tarea 3: Configurar la SACL para el dominio 1. Abra Usuarios y equipos de Active Directory. 2. Haga clic en el menú Ver y luego en Características avanzadas. 3. Haga clic con el botón secundario en el objeto woodgrovebank.com dominio y luego haga clic en Propiedades. 4. En el cuadro de diálogo Propiedades, haga clic en la ficha Seguridad, luego en Oopciones Avanzadas, haga clic en la ficha Auditoria y luego en Agregar. 5. En el cuadro de diálogo Seleccionar usuarios, escriba Todos y luego haga clic en Aceptar. 6. En el cuadro de diálogo Entrada de auditoría para Woodgrovebank, seleccione la casilla para auditar Éxito y error al escribir todas las propiedades y luego haga clic en Aceptar dos veces. Tarea 4: Probar la directiva 1. Cambie el nombre de la unidad organizativa Toronto por GTA. 2. Abra Visor de eventos, expanda Registros de Windows y luego haga clic en Seguridad. 3. Abra el evento 4662 y examine el evento. 4. Vuelva a Usuarios y equipos de Active Directory y edite las cuentas de usuario para cambiar el número de teléfono. 5. Vuelva a Visores de eventos y analice los eventos de cambios resultantes del servicio de directorio. 6. Cierre todas las ventanas. 7. Apague todas las máquinas virtuales sin guardar los cambios. Tarea 5: Cerrar todas las máquinas virtuales y descartar los discos para deshacer 1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto de máquina virtual. 2. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar. 3. Cierre el Iniciador de laboratorio 6824A. Resultado: Al finalizar este ejercicio, habrá configurado la Auditoría de AD DS. Ejercicio 3: Respuestas claves (pasos detallados) Revisión del laboratorio Revisión del laboratorio Preguntas de revisión 1. ¿Qué tipos de eventos se registran en el registro Instalación? 2. ¿Para qué identificador de eventos aplicaría un filtro a fin de ver las cuentas de usuario eliminadas? 3. ¿Qué servicio debe habilitar en los equipos que recopilan eventos de suscripción de equipos remotos? 4. ¿Dónde puede encontrar información actualizada acerca de los identificadores de eventos? 5. ¿Dónde puede encontrar información histórica acerca de los errores de la aplicación? 6. El contador NTDS/N° de sincronizaciones de duplicación DRA pendientes es actualmente superior al valor básico establecido para el contador. ¿Qué podría indicar esto? 7. Desea ver todas las repeticiones de un identificador de eventos determinado en varios registros. ¿Cuál es la mejor manera de lograrlo? Observaciones para implementar el Plan de supervisión de AD DS Tenga en cuenta lo siguiente cuando desee implementar un plan de supervisión de AD DS: Visor de eventos permite guardar los filtros como vistas personalizadas reutilizables. Las consultas entre registros le permiten visualizar los datos de varios registros en una vista única. Las suscripciones le permiten reunir eventos de equipos remotos. Los Registros de aplicaciones y servicios ofrecen registros más detallados que corresponden a servicios específicos de Windows. Los registros de eventos en línea brindan información actualizada acerca de los eventos. Los registros de aplicaciones y servicios incluyen los registros operativos, analíticos, de administración y de depuración. Se creará un registro para cada función del servidor que instale. Es posible importar y exportar las vistas personalizadas. Las suscripciones requieren configuración tanto en los equipos de recopilación como en los equipos de origen. Monitor de confiabilidad y rendimiento de Windows brinda información en tiempo real en la vista de recursos. Monitor de confiabilidad brinda gráfico de la estabilidad del sistema a través del tiempo. Es posible generar informes fáciles de usar. Monitor de rendimiento ofrece una amplia gama de objetos y contadores de AD DS. Debe establecer líneas de base a fin de determinar el rendimiento de un equipo durante una carga de trabajo normal. Informe de estabilidad del sistema realiza un seguimiento de varias categorías de eventos y desarrolla un registro histórico. Conjuntos de recopiladores de datos le permite agrupar recopiladores de datos en elementos reutilizables. Hay varios Conjuntos de recopiladores de datos integrados, aunque también puede definir el suyo. La auditoría de AD DS puede realizar un seguimiento de todos los eventos que ocurren en AD DS. El Acceso del servicio de directorio de auditoría está dividido en cuatro subcategorías. La subcategoría Cambios de servicio del directorio ofrece los valores nuevos y anteriores al modificar los atributos. Debe utilizar Auditpol.exe para configurar las subcategorías. Las SACL deben establecerse en los objetos para permitir la auditoría antes de recopilar los resultados. La subcategoría Cambios de servicio del directorio ofrece los valores nuevos y anteriores al modificar los atributos. Debe utilizar Auditpol.exe para configurar las subcategorías. Las SACL deben establecerse en los objetos para permitir la auditoría antes de recopilar los resultados. Modulo 9 : Implementación de un plan de mantenimiento de Servicios de dominio de Active Directory Módulo 9 Implementación de un plan de mantenimiento de Servicios de dominio de Active Directory Como administrador de Windows Server®°2008, una de las tareas que deberá realizar es el mantenimiento de los controladores de dominio de Servicios de dominio de Active Directory® (AD DS) de la organización. Un componente importante para el mantenimiento de los controladores de dominio es administrar, hacer copias de seguridad y restaurar el almacén de datos de AD DS. Lección 1: Mantenimiento de los controladores de dominio de AD DS Lección 2: Copias de seguridad de Servicios de dominio de Active Directory Lección 3: Restauración de AD DS Laboratorio: Implementación de un plan de mantenimiento de AD DS Lección 1: Mantenimiento de los controladores de dominio de AD DS Lección 1: Mantenimiento de los controladores de dominio de AD DS El mantenimiento de la base de datos de AD DS es una tarea administrativa importante que se debe programar regularmente para garantizar que, ante un desastre, se puedan recuperar los datos perdidos o dañados y reparar la base de datos de AD DS. AD DS cuenta con su propio motor de base de datos, el Motor de almacenamiento extensible (ESE), que administra el almacenamiento de todos los objetos de AD DS en una base de datos de AD DS. Al comprender cómo se escriben en la base de datos los cambios realizados a los atributos de AD DS, también se comprenderá cómo la modificación de los datos afecta el rendimiento y la fragmentación de la base de datos y la integridad de los datos. Base de datos y archivos de registro de AD DS Base de datos y archivos de registro de AD DS Puntos clave El motor de base de datos de AD DS, ESE, almacena todos los objetos de AD DS. El ESE usa transacciones y archivos de registro para asegurar la integridad de la base de datos de AD DS. Material de lectura adicional Artículo de Microsoft Technet: How the Data Store Works (Cómo funciona el almacén de datos) Cómo se modifica la base de datos de AD DS Cómo se modifica la base de datos de AD DS Puntos clave Los puntos clave en el proceso de modificación de datos de AD DS son los siguientes: Una transacción es un conjunto de cambios realizados a la base de datos de AD DS y a los metadatos asociados. El proceso básico de modificación de datos consta de 6 pasos: 1. La solicitud de escritura da inicio a una transacción. 2. AD DS escribe la transacción en el búfer de transacciones de la memoria. 3. AD DS escribe la transacción en el registro de transacciones. 4. AD DS escribe la transacción en la base de datos desde el búfer de memoria. 5. AD DS compara los archivos de la base de datos y los archivos de registro para asegurarse de que la transacción se haya guardado en la base de datos. 6. AD DS actualiza el archivo de punto de control. El hecho de contar con una memoria caché y un registro le permite a AD DS procesar transacciones adicionales antes de escribirlas en la base de datos, mejorando así el rendimiento de la base de datos. Preguntas: ¿Qué otros servicios de Microsoft usan un modelo transaccional para realizar cambios en la base de datos? ¿Cómo se compara el modelo de AD DS con estos otros servicios? Material de lectura adicional Artículo de Microsoft Technet: How the Data Store Works (Cómo funciona el almacén de datos) Administración de la base de datos de Active Directory usando la herramienta NTDSUtil Administración de la base de datos de Active Directory usando la herramienta NTDSUtil Puntos clave Ntdsutil.exe es una herramienta de línea de comandos que se puede usar para administrar AD DS. Se pueden realizar muchas tareas de mantenimiento que no pueden hacerse en la interfaz gráfica de usuario (GUI), incluso desfragmentar la base de datos sin conexión, mover la base de datos y su registro de transacciones, quitar y restaurar los objetos eliminados de AD DS, asumir las funciones del maestro de operaciones (también denominado Flexible Single Master Operations; FSMO) y administrar las instantáneas de la base de datos. También se pueden incluir estos comandos en un archivo por lotes. Pregunta: Ha olvidado la contraseña de modo de restauración de servicios de directorio para su controlador de dominio. ¿De qué manera puede recuperar la contraseña? Material de lectura adicional NTDSUtil Help (Ayuda para la herramienta NTDSUtil) Data Store Tools and Settings (Herramientas y configuración del almacén de datos) ¿Qué es la desfragmentación de la base de datos de AD DS? ¿Qué es la desfragmentación de la base de datos de AD DS? Puntos clave Con el tiempo, se produce la fragmentación a medida que los registros se eliminan de la base de datos de AD DS y se agregan o se expanden nuevos registros. Cuando se fragmentan los registros, el equipo debe buscar en el disco para encontrar y reensamblar todas las partes cada vez que se abre la base de datos. Si se realizan muchos cambios en la base de datos de AD DS, la fragmentación podría reducir su rendimiento. Pregunta: ¿Con cuánta frecuencia deberá realizar una desfragmentación sin conexión de las bases de datos de AD DS en su entorno? Material de lectura adicional Performing offline defragmentation of the AD DS database (Realizar la desfragmentación sin conexión de la base de datos de AD DS) Data Store Tools and Settings (Herramientas y configuración del almacén de datos) ¿Qué son los Servicios de dominio de Active Directory reiniciables? ¿Qué son los Servicios de dominio de Active Directory reiniciables? Puntos clave En Windows Server 2008, AD DS puede ser detenido y reiniciado mientras que la máquina se inicia. En las versiones anteriores, si un administrador deseaba iniciar un controlador de dominio sin cargar AD DS, el servidor debía ser reiniciado en Modo de restauración de Active Directory. Esto iniciaba el servidor como un servidor independiente, sin AD DS. Luego se podían realizar tareas de mantenimiento sin conexión, como una desfragmentación sin conexión, o mover la base de datos y archivos de registro. Con Windows Server 2008, el servicio de directorio puede ser desconectado mientras la máquina se está ejecutando, causando sólo una mínima interrupción en los demás servicios. Material de lectura adicional AD DS: Servicios de dominio de AD DS reiniciables Biblioteca técnica de Windows Server 2008 Demostración: Tareas de mantenimiento de la base de datos de AD DS Demostración: Tareas de mantenimiento de la base de datos de AD DS Pasos de demostración Para realizar estos pasos se debe ser miembro del grupo integrado Administradores en el controlador de dominio. 1. Detener AD DS. 2. Abrir un símbolo del sistema. 3. Iniciar ntdsutil. 4. En el símbolo de ntdsutil: escribir Activate Instance NTDSy luego presionar ENTER. 5. En el símbolo de ntdsutil: escribir files y luego presionar ENTER. 6. Compactar la base de datos usando un directorio temporal para el nuevo ntds.dit. 7. Sobrescribir el ntds.dit anterior con la versión nueva compactada y eliminar cualquier archivo de registro (*.log) en la carpeta %raíz del sistema (systemroot)%\NTDS\. 8. En la ventana del comando Mantenimiento de archivo de ntdsutil, escribir Integrity para comprobar la integridad de la nueva base de datos compactada. 9. En la ventana del comando Mantenimiento de archivo, escribir mover db a nombre de ruta y luego presionar ENTER. El archivo ntds.dit se moverá a la nueva ubicación y se establecerán los permisos en consecuencia. 10. Iniciar AD DS. Preguntas: ¿Por qué es necesario detener AD DS antes de desfragmentar? ¿Por qué es necesario compactar primero la base de datos en un directorio temporal? Material de lectura adicional Compact the directory database file (offline defragmentation) ((Compactar el archivo de directorio de la base de datos (desfragmentación sin conexión)) Bloqueo de servicios en los controladores de dominio de AD DS Bloqueo de servicios en los controladores de dominio de AD DS Puntos clave Como parte de un amplio plan de seguridad, se puede incrementar la seguridad de un controlador de dominio eliminando todos los servicios y características innecesarios. Esto minimiza la superficie de ataque y mejora el rendimiento. Material de lectura adicional Security Configuration Wizard Overview (Descripción general del Asistente para configuración de seguridad) Lección 2: Copias de seguridad de Servicios de dominio de Active Directory Lección 2: Copia de seguridad de Servicios de dominio de Active Directory Debido a la importancia que tiene AD DS para la mayoría de las organizaciones, es importante poder restaurar la funcionalidad de AD DS en caso de daños en la base de datos, errores del servidor o un desastre mucho mayor, como el error de un centro de datos que contiene múltiples servidores. Para prepararse para la recuperación ante desastres se debe implementar una directiva consistente para hacer una copia de seguridad de la información de AD DS que se encuentra en los controladores de dominio. Introducción a la copia de seguridad de AD DS Introducción a la copia de seguridad de AD DS Puntos clave Puede usar Copias de seguridad de Windows Server para hacer una copia de seguridad de AD DS. Copias de seguridad de Windows Server no está instalada de manera predeterminada. Debe instalarla usando Agregar características en Administrador de servidores antes de que poder usar la herramienta de línea de comandos Wbadmin.exe y la herramienta Copia de seguridad en Herramientas administrativas. Pregunta: ¿Qué otro proceso se podría usar para hacer una copia de seguridad de los datos de estado del sistema que se encuentran en un controlador de dominio? Material de lectura adicional Step-by-Step Guide for Windows Server 2008 Beta 3 Active Directory Domain Services Backup and Recovery (Guía paso a paso para operaciones de copia de seguridad y recuperación de Servicios de dominio de Active Directory de Windows Server 2008 Beta 3) Características de las copias de seguridad de Windows Server Características de las copias de seguridad de Windows Server Puntos clave Copias de seguridad de Windows Server es la nueva utilidad de copias de seguridad que brinda Windows Server 2008. Para usar Copias de seguridad de Windows Server, debe instalarla como una característica. Si desea usar las herramientas de línea de comandos Copias de seguridad de Windows Server también debe instalar la característica Windows PowerShell. Material de lectura adicional Biblioteca técnica de Windows Server 2008 Demostración: Copia de seguridad de AD DS Demostración: Copia de seguridad de AD DS Preguntas: ¿Por qué deberían programarse las copias de seguridad? ¿Con cuánta frecuencia debería hacerse una copia de seguridad completa? ¿Con cuánta frecuencia debería hacerse una copia de seguridad incremental o diferencial? Material de lectura adicional Step-by-Step Guide for Windows Server 2008 Beta 3 Active Directory Domain Services Backup and Recovery (Guía paso a paso para operaciones de copia de seguridad y recuperación de Servicios de dominio de Active Directory de Windows Server 2008 Beta 3) Lección 3: Restauración de AD DS Lección 3: Restauración de AD DS Luego de implementar el sistema de copias de seguridad de AD DS, puede comenzar a planear e implementar la restauración de AD DS. Windows Server 2008 brinda varias opciones para restaurar la información de AD DS. Esta lección describe cuándo y cómo usar cada opción. Descripción general de la restauración de AD DS Descripción general de la restauración de AD DS Puntos clave Windows Server 2008 brinda varias opciones para restaurar la información de AD DS. La opción que elija dependerá del escenario de recuperación ante desastres que deba abordar. Material de lectura adicional Step-by-Step Guide for Windows Server 2008 Beta 3 Active Directory Domain Services Backup and Recovery (Guía paso a paso para operaciones de copia de seguridad y recuperación de Servicios de dominio de Active Directory de Windows Server 2008 Beta 3) ¿Qué es una restauración no autoritativa de AD DS? ¿Qué es una restauración no autoritativa de AD DS? Puntos clave Se puede usar una copia de seguridad para realizar una restauración no autoritativa de un controlador de dominio. Una restauración no autoritativa devuelve el servicio de directorio al estado en que se encontraba en el momento en que se hizo la copia de seguridad. Una vez finalizada la operación de restauración, la replicación de AD DS actualiza el controlador de dominio con los cambios ocurridos desde el momento en que se hizo la copia de seguridad. De esta manera, el controlador de dominio es recuperado a un estado actual. Pregunta: ¿Qué sucedería si no escribe el segundo comando bcdedit después de restaurar la base de datos de AD DS? Material de lectura adicional Step-by-Step Guide for Windows Server 2008 Beta 3 Active Directory Domain Services Backup and Recovery (Guía paso a paso para operaciones de copia de seguridad y recuperación de Servicios de dominio de Active Directory de Windows Server 2008 Beta 3) ¿Qué es una restauración autoritativa de AD DS? ¿Qué es una restauración autoritativa de AD DS? Puntos clave Una restauración autoritativa brinda un método para la recuperación de objetos y contenedores que han sido eliminados de AD DS. Cuando se marca un objeto para su restauración autoritativa, se modifica su número de versión para que sea mayor que el número de versión existente del objeto (eliminado) en el sistema de replicación de AD DS. Este cambio asegura que cualquier dato que se restaure de manera autoritativa se replicará desde el controlador de dominio restaurado a otros controladores de dominio del bosque. Pregunta: ¿Qué sucedería si no escribe el segundo comando bcdedit después de restaurar la base de datos de AD DS? Material de lectura adicional Step-by-Step Guide for Windows Server 2008 Beta 3 Active Directory Domain Services Backup and Recovery (Guía paso a paso para operaciones de copia de seguridad y recuperación de Servicios de dominio de Active Directory de Windows Server 2008 Beta 3) Performing an Authoritative Restore of Active Directory Objects (Realizar una restauración autoritativa de Objetos de Active Directory) ¿Qué es la herramienta de minería de datos? ¿Qué es la herramienta de minería de datos? Puntos clave La herramienta de montaje de bases de datos (Dsamain.exe) permite a los administradores visualizar y comparar datos en instantáneas de base de datos (copias de seguridad) sin la necesidad de restaurar esas copias de seguridad. Esto reduce el tiempo de inactividad y acelera el proceso de recuperación del dominio. Material de lectura adicional AD DS: herramienta de montaje de bases de datos Step-by-Step Guide for Using the Active Directory Database Mounting Tool in Windows Server 2008 Beta 3 (Guía paso a paso para usar la Herramienta de montaje de bases de datos de Active Directory en Windows Server 2008 Beta 3) Demostración: Uso de la herramienta de minería de datos Demostración: Uso de la herramienta de minería de datos Pasos de demostración Para realizar este procedimiento, debe haber iniciado sesión en un controlador de dominio ya sea como miembro del grupo Administradores de empresas o como miembro del grupo Administradores de dominio. 1. Iniciar un símbolo del sistema con privilegios administrativos. 2. En el símbolo del sistema, escriba ntdsutil y luego presione ENTER. 3. En el símbolo de ntdsutil, escriba instantánea y luego presione ENTER. 4. En el símbolo de la instantánea, escriba Activate Instance y luego presione ENTER. 5. En el símbolo de la instantánea, escriba create y luego presione ENTER. El comando devuelve el siguiente resultado: Snapshot set {GUID} generated successfully [Conjunto de instantáneas {GUID} correctamente generado]. 6. En el símbolo de la instantánea, escriba mount {GUID}. La instantánea montada aparecerá en el sistema de archivos. Nota: Asegúrese de escribir el número GUID entre llaves. 7. Escriba quit dos veces para volver al símbolo del sistema. 8. En el símbolo del sistema, escriba lo siguiente (en una línea) y luego presione ENTER: Dsamain -dbpath:C:\$SNAP_200708311630_VOLUMEC$\WINDOWS\NTDS\ntds.dit -ldapport:51389 -sslport:51390 -gcport:51391 -gcsslport:51392 Nota: Su ruta de acceso a la instantánea probablemente será diferente. 9. Un mensaje indica que el inicio de Servicios de dominio de Active Directory se ha completado. Deje que Dsamain.exe continúe ejecutándose. No cierre el símbolo del sistema. 10. En la línea de ejecución, escriba LDP y luego haga clic en Aceptar. 11. Haga clic en Conexión y luego haga clic en Conectar. 12. En Servidor, escriba localhost; en Puerto, escriba 51389 y luego haga clic en Aceptar. 13. Haga clic en Conexión y luego haga clic en Enlazar. 14. En Tipo de enlace, haga clic en Enlazar como usuario con sesión iniciada y luego haga clic en Aceptar. 15. Haga clic en Ver y luego en Árbol. 16. En BaseDN, escriba dc=woodgrovebank,dc=com. 17. Busque en los contenedores un objeto de usuario y luego haga doble clic en el usuario para ver sus propiedades. 18. Cierre LDP.exe. 19. Detenga Dsmain.exe presionando Ctrl+C. Preguntas: ¿Cuándo sería útil montar múltiples instantáneas al mismo tiempo? ¿Por qué es necesario especificar diferentes puertos LDAP, SSL y GC para cada instancia montada de la base de datos? Material de lectura adicional Step-by-Step Guide for Using the Active Directory Database Mounting Tool in Windows Server 2008 Beta 3 (Guía paso a paso para usar la Herramienta de montaje de bases de datos de Active Directory en Windows Server 2008 Beta 3) Reanimación de objetos desechados de AD DS Reanimación de objetos desechados de AD DS Puntos clave Un objeto desechado es un objeto que se marca como eliminado en AD DS. Cuando un administrador elimina un objeto, éste se convierte en un desecho. Los objetos desechados permanecen en la base de datos de AD DS en estado desactivado durante 180 días (duración predeterminada de los objetos desechados). Los objetos desechados se replican a los demás controladores de todo el dominio y luego se eliminan en cada controlador de dominio al finalizar su tiempo de vida. Cuando un objeto se marca como desecho, el atributo esEliminado en el objeto se establece en valor True y la mayoría de los atributos son eliminados. Sólo se conservan algunos atributos importantes (SID, ObjectGUID, LastKnownParent y SAMAccountName). Esto significa que si el administrador reanima el objeto, éste ya no contará con toda la información que solía tener. Se deben recrear manualmente los valores de atributo que falten. Nota: La Herramienta de montaje de bases de datos puede usarse para ver los atributos de los objetos eliminados en una instantánea realizada antes de la eliminación del mismo. Esto hace que sea más fácil recuperar el elemento eliminado Material de lectura adicional How to restore deleted user accounts and their group memberships in Active Directory (Cómo restaurar cuentas de usuario eliminadas y su pertenencia a grupos en Active Directory) Laboratorio: Implementación de un plan de mantenimiento de AD DS Laboratorio: Implementación de un plan de mantenimiento de Servicios de dominio de Active Directory Escenario Woodgrove Bank ha finalizado la implementación de AD DS. Para garantizar una alta disponibilidad y rendimiento de los servidores de AD DS, la organización está implementando un plan de mantenimiento que incluye el mantenimiento continuo de la base de datos de AD DS y la implementación de un plan de recuperación ante desastres. El administrador del servidor ha preparado un plan de copias de seguridad que incluye el volumen diario del sistema de un controlador de dominio, en cada dominio. El administrador del servidor también ha preparado planes para la recuperación de datos de AD DS en varios escenarios. Debe implementar estos planes. Ejercicio 1: Mantenimiento de los controladores de dominio de AD DS Ejercicio 1: Mantenimiento de los controladores de dominio de AD DS En este ejercicio, se implementará un plan para el mantenimiento de los controladores de dominio de AD DS. Las tareas incluyen la ejecución de SCW para deshabilitar todos los servicios que no se requieren en los controladores de dominio, mover las bases de datos de AD DS a un disco duro alternativo y realizar una desfragmentación sin conexión de la base de datos de AD DS. Las principales tareas para este ejercicio se realizarán como se detalla a continuación: 1. Iniciar las máquinas virtuales y luego iniciar sesión. 2. Usar el Asistente para configuración de seguridad para bloquear servicios y configurar el firewall en NYC-DC1. 3. Realizar una desfragmentación sin conexión de la base de datos de AD DS. 4. Mover la base de datos de AD DS. Tarea 1: Iniciar la máquina virtual y luego iniciar sesión 1. En el equipo, haga clic en Inicio, elija Todos los programas, luego Microsoft Learning y haga clic en 6824A. Se inicia Iniciador de laboratorio. 2. En Iniciador de laboratorio, junto a 6824A-NYC-DC1, haga clic en Iniciar. 3. Inicie sesión en NYC-DC1 como Administrador, usando la contraseña Pa$$w0rd. 4. Minimice la ventana Iniciador de laboratorio. Tarea 2: Usar el Asistente para configuración de seguridad para bloquear servicios y configurar el firewall en NYC-DC1 1. Inicie el Asistente para configuración de seguridad desde el Administrador del servidor. 2. Elija la opción para crear una nueva directiva de seguridad para NCY-DC1. 3. Ejecute el Asistente para configuración de seguridad con las siguientes opciones: Asegúrese de que esté seleccionada la función del servidor Controlador de dominio (Active Directory). Habilite el servicio Active Directory: Modo de Planeamiento de RsoP. 4. Acepte los valores predeterminados de la configuración de Firewall de Windows. 5. Establezca Configuraciones de registro como se detalla a continuación: Requerir: Firmas de seguridad SMB. Habilitar sólo equipos cliente que ejecuten Windows 2000 Service Pack 3 o posterior. Permitir sólo Windows NT 4.0 Service Pack 6a o sistemas operativos posteriores y Relojes que están sincronizados con el reloj del servidor seleccionado. No permitir la conexión de Equipos que requieren autenticación del administrador de LAN y Equipos que no están configurados para usar autenticación NTLMv2. 6. Configure Directiva de auditoría para auditar actividades correctas e incorrectas. 7. Guarde la directiva de seguridad usando el nombre de archivo c:\windows\seguridad\msscw\directivas \NYC-DC1.xml. 8. Elija la opción para aplicar la directiva más adelante. Tarea 3: Realizar una desfragmentación sin conexión de la base de datos de AD DS 1. En NYC-DC1, detenga Servicios de dominio de Active Directory. 2. Abra un símbolo del sistema e inicie la herramienta ntdsutil. 3. Active la instancia de NTDS. 4. Use el comando files para compactar la base de datos de AD DS en C:\temp. 5. Compruebe la integridad de la base de datos desfragmentada. 6. Copie el archivo c:\temp\ntds.dit en c:\Windows\NTDS\ntds.dit. 7. Elimine todos los archivos de registro de la carpeta C:\Windows\NTDS. 8. Inicie Servicios de dominio de Active Directory. Tarea 4: Mover la base de datos de AD DS 1. En NYC-DC1, detenga Servicios de dominio de Active Directory. 2. Abra un símbolo del sistema e inicie la herramienta ntdsutil. 3. Active la instancia de NTDS. 4. Use el comando Mantenimiento de archivos para mover la base de datos de AD DS a C:\Datos. 5. Inicie Servicios de dominio de Active Directory. Resultado:Al finalizar este ejercicio, habrá instalado SCW para bloquear servicios en un controlador de dominio de AD DS y realizado tareas de mantenimiento de la base de datos de AD DS. Ejercicio 1: Respuestas claves (pasos detallados) Ejercicio 2: Copia de seguridad de AD DS Ejercicio 2: Copia de seguridad de AD DS En este ejercicio, se instalará la característica Copias de seguridad de Windows Server, que luego se usará para programar las copias de seguridad de la información de AD DS. También se harán copias de seguridad del volumen del sistema a petición. Las principales tareas para este ejercicio se realizarán como se detalla a continuación: 1. Instalar las características Copias de seguridad de Windows Server. 2. Crear una Copia de seguridad programada. 3. Completar una Copia de seguridad a petición. Tarea 1: Instalar la característica Copias de seguridad de Windows Server En Administrador del servidor, instale las características Copias de seguridad de Windows Server. Tarea 2: Crear una copia de seguridad programada 1. Inicie Copias de seguridad de Windows Server y cree copias de seguridad programadas con la siguiente configuración: Tipo de copia de seguridad: Personalizada Elementos de copia de seguridad: C: unidad única Hora de la copia de seguridad: 12:00 a.m. todos los días Disco de destino: Disco 1 2. Abra Programador de tareas y revise la tarea de copia de seguridad programada que acaba de crear. Tarea 3: Completar una copia de seguridad a petición 1. En la ventana Copias de seguridad de Windows, en el panel Acciones, haga clic en Copia de seguridad única. 2. Establezca la copia de seguridad de manera tal que su configuración sea la siguiente: Tipo de copia de seguridad: Personalizada Elementos de copia de seguridad: C: unidad única Opción avanzada: Copia de seguridad completa de VSS 3. La copia de seguridad demorará entre 10 y 15 minutos en completarse. Cuando haya finalizado, cierre Copias de seguridad de Windows Server. Resultado: Al finalizar este ejercicio, habrá instalado la característica Copias de seguridad de Windows Server y la habrá usado para programar copias de seguridad de la información de AD DS y para hacer copias de seguridad a petición. Ejercicio 2: Respuestas claves (pasos detallados) Ejercicio 3: Restauración no autoritativa de la base de datos de AD DS Ejercicio 3: Restauración no autoritativa de la base de datos de AD DS En este ejercicio, se realizará una restauración autoritativa de la base de datos de AD DS. Luego, se comprobará que la replicación no sobrescriba los datos restaurados. Las principales tareas se realizarán como se detalla a continuación: 1. Eliminar la unidad organizativa Toronto. 2. Reiniciar NYC-DC1 en Modo de restauración de servicios de directorio. 3. Restaurar los datos de estado del sistema. 4. Marcar como autoritativa la información restaurada y luego reiniciar el servidor. 5. Comprobar que los datos eliminados hayan sido restaurados. 6. Cerrar todas las máquinas virtuales y descartar los discos para deshacer. Tarea 1: Eliminar la unidad organizativa Toronto 1. En NYC-DC1, abra Usuarios y equipos de Active Directory. 2. Elimine la unidad organizativa Toronto. Tarea 2: Reiniciar NYC-DC1 en Modo de restauración de servicios de directorio 1. Inicie un símbolo del sistema con permisos de administrador. 2. Use bcdedit /set safeboot dsrepair para configurar el servidor a fin de que se inicie en Modo de restauración de servicios de directorio. 3. Reinicie el servidor. Tarea 3: Restaurar los datos de estado del sistema 1. Inicie sesión como Administrador usando la contraseña Pa$$w0rd. 2. Inicie un símbolo del sistema con permisos de administrador. 3. Use el comando wbadmin get versions -backuptarget:D: -machine:NYC-DC1 para obtener la información de la versión de la copia de seguridad que hizo. 4. Restaure la información de estado del sistema usando el comando wbadmin start systemstaterecovery -version:versión -machine:NYC-DC1. Tarea 4: Marcar como autoritativa la información restaurada y reiniciar el servidor 1. En el símbolo del sistema, use NTDS para realizar una restauración autoritativa de “OU=Toronto,DC=Woodgrovebank,DC=com” 2. Para reiniciar el servidor normalmente después de realizar la operación de restauración, escriba bcdedit /deletevalue safeboot y luego presione ENTER. 3. Reinicie el servidor. Tarea 5: Comprobar que los datos eliminados hayan sido restaurados 1. Luego de que se reinicia el servidor, inicie sesión como Administrador. 2. Abra Usuarios y equipos de Active Directory y compruebe que la unidad organizativa Toronto haya sido restaurada. 3. En NYC-DC2, abra Usuarios y equipos de Active Directory. Compruebe que la unidad organizativa Toronto también haya sido restaurada en este servidor. Tarea 6: Cerrar todas las máquinas virtuales y descartar los discos para deshacer 1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto de máquinas virtuales. 2. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar. 3. Cierre Iniciador de laboratorio 6824A. Resultado: Al finalizar este ejercicio, habrá realizado una restauración autoritativa de la información de AD DS. Ejercicio 3: Respuestas claves (pasos detallados) Ejercicio 4: Restauración autoritativa de la base de datos de AD DS Ejercicio 4: Restauración autoritativa de la base de datos de AD DS En este ejercicio, se usará la herramienta de montaje de bases de datos de AD DS para ayudar a restaurar los datos de un objeto de AD DS eliminado. Las tareas incluyen el uso de NTDSUtil para crear instantáneas de volumen de AD DS, la eliminación de una cuenta de usuario desde AD DS y el uso de NTDSUtil para montar la instantánea. Luego restaurará la cuenta usando LDP y verá los detalles de la cuenta desde la instantánea. Las principales tareas en este ejercicio son: 1. Iniciar la máquina virtual y luego iniciar sesión. 2. Crear y montar una instantánea de la información de AD DS. 3. Modificar y luego eliminar una cuenta de usuario en AD DS. 4. Usar LDP para restaurar la cuenta de usuario eliminada. 5. Ver la información de la cuenta de usuario eliminada en la instantánea montada. Tarea 1: Iniciar las máquinas virtuales y luego iniciar sesión 1. En la máquina host, haga clic en Inicio, elija Todos los programas, luego Microsoft Learning y haga clic en 6824A. Se inicia Iniciador de laboratorio. 2. En Iniciador de laboratorio, junto a 6824A-NYC-DC1, haga clic en Iniciar. 3. Inicie sesión en NYC-DC1 como Administrador, usando la contraseña Pa$$w0rd. 4. Minimice la ventana Iniciador de laboratorio. Tarea 2: Crear y montar una instantánea de la información de AD DS 1. En NYC-DC1, en Usuarios y equipos de Active Directory, en la unidad organizativa AdminsTI, haga clic con el botón secundario en Axel Delgado y luego haga clic en Propiedades. Agregue la siguiente información a las propiedades de la cuenta de usuario y luego haga clic en Aceptar: Descripción: Administrador TI Oficina: Casa Matriz Número de teléfono: 555-5555 2. Inicie un símbolo del sistema con permisos de administrador. 3. En el símbolo del sistema, escriba ntdsutil y luego presione ENTER. 4. En el símbolo de ntdsutil, escriba instantánea y luego presione ENTER. 5. En el símbolo de la instantánea, escriba Activate Instance NTDSy luego presione ENTER. 6. En el símbolo de la instantánea, escriba crear y luego presione ENTER. El comando devuelve el siguiente resultado: Conjunto de instantáneas {GUID} generadas correctamente. Deje abierta esta ventana. 7. En el símbolo de la instantánea, escriba mount {GUID} y luego presione ENTER. El GUID es el GUID que se mostró en el comando anterior. La instantánea montada aparecerá en el sistema de archivos. 8. En el símbolo de la instantánea, escriba listar todo y luego presione ENTER. Identifique el número asignado a la instantánea que acaba de crear. 9. En el símbolo de la instantánea, escriba mount número y luego presione ENTER. El número es el número que se mostró en el comando anterior. La instantánea montada aparecerá en el sistema de archivos. 10. Salga de NTDSUtil, pero mantenga abierto el símbolo del sistema. Tarea 3: Eliminar una cuenta de usuario Elimine la cuenta de Axel Delgado. Tarea 4: Usar LDP para restaurar la cuenta de usuario eliminada 1. En el símbolo del sistema, escriba el siguiente comando y luego presione ENTER. Dsamain -dbpath <ruta de acceso a la instantánea ntds.dit>-ldapport 51389 2. No cierre el símbolo del sistema. 3. Inicie LDP y luego conecte y enlace al servidor local. 4. En el menú Opciones, agregue el control Devolución de objetos eliminados. 5. En el menú Visualizar, haga clic en Árbol y luego en Aceptar. 6. ExpandaDC=Woodgrove Bank,DC=com y luego haga clic en CN=Deleted Items,DC=Woodgrove Bank,DC=com. 7. Haga clic con el botón secundario en CN=Axel Delgado y luego haga clic en Modificar. 8. En el cuadro Atributos, escriba esEliminado debajo de Operación, luego haga clic en Eliminar y presione ENTER. 9. En el cuadro Atributos, escriba distinguishedName. 10. En el cuadro Valores, escriba CN=Axel Delgado,ou=AdminsTI,dc=woodgrovebank,dc=com. 11. En Operación, haga clic en Reemplazar y luego presione ENTER. 12. Seleccione la casilla Extendido y luego haga clic en Ejecutar. 13. Abra Usuarios y equipos de Active Directory y compruebe que la cuenta de Axel Delgado haya sido restaurada en la unidad organizativa AdminsTI y que la cuenta esté deshabilitada. Tarea 5: Ver la información de la cuenta de usuario eliminada en la instantánea montada 1. Haga clic en Inicio y en Ejecutar, escriba LDP y luego haga clic en Aceptar. 2. Conecte y enlace al localhost, usando el puerto 51389. 3. En BaseDN, escriba dc=woodgrovebank,dc=com. 4. Busque la unidad organizativa AdminsTI y haga doble clic en CN=Axel Delgado. Visualice los atributos Descripción, NombreOficinaFísicaEntrega y Número de teléfono. Ahora puede agregar la información que se encuentra en estos atributos al objeto de usuario de Usuarios y equipos de Active Directory. Cierre LDP.exe. Tarea 6: Cerrar todas las máquinas virtuales y descartar los discos para deshacer 1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto de máquina virtual. 2. En el cuadro Cerrar, seleccione Apagar la máquina y descartar los cambios y luego haga clic en Aceptar. 3. Cierre Iniciador de laboratorio de 6824A. Resultado: Al finalizar este ejercicio, habrá restaurado una cuenta de usuario eliminada y habrá visualizado las propiedades del usuario restaurado usando la herramienta de montaje de bases de datos de AD DS. Ejercicio 4: Respuestas claves (pasos detallados) Revisión del laboratorio Revisión y conclusiones del módulo Preguntas de revisión 1. Uno de los controladores de dominio se está quedando sin espacio en el disco duro. Ha modificado el controlador de dominio para que ya no sea un servidor de catálogo global, pero advierte que el tamaño de la base de datos de AD DS no se reduce. ¿Qué debería hacer para recuperar espacio de disco duro en el servidor? 2. Le preocupa la cantidad de espacio en disco que usan la base de datos de AD DS y los archivos de registro. ¿Cómo determina el tamaño de la base de datos y de los archivos de registro? 3. Ha instalado Copias de seguridad de Windows Server en el controlador de dominio. Sólo cuenta con dos unidades en el equipo y ambas están siendo usadas para los archivos de datos o de sistema. ¿Qué tipos de copias de seguridad debería usar para asegurar su entorno de AD DS? 4. No funciona ningún controlador de dominio en su dominio. Está intentando reconstruir el dominio a partir de la copia de seguridad de AD DS en un controlador de dominio. ¿Qué tipo de restauración debe usar para reconstruir el dominio? 5. Accidentalmente eliminó una cuenta de usuario de AD DS. ¿Qué opciones tiene para lograr que la cuenta vuelva a estar disponible? Observaciones para el mantenimiento de AD DS Complementar o modificar los siguientes procedimientos recomendados según las situaciones de trabajo: La supervisión es un componente esencial para el mantenimiento de un entorno de AD DS. Un programa eficaz de supervisión puede alertarlo acerca de las situaciones en que deberá realizar tareas de mantenimiento antes de que éstas se vuelvan más graves. Compare el esfuerzo realizado en la restauración de objetos de AD DS con el esfuerzo que se realiza en la restauración de los objetos y en la reanimación de los objetos eliminados. Si se ha eliminado una sola cuenta de usuario, por lo general es mucho más fácil recrear la cuenta que restaurarla. Si se ha eliminado una unidad organizativa completa, por lo general es más rápido realizar una restauración autoritativa que recrear todas las cuentas de la unidad organizativa. El paso más importante en la preparación para abordar los errores que se producen en los controladores de dominio es implementar más de un controlador de dominio en un dominio. Si cuenta con un segundo controlador de dominio disponible, los servicios de AD DS continuarán estando disponibles y se puede instalar fácilmente un controlador de dominio adicional para reemplazar el servidor en el que se ha producido el error. Si cuenta con un solo controlador de dominio en el dominio y se produce un error, deberá restaurar AD DS a partir de la copia de seguridad. Si anticipa que necesitará usar las instantáneas Herramienta de montaje de bases de datos de manera regular, considere crear una tarea programada para generar una instantánea regularmente. Herramientas Use las siguientes herramientas al configurar sitios y replicaciones de AD DS: Herramienta Usar para Dónde encontrarla Copias de seguridad de Windows Server Hacer copias de seguridad y restaurar la información de AD DS u otros datos en un equipo con Windows Server 2008. Debe estar instalado como una característica de Windows Server 2008. LDP.exe Ver y modificar información acerca de los objetos de AD DS; reanimar los objetos eliminados. Está instalada de manera predeterminada y es accesible desde un símbolo del sistema. NTDSUtil Administrar el almacén de datos de AD DS y las funciones del maestro de operaciones. Está instalada de manera predeterminada y es accesible desde un símbolo del sistema. Herramienta de montaje de bases de datos Usada para crear y montar instantáneas Accesible por medio de NTDSUtil. del almacén de datos de AD DS. Haga clic en Inicio, elija Herramientas administrativas y luego haga clic en Copias de seguridad de Windows Server. Modulo 10 : Solución de problemas de Active Directory, DNS y replicación Módulo 10 Solución de problemas de Active Directory DNS Problemas frecuentes de replicación Como administrador del sistema operativo Windows Server®°2008, existe la posibilidad de que se deban solucionar problemas relacionados con Servicios de dominio de Active Directory® (AD DS). Cuando AD DS está diseñado e implementado de manera apropiada, proporciona una infraestructura de servicios de directorio muy estable. Sin embargo, incluso en los entornos más estables, en ocasiones puede necesitarse solucionar problemas de AD DS relacionados con la autenticación, autorización, replicación o configuración del Sistema de nombres de dominio (DNS). Lección 1: Solución de problemas de Servicios de dominio de Active Directory Lección 2: Solución de problemas de integración de DNS y AD DS Lección 3: Solución de problemas de replicación de AD DS Laboratorio: Solución de problemas de AD DS, DNS y replicación Lección 1: Solución de problemas de Servicios de dominio de Active Directory Lección 1: Solución de problemas de Servicios de dominio de Active Directory Cuando los usuarios no puedan autenticarse en la red o no puedan obtener acceso a los recursos de red, se debe determinar si la causa del problema es un inconveniente de AD DS. El problema puede ser la conectividad de red, puede tratarse de un error de los servicios de red o un inconveniente de AD DS. En esta lección aprenderá a identificar y solucionar problemas de AD DS. Introducción a solución de problemas de AD DS Introducción a solución de problemas de AD DS Puntos clave AD DS es un sistema distribuido compuesto de muchos servicios diferentes de los que depende para funcionar correctamente. Al solucionar problemas de AD DS, es necesario identificar el origen del problema y luego resolver el inconveniente específico. Material de lectura adicional Overview of Active Directory Troubleshooting (Descripción de la solución de problemas de Active Directory) Active Directory Product Operations Guide (Guía de operaciones del producto Active Directory) Discusión: Cómo resolver problemas de Servicios de dominio de Active Directory Discusión: Cómo resolver problemas de Servicios de dominio de Active Directory Preguntas: ¿Qué herramientas se usarían? ¿Cómo podría comprobarse que la solución es la adecuada? Solución de problemas ante errores de acceso de usuario Solución de problemas ante errores de acceso de usuario Puntos clave Existen varias razones posibles por las que un usuario no puede tener acceso a los recursos de red. Se pueden dividir en tres categorías básicas. Demostración: Herramientas para solucionar problemas ante errores de acceso de usuario Demostración: Herramientas para solucionar problemas ante errores de acceso de usuario Preguntas: Según su experiencia, ¿cuál es la razón más común de errores de acceso de usuario en su organización? ¿Qué pasos se pueden llevar a cabo para reducir la cantidad de errores de acceso de usuario y continuar conservando la seguridad en la red? Solución de problemas de rendimiento del controlador de dominio Solución de problemas de rendimiento del controlador de dominio Puntos clave Como un servicio distribuido, AD DS depende de varios servicios dependientes entre sí que se distribuyen en numerosos dispositivos y ubicaciones remotas. A medida que aumenta el tamaño de la red para aprovechar la escalabilidad de AD DS, el rendimiento del controlador de dominio podría convertirse en un problema. Material de lectura adicional Windows Server 2003 Active Directory Branch Office Guide (Guía para sucursales de Active Directory de Windows Server 2003) Analizar datos de rendimiento Lección 2: Solución de problemas de integración de DNS y AD DS Lección 2: Solución de problemas de integración de DNS y Servicios de dominio de Active Directory AD DS no puede funcionar sin DNS. Los clientes y servidores de aplicaciones como Microsoft Exchange Server usan DNS para buscar controladores de dominio y servicios. Los controladores de dominio y los servidores de catálogo global usan DNS para localizarse y luego replicarse unos a otros. Debido a esta integración estrecha de AD DS y DNS, por lo general la solución de problemas de AD DS comienza solucionando los problemas de DNS. Descripción general de la solución de problemas de DNS y AD DS Descripción general de la solución de problemas de DNS y AD DS Puntos clave Una de las razones más comunes para los inconvenientes de AD DS es un problema con la infraestructura de DNS. En particular, la solución de problemas de DNS debe comenzar cuando se presentan los inconvenientes enumerados en la diapositiva. Solución de problemas de resolución de nombres DNS Solución de problemas de resolución de nombres DNS Puntos clave Para comprobar que los clientes pueden resolver nombres y registros, se deben llevar a cabo los siguientes pasos: Comprobar la conectividad de red en todos los equipos. Usar Ipconfig para asegurarse de que todos los equipos, incluyendo los clientes, servidores miembro, controladores de dominio y servidores DNS, estén usando un servidor DNS que sea autoritativo para el dominio de Active Directory. A veces, los equipos están mal configurados manualmente para usar el servidor DNS equivocado, como por ejemplo un servidor de memoria caché para Internet o un servidor DNS de Proveedor de servicios de Internet (ISP). Usar NetDiag para probar la conectividad de DNS. Garantizar que el servidor DNS esté funcionando correctamente. Se puede realizar la Autoprueba simple en las propiedades del servidor DNS para comprobar que la base de datos responde. Además, se debe limpiar la memoria caché del servidor DNS, con el fin de garantizar que la memoria caché no se encuentre contaminada y que cuente con la información de zona más reciente. Usar ipconfig /flushdns para limpiar la memoria caché de resolución de DNS del cliente. Si la zona parece estar dañada, restaure desde la copia de seguridad. De ser necesario, conviene eliminar los registros dinámicos de la zona DNS y reconstruir la base de datos. Comprobar si hay errores en el registro del servidor DNS en Visor de eventos. Usar DNSLint o NSlookup para ver qué resultados devuelve el servidor DNS. Se requieren los siguientes registros DNS para la funcionalidad apropiada de Active Directory. Pregunta: ¿Cuáles son los problemas más comunes relacionados con DNS en su organización? Material de lectura adicional Diagnosing Name Resolution Problems (Diagnóstico de problemas de resolución de nombres) Solución de problemas de registro de nombres DNS Solución de problemas de registro de nombres DNS Puntos clave Todos los servidores deben contar con al menos un (host) A y posiblemente registros PTR (búsqueda inversa) en DNS. Además, todos los controladores de dominio deben contar con sus registros de recursos SRV actualizados en DNS. A continuación se enumeran los servicios responsables de actualizar de manera dinámica el DNS: El servicio al cliente de DNS del equipo actualiza los registros A. Los registros PTR se configuran manualmente. El servicio Netlogon del controlador de dominio actualiza los registros SRV. Pregunta: ¿Para qué se usan los registros PTR? ¿Qué errores aparecerán si los registros PTR no se encuentran registrados para los controladores de dominio? Solución de problemas de la replicación de zona DNS Solución de problemas de la replicación de zona DNS Puntos clave Cada vez que se actualiza un registro DNS, ya sea en una zona Principal (Maestra) tradicional o en una zona integrada de AD DS, dicha actualización debe replicarse en una transferencia de zona a todos los servidores DNS que son autoritativos para esa zona. Un administrador puede elegir conservar el ancho de banda durante el horario de mayor uso de la red al programar la replicación para los horarios de menor uso. Incluso, el registro deberá ser replicado en algún momento para que la base de datos de DNS sea consistente. Cuando los problemas relacionados con DNS no son consistentes para todos los usuarios y pueden rastrearse hasta un servidor DNS específico, se debe considerar la replicación de zona DNS como una posible causa del problema. Material de lectura adicional Solución de problemas de zona Lección 3: Solución de problemas de replicación de AD DS Lección 3: Solución de problemas de replicación de Active Directory AD DS usa una topología de replicación con varios maestros que depende de todos los controladores de dominio en una red disponible. La replicación es importante para garantizar que todos los usuarios obtengan una respuesta consistente por parte de los controladores de dominio, sin importar a qué controlador de dominio se encuentra conectado el usuario. En esta lección aprenderá cómo solucionar los problemas de replicación de AD DS. Requisitos para la replicación de AD DS Requisitos para la replicación de AD DS Puntos clave Consulte los requisitos enumerados en la diapositiva para que la replicación de AD DS se realice correctamente . Problemas frecuentes de replicación Problemas frecuentes de replicación Puntos clave Cuando aparecen problemas de replicación en AD DS, el primer paso es identificar los síntomas y causas posibles. Pregunta: ¿Cuál es la razón más común por la que aparecen errores de replicación en su organización? Material de lectura adicional Solución de problemas de replicación de Active Directory ¿Qué es la herramienta Repadmin? ¿Qué es la herramienta Repadmin? Puntos clave Se utiliza la herramienta de línea de comandos Repadmin.exe para ver la topología de replicación desde la perspectiva de cada uno de los controladores de dominio. También se puede usar Repadmin.exe para crear de manera manual la topología de replicación, forzar eventos de replicación entre los controladores de dominio y ver los metadatos de replicación, que representan la información sobre los datos y el estado actualizado de los vectores. Material de lectura adicional Solución de problemas de replicación de Active Directory ¿Qué es la herramienta DCDiag? ¿Qué es la herramienta DCDiag? Puntos clave La herramienta dcdiag.exe realiza una serie de pruebas para comprobar los diferentes aspectos del sistema. Dichas pruebas incluyen conectividad, replicación, integridad de la topología y mantenimiento entre sitios. Identificación de la causa de los errores de replicación Identificación de la causa de los errores de replicación Puntos clave Los problemas de replicación de AD DS pueden tener diversos orígenes. Por ejemplo, los problemas de DNS, inconvenientes en la red o problemas de seguridad pueden causar que la replicación de AD DS no se lleve a cabo. Se pueden realizar pruebas usando las herramientas de línea de comandos Repadmin.exe y DCDiag.exe para determinar la causa principal del problema. Discusión: Solución de problemas de replicación de AD DS entre sitios Discusión: Solución de problemas de replicación de AD DS entre sitios En clase, debatan las preguntas de la diapositiva. Solución de problemas de replicación de archivos distribuidos Solución de problemas de replicación de archivos distribuidos El contenido de la carpeta SYSVOL se replica a todos los controladores de dominio en un dominio. Si el dominio se encuentra en Windows Server 2003 o en un nivel funcional inferior, el FRS es el encargado de replicar el contenido de la carpeta SYSVOL entre los controladores de dominio. Cuando se actualiza el nivel funcional a Windows Server 2008, DFSR se usa para replicar el contenido de la carpeta SYSVOL. En ambos casos, la topología y el programa de objeto de conexión que el KCC crea para la replicación de AD DS se usan para administrar la replicación entre los controladores de dominio. Tanto el FRS como la DFRS requieren conectividad LDAP y RPC entre los controladores de dominio. Para solucionar los problemas de replicación de FRS, se usan los comandos Ntfrsutl y FRSDiag. Para solucionar los problemas de replicación de DFSR, se usa la herramienta DFRSAdmin. Laboratorio: Solución de problemas de AD DS, DNS y replicación Laboratorio: Solución de problemas de Active Directory Problemas de DNS y replicación Escenario Woodgrove Bank ha finalizado la implementación de Windows Server 2008. Como administrador de AD DS, una de las principales tareas en esta instancia es solucionar problemas de AD DS que el Departamento de AdminsTI_WoodgroveGG de la compañía le ha transferido a usted. Cuenta con la responsabilidad de resolver problemas relacionados con el acceso de usuarios a los recursos, la integración de DNS y AD DS y la replicación de AD DS. Ejercicio 1: Solución de problemas en la autenticación y autorización Ejercicio 1: Solución de problemas en la autenticación y autorización Escenario En este ejercicio, se solucionarán los errores de autenticación y autorización. Se revisarán los tickets de problema y se resolverán inconvenientes relacionados con ellos. Preparación de laboratorio: Asegúrese de que NYC-DC1, NYC-DC2 y NYC-CL1 se iniciaron y están ejecutándose. Apague las demás máquinas virtuales. Las principales tareas para este ejercicio se realizarán como se detalla a continuación: 1. Iniciar los servidores virtuales. 2. Ejecutar el archivo Lab10_Prep.bat. 3. Resolver tickets de problema. Tarea 1: Iniciar los servidores virtuales 1. En la máquina host, haga clic en Inicio, elija Todos los programas, seleccione Microsoft Learning y luego haga clic en 6824A. Se inicia Iniciador de laboratorio. 2. En Iniciador de laboratorio, junto a 6824A-NYC-DC1, haga clic en Iniciar. 3. Inicie sesión en NYC-DC1 como Administrador usando la contraseña Pa$$w0rd. 4. En Iniciador de laboratorio, junto a 6824A-NYC-DC2, haga clic en Iniciar. 5. Inicie sesión en NYC-DC2 como Administrador, usando la contraseña Pa$$w0rd. 6. En Iniciador de laboratorio, junto a 6824A-NYC-CL1, haga clic en Iniciar. 7. Minimice la ventana Iniciador de laboratorio. Tarea 2: Ejecutar el archivo Lab10_Prep.bat 1. En NYC-DC1, abra una ventana de Windows Explorer y luego busque D:\6824\Allfiles\Mod10\Labfiles 2. Haga doble clic en Lab10_Prep.bat. Tarea 3: Resolver tickets de problema Ticket de problema N°1: Una usuaria llamada Chris McGurk tiene inconvenientes para iniciar sesión en su equipo, que se ejecuta con el sistema operativo Windows Vista®. Ha estado trabajando fuera de la empresa en un proyecto de investigación durante varios meses y ahora necesita tener acceso a la red para preparar su informe para la alta gerencia. Apagaron su equipo de escritorio durante el período que estuvo afuera. Le han transferido el asunto. 1. Intente iniciar sesión en NYC- CL1 como Chris, usando la contraseña Pa$$w0rd. 2. ¿Se inició sesión correctamente? Observe el mensaje de error que se muestra a continuación: _________________________________________________________________ 3. Compruebe que la cuenta de equipo de NYC-CL1 todavía exista en el dominio. 4. ¿Cuál cree que es el inconveniente? ¿Cómo lo solucionará? _________________________________________________________________ 5. Inicie sesión en NYC- CL1 como NYC-CL1\AdminLocal usando la contraseña Pa$$w0rd. 6. Complete los pasos de solución de problemas. 7. Cierre sesión en NYC-CL1 como AdminLocal e inicie sesión como Chris. 8. ¿Pudo hacerlo correctamente? _________________________________________________________________ 9. Cierre sesión en NYC-CL1. Ticket de problema N°2: A un miembro del Departamento de AdminsTI_WoodgroveGG, llamado Markus Breyer, se le ha otorgado la tarea de agregar personas contratadas recientemente a la unidad organizativa NYC GerentesSucursal en el dominio Woodgrovebank.com. Markus es un miembro del grupo global AdminsTI_WoodgroveGG Todos los miembros del grupo AdminsTI_WoodgroveGG deben poder administrar cuentas de usuario desde estaciones de trabajo de clientes usando Escritorio remoto. Cuando Markus intenta agregar nuevas personas contratadas, no lo logra. Le han transferido el asunto. 1. Inicie sesión en NYC-CL1 como Markus, usando la contraseña Pa$$w0rd. 2. Intente conectarse a NYC-DC1 usando Escritorio remoto. ¿Pudo hacerlo correctamente? En caso de haber recibido mensajes de error, ¿cuáles fueron? _________________________________________________________________ 3. ¿Cuál cree que es el problema? _________________________________________________________________ 4. Realice los pasos requeridos para resolver el mensaje de error. 5. Intente conectarse nuevamente a Escritorio remoto. ¿Pudo lograrlo esta vez? Si no pudo, lleve a cabo los siguientes pasos para solucionar el problema. _________________________________________________________________ 6. Después de haberse conectado correctamente a Escritorio remoto, intente abrir Usuarios y equipos de Active Directory. Si no puede hacerlo, lleve a cabo los pasos para solucionar el problema. 7. En Usuarios y equipos de Active Directory, intente crear una cuenta de usuario de prueba en la unidad organizativa Gerentes de sucursal. ¿Pudo hacerlo correctamente? En caso de haber recibido mensajes de error, ¿cuáles fueron? _________________________________________________________________ 8. ¿Qué pasos adicionales, si hubiera, piensa que deberá llevar a cabo? _________________________________________________________________ 9. Resuelva los demás problemas. 10. Cierre sesión en NYC-CL1. Resultado: Al finalizar este ejercicio, se habrán resuelto dos tickets de problema con inconvenientes de autenticación y autorización. Ejercicio 1: Respuestas claves (pasos detallados) Ejercicio 2: Solución de problemas de la integración de DNS y AD DS Ejercicio 2: Solución de problemas de la integración de DNS y AD DS Escenario En este ejercicio, se resolverán los problemas identificados en los tickets de solución de problemas transferidos al equipo del servidor en lo que se refiere a la integración de DNS y AD DS. Se identificará el problema en cada ticket, se lo resolverá y luego se comprobará que la resolución fue correcta. La tarea principal en este ejercicio consiste en resolver el ticket de problema. Tarea 1: Resolver el ticket de problema Ticket de problema N°3: Algunos usuarios en WoodgroveBank.com informan que tienen inconvenientes para obtener acceso a los recursos de red. El Departamento de AdminsTI_WoodgroveGG ya ha establecido que todos los equipos cliente que se ven afectados por este problema usan NYC-DC2 como el servidor DNS preferido. Se usará NYC-CL1 para probar todas las soluciones y garantizar que todos los usuarios puedan iniciar sesión en el dominio usando tanto NYC-DC1 como NYC-DC2 como servidores DNS principales. 1. ¿Cuáles cree que podrían ser los problemas? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ 2. ¿Qué pasos llevará a cabo para probar y resolver los problemas? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ 3. Use NSlookup para comprobar los registros DNS para la zona WoodgroveBank.com tanto en NYC-DC1 como en NYC-DC2. 4. Use Administrador de DNS para examinar la configuración para las zonas WoodgroveBank.com y _msdcs.WoodgroveBank.com en ambos servidores DNS. 5. Lleve a cabo los pasos requeridos para solucionar el problema. 6. ¿Cuáles fueron los problemas reales y cómo los resolvió? __________________________________________________________________ __________________________________________________________________ __________________________________________________________________ __________________________________________________________________ __________________________________________________________________ Resultado: Al finalizar este ejercicio, habrá resuelto un ticket de problema con inconvenientes de integración de DNS y AD DS. Ejercicio 2: Respuestas claves (pasos detallados) Ejercicio 3: Solución de problemas de replicación de AD DS Ejercicio 3: Solución de problemas de replicación de AD DS Escenario En este ejercicio, se resolverán los problemas identificados en los tickets de solución de problemas transferidos al equipo del servidor. Entre los problemas potenciales se encuentran las cuentas de usuario que no se replican a otros controladores de dominio, errores de replicación y errores de replicación de archivos de AD DS. Se identificará el problema en cada ticket, se lo resolverá y luego se comprobará que la resolución fue correcta. La tarea principal en este ejercicio consiste en resolver los tickets de problema. Tarea 1: Resolver los tickets de problema Ticket de problema N°4: Se le asignó al Departamento de AdminsTI_WoodgroveGG la tarea de crear cuentas de usuario para las personas contratadas recientemente. Debido a que los nuevos empleados viajarán de una sucursal a otra, es fundamental que puedan iniciar sesión desde cualquier ubicación. El Departamento de AdminsTI_WoodgroveGG ha notado que la replicación entre NYC-DC1 y NYC-DC2 no funciona. Cuando un miembro del equipo crea una cuenta de usuario en el controlador de dominio NYC-DC1, el controlador de dominio NYC-DC2 no muestra la cuenta de usuario. Le han transferido el asunto. 1. Compruebe que la replicación de AD DS no funciona. ¿Cuáles cree que podrían ser los problemas? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ ¿Qué pasos de solución de problemas llevará a cabo para resolver los inconvenientes? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ 2. Implemente los pasos de solución de problemas. Se obtiene un resultado satisfactorio cuando se pueda crear un usuario de prueba en cualquier controlador de dominio y luego replicar la cuenta en otro controlador de dominio. Ticket de problema N°5: El Departamento de AdminsTI_WoodgroveGG se ha dado cuenta de que cuando algunos usuarios de la sucursal Nueva York de WoodgroveBank.com inician sesión no obtienen las asignaciones automáticas de unidades esperadas. Todos los usuarios deben obtener una asignación de unidad que asigne la unidad H: a \\NYCDC1\data. El Departamento de AdminsTI_WoodgroveGG ha confirmado que el Objeto de directiva de grupo (GPO) está configurado correctamente. El script de inicio de sesión se denomina MapDataDir.bat y debería encontrarse ubicado en el recurso compartido Netlogon. 1. ¿Cuáles cree que podrían ser los problemas? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ 2. ¿Qué pasos de solución de problemas llevará a cabo para resolver los inconvenientes? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ 3. ¿Cómo comprobará que los problemas se han resuelto? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ 4. Implemente los pasos de solución de problemas. ¿Cuáles fueron los problemas reales y cómo los resolvió? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ Tarea 2: Cerrar todas las máquinas virtuales y descartar los discos para deshacer 1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto de máquina virtual. 2. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar. 3. Cierre Iniciador de laboratorio 6824A. Resultado: Al finalizar este ejercicio, se habrá resuelto un ticket de problema con inconvenientes de replicación de AD DS. Ejercicio 3: Respuestas claves (pasos detallados) Revisión del laboratorio Revisión del laboratorio Observaciones para el mantenimiento de AD DS Complementar o modificar los siguientes procedimientos recomendados según las situaciones de trabajo: Al solucionar problemas de AD DS, siempre conviene comenzar por el nivel de red. En la mayoría de los casos, será más rápido y sencillo comprobar la conectividad de red. Usar Visor de eventos cuando se solucionan problemas de AD DS. Varios de los errores de AD DS se registrarán en los registros de Visor de eventos y los detalles del error generalmente proporcionan información valiosa para resolver los inconvenientes. En una organización grande, conviene considerar la implementación de Microsoft® System Center Operations Manager con Active Directory Management Pack. El Operations Manager puede supervisar todos los controladores de dominio en el entorno y brindar una orientación detallada sobre cómo resolver inconvenientes de AD DS. Microsoft System Center Operations Manager es una actualización de Microsoft Operations Manager. Herramientas Usar las siguientes herramientas al solucionar problemas de AD DS: Herramienta Usada para Dónde encontrarla Administrador de servidores Obtener acceso a las herramientas de administración de AD DS en una única consola. Haga clic en Inicio, elija Herramientas administrativas y luego haga clic en Administrador de servidores. Sitios y servicios de Active Directory Crear y configurar sitios, subredes, mover controladores de dominio entre sitios y forzar la replicación. Haga clic en Inicio, elija Herramientas administrativas y luego haga clic en Usuarios y equipos de Active Directory. Configurar y ver zonas DNS DNS Preguntas de revisión Haga clic en Inicio, elija Herramientas administrativas y luego haga clic en 1. Un usuario puede iniciar sesión en su equipo, pero cuando intenta tener acceso a un recurso deDNS. red se le solicita que ingrese un nombre de usuario y contraseña. ¿Cómo se podría garantizar que el usuario tenga acceso a los recursos de red sin que se le solicite un nombre de usuario y contraseña después de iniciar sesión? 2. Se necesita comprobar que todos los registros SRV del controlador de dominio se encuentran registrados en DNS. Todos los servidores DNS en su organización usan un producto DNS de terceros en lugar de un DNS de Windows Server 2008. ¿Cómo se pueden ver los registros en DNS? 3. Los usuarios en una sucursal de una organización están experimentando demoras en el inicio de sesión. Se puede crear un controlador de dominio en la casa matriz y luego enviar el controlador de dominio a la sucursal. Se configura la sucursal como un segundo sitio en el bosque. Se modificó la configuración de la dirección IP del controlador de dominio, se ha confirmado la conectividad de red y se ha confirmado la actualización de la dirección IP del controlador de dominio en DNS. No obstante, algunos usuarios en la sucursal siguen iniciando sesión con demoras. ¿Qué más debería hacer? 4. La organización cuenta con cinco oficinas, cada una de ellas configuradas como un sitio individual en AD DS. Se ha implementado al menos un controlador de dominio en cada oficina. En la casa matriz se lleva a cabo la administración de cuentas de usuario. Es posible que al crear una nueva cuenta de usuario en la casa matriz, se necesiten 3 horas como máximo antes de que el usuario pueda iniciar sesión usando dicha cuenta en la sucursal. ¿Qué debería hacerse para asegurar que el usuario pueda iniciar sesión correctamente después de que se ha creado la cuenta? Modulo 11 : Solución de problemas de Directiva de grupo Módulo 11 Solución de problemas de Directiva de grupo Este módulo describe los procedimientos de solución de problemas para los clientes y equipos de procesamiento de Directiva de grupo. Los procedimientos de solución de problemas pueden incluir una configuración incorrecta o incompleta de la directiva o bien la ausencia de una aplicación de la directiva para el equipo o usuario. Este módulo describe la información y las destrezas necesarias para solucionar estos problemas. Lección 1: Introducción a la Solución de problemas de la Directiva de grupo Lección 2: Solución de problemas de la aplicación de la Directiva de grupo Lección 3: Solución de problemas de configuración de la Directiva de grupo Laboratorio: Solución de problemas de la Directiva de grupo Lección 1: Introducción a la Solución de problemas de la Directiva de grupo Lección 1: Introducción a la Solución de problemas de Directiva de grupo La implementación y administración de Directiva de grupo puede ser compleja y, algunas veces, un valor puede generar consecuencias no deseadas para los usuarios o equipos. Esta lección brinda información detallada acerca del procesamiento de Directiva de grupo y las áreas problemáticas frecuentes y, además, describe algunas de las herramientas disponibles para la solución de problemas. Escenarios para la Solución de problemas de Directiva de grupo Escenarios para la Solución de problemas de Directiva de grupo Material de lectura adicional Artículo de Microsoft Technet: Solución de problemas de Directiva de grupo Preparación para la Solución de problemas de directivas de grupo Preparación para la Solución de problemas de directivas de grupo Puntos clave El primer paso para solucionar los problemas de Directiva de grupo es determinar el origen del problema. Los problemas de Directiva de grupo pueden ser un síntoma de otros problemas no relacionados, como por ejemplo la conectividad de la red, los problemas de autenticación, la disponibilidad del controlador de dominio o los errores de configuración de Servicio de nombres de dominio (DNS). Por ejemplo, el error de un enrutador o un servidor DNS puede impedir que los clientes establezcan contacto con un controlador de dominio. Pregunta: ¿Qué herramienta de diagnóstico usaría para determinar la expiración de la concesión de una dirección de Protocolo de configuración dinámica de host (DHCP) emitido para un equipo cliente? Material de lectura adicional Solución de los problemas de los sistemas con el Diagnóstico de red Uso de NSlookup.exe Artículo de Microsoft Technet: No se puede obtener acceso al controlador de dominio Kerbtray.exe: Bandeja de Kerberos Herramientas para la solución de problemas de las directivas de grupo Herramientas para la solución de problemas de las directivas de grupo Puntos clave Existen numerosas herramientas de diagnóstico y registros que pueden usarse para comprobar si se puede rastrear un problema en la Directiva de grupo principal. Registro de la Directiva de grupo Si las otras herramientas no ofrecen la información necesaria para identificar los problemas que afectan la aplicación de la Directiva de grupo, es posible habilitar el registro detallado y examinar los archivos de registro resultantes. Pueden generarse archivos de registro tanto en el cliente como el servidor a fin de brindar información detallada. Pregunta: ¿Qué herramienta de diagnóstico mostrará rápidamente el umbral actual del vínculo lento de la Directiva de grupo? Material de lectura adicional Group Policy Modeling and Results (Modelación y resultados de la Directiva de grupo) Cómo crear GPO predeterminado de dominios manualmente Herramienta GPOTool (del Kit de recursos del servidor de Windows 2000) Artículo de Microsoft Technet: Actualizar la configuración de Directiva de grupo con GPUpdate.exe Fixing Group policy problems by using log files (Solución de problemas de la Directiva de grupo con archivos de registro) Demostración: Uso de las herramientas de diagnóstico de Directiva de grupo Demostración: Uso de las herramientas de diagnóstico de Directiva de grupo Pregunta: ¿Qué pasos deben realizarse antes de ejecutar el informe de Directiva de grupo RSoP en un equipo remoto? Lección 2: Solución de problemas de la aplicación de la Directiva de grupo Lección 2: Solución de problemas de aplicaciones de Directiva de grupo Al solucionar los problemas de Directiva de grupo, es necesario comprender correctamente la interacción entre Directiva de grupo y sus tecnologías compatibles y las maneras en que se administran, instalan y aplican los Objetos de directiva de grupo. Solución de problemas de Herencia de directivas de grupo Solución de problemas de Herencia de directivas de grupo Puntos clave El bloqueo de la herencia le permitirá evitar que los valores con niveles elevados afecten las unidades organizativas o las unidades organizativas secundarias. Únicamente es posible bloquear la herencia para las unidades organizativas en su totalidad y no para los objetos individuales. El bloqueo de la herencia puede dificultar la solución de problemas ya que contrarresta las reglas habituales de la herencia. Pregunta: ¿Existen escenarios en su organización que se beneficiarían aplicando el bloqueo de la herencia? Material de lectura adicional Artículo de Microsoft Technet: Fixing Group Policy problems by using log files (Solución de problemas de Directiva de grupo con archivos de registro) Solución de problemas de Filtrado de directivas de grupo Solución de problemas de Filtrado de directivas de grupo Puntos clave El Filtrado de directivas de grupo determina los usuarios y los equipos que recibirán la configuración de los GPO. El filtrado de objetos de directiva de grupo (GPO) está basado en dos factores: El filtrado de seguridad en los GPO Todos los filtros Instrumental de administración de Windows (WMI) en los GPO Pregunta: Se aplicó el filtrado de seguridad a fin de limitar la aplicación del GPO únicamente al grupo Gerentes. Esto fue posible gracias a la configuración de los siguientes permisos de GPO: Se denegó el permiso Aplicar directiva de grupo a los usuarios autenticados. El grupo Gerentes recibió el permiso Leer y aplicar directiva de grupo. Ninguno de los gerentes recibe la configuración de GPO. ¿Cuál es el problema? Material de lectura adicional Artículo de Microsoft Technet: Fixing Group Policy scoping issues (Solución de problemas del ámbito de Directiva de grupo) Solución de problemas de Replicación de directivas de grupo Solución de problemas de Replicación de directivas de grupo Puntos clave En un dominio que posee más de un controlador de dominio, la información de Directiva de grupo demora en difundirse o replicarse de un controlador de dominio a otro. Un GPO consta de dos partes, la Plantilla de directivas de grupo (GPT) y el Contenedor de directivas de grupo (GPC). Se realiza un seguimiento de los cambios en los GPO usando los números de la versión. Cada cambio incrementa el número de versión de la GPT y el GPC. Pregunta: ¿Qué herramienta puede usar para forzar la replicación en todos los controladores de dominio del dominio? Material de lectura adicional Troubleshooting File Replication Service (Solución de problemas de Servicio de replicación de archivos) Artículo de Microsoft Technet: Replication of Group Policy settings between domain controllers fails (Error de replicación de la configuración de Directiva de grupo entre los controladores de dominio) Solución de problemas de actualización de Directiva de grupo Solución de problemas de actualización de Directiva de grupo Puntos clave La actualización de Directiva de grupo hace referencia a la recuperación periódica de los GPO que realiza el cliente. Durante la actualización de Directiva de grupo, el cliente establece contacto con un controlador de dominio disponible. Si se modifica algún GPO, el controlador de dominio ofrece una lista de todos los GPO adecuados. De manera predeterminada, los GPO se procesan en el equipo sólo si el número de versión de al menos un GPO ha cambiado en el controlador de dominio al que el equipo está obteniendo acceso. Pregunta: Se implementó una redirección de carpetas para una unidad organizativa determinada. Algunos usuarios notifican que sus carpetas no están siendo redirigidas al recurso compartido de red. ¿Cuál es el primer paso que debería realizar para solucionar el problema? Material de lectura adicional Group Policy does not refresh (Directiva de grupo no se actualiza) Discusión: Solución de problemas de configuración de Directiva de grupo Discusión: Solución de problemas de configuración de Directiva de grupo Pregunta: Se le aplica a un usuario una configuración que nadie más recibe. ¿Cuál podría ser el problema y cómo comenzaría a solucionarlo? Lección 3: Solución de problemas de configuración de la Directiva de grupo Lección 3: Solución de problemas de configuración de Directiva de grupo Con frecuencia, los problemas de configuración de Directiva de grupo se deben a la detección de vínculo lento o a una configuración incorrecta. Comprender cómo funcionan las Extensiones de cliente y cómo se determinan los vínculos lentos ayuda a solucionar estos problemas. Cómo funciona el procesamiento de Extensiones de cliente Cómo funciona el procesamiento de Extensiones de cliente Puntos clave Extensiones de cliente son bibliotecas de vínculos dinámicos (DLL) que realizan el procesamiento real de la configuración de Directiva de grupo. Los valores de la directiva se agrupan en diferentes categorías, tales como Plantillas administrativas, Configuración de seguridad, Redirección de carpetas, Cuotas de disco e Instalación de software. La configuración de cada categoría requiere una Extensión de cliente específica que pueda procesarla y cada Extensión de cliente cuenta con sus propias reglas para procesar la configuración. El proceso de Directiva de grupo principal solicita a las Extensiones de cliente adecuadas que procesen dicha configuración. Algunas Extensiones de cliente se comportan de manera diferente dependiendo de las circunstancias. Por ejemplo, ciertas Extensiones de cliente no se procesarán si se detecta un vínculo lento. Configuración de seguridad y Plantillas administrativas se aplican siempre y no es posible desactivarlas. Es posible controlar el comportamiento de otras Extensiones de cliente a través de los vínculos lentos. A medida que se procesa la Directiva de grupo, el proceso de Winlogon envía la lista de los GPO por procesar a todas las Extensiones de cliente de Directiva de grupo. Entonces, la extensión usa la lista para procesar la directiva correcta cuando corresponda. Pregunta: Los usuarios en una sucursal inician sesión a través de una conexión de módem lenta. Se necesita aplicar Redirección de carpetas para los usuarios aún a través del vínculo lento. ¿Cómo se lograría esto? Material de lectura adicional Identificar extensiones de cliente de Directiva de grupo Directiva de equipo para Extensiones de cliente http://www.microsoft.com/technet/prodtechnol /windows2000serv/reskit/distrib/dsec_pol_ooyn.mspx?mfr=true Group Policy and Network Bandwidth (Directiva de grupo y Ancho de banda de red) Solución de problemas de configuración de Directiva de plantillas administrativas Solución de problemas de configuración de Directiva de plantillas administrativas Puntos clave Algunos valores de Plantilla administrativa pueden ser preferencias (en lugar de directivas) que no pueden quitarse con facilidad, mientras que los sistemas operativos anteriores pueden no aceptar otros valores administrativos. Pregunta: Su red tiene equipos con Windows XP y Windows Vista. Se configuró Plantilla administrativa para quitar el vínculo de juegos del menú Inicio, pero únicamente los equipos con Windows Vista están aplicando este valor. ¿Cuál es el problema? Material de lectura adicional Artículo de Microsoft Technet: Fixing Administrative Template policy setting problems (Solucionar problemas de configuración de la directiva de Plantillas administrativas) Solución de problemas de configuración de Directiva de seguridad Solución de problemas de configuración de Directiva de seguridad Puntos clave Directivas de seguridad protegen la integridad del entorno informático controlando varios aspectos de éste, como por ejemplo las directivas de contraseña, las opciones de seguridad, los grupos restringidos, las directivas de red, los servicios, las directivas de claves públicas, entre otros. Características de Directivas de seguridad Directivas de seguridad se actualizan cada 16 horas aunque no se hayan modificado. Directivas de seguridad se procesan siempre, aún a través de conexiones lentas. Pregunta: Se configuró una Directiva de contraseña en un GPO y se vinculó la directiva con la unidad organizativa Investigación. La directiva no afecta a todos los usuarios de dominio en la unidad organizativa. ¿Cuál es el problema? Material de lectura adicional Solución de problemas de aplicación de la directiva de grupos Solución de problemas de configuración de Directiva de scripts Solución de problemas de configuración de Directiva de scripts Puntos clave La Extensión de scripts de cliente actualiza el registro con la ubicación de los archivos de scripts para que el proceso UserInit pueda encontrar esos valores durante su procesamiento normal. Cuando una Extensión de cliente informa que se produjo correctamente, quizá sólo signifique que la ubicación del script se encuentra en el registro. Aunque el valor se encuentra en el registro, podrían ocurrir problemas que impidan que se le aplique ese valor al cliente. Por ejemplo, si un script especificado en un valor Script tiene un error que le impide finalizar, Extensión de cliente no detectará un error. Directiva de grupo procesa un GPO y almacena la información del script en el registro en las siguientes ubicaciones: HKCU\Software\Directivas\Microsoft\Windows\Sistema\Scripts (Scripts de usuario) HKLM\Software\Directivas\Microsoft\Windows\Sistema\Scripts (Scripts del equipo) Pregunta: Se asigna un script de inicio de sesión para una unidad organizativa. El script se ejecuta correctamente para todos los usuarios, pero algunos usuarios notifican que obtienen un mensaje de acceso denegado cuando intentan ingresar a la unidad asignada. ¿Cuál es el problema? Material de lectura adicional Artículo de Microsoft Technet: Fixing Scripts policy settings problems (Solucionar problemas de configuración de directivas de scripts) Laboratorio: Solución de problemas de la Directiva de grupo Laboratorio: Solución de problemas de Directiva de grupo Escenario Woodgrove Bank ha finalizado la instalación de Windows Server 2008. Como administrador de AD DS, una de las tareas principales es solucionar los problemas de AD DS que le transfiere el Departamento de soporte técnico de la compañía. Además, es responsable de solucionar los problemas relacionados con la aplicación y la configuración de Directiva de grupo. Nota: Algunas de las tareas de este laboratorio están diseñadas para ilustrar las técnicas de solución de problemas de GPO y puede que no siempre sigan los procedimientos recomendados. Ejercicio 1: Solución de problemas de scripts de Directiva de grupo Ejercicio 1: Solución de problemas de scripts de Directiva de grupo Se creará y vinculará un GPO que realice las siguientes acciones para todos los usuarios de dominio y equipos: Establecer en Internet Explorer® como página principal para http://WoodgroveBank.com. Forzar el menú Inicio clásico. Forzar al cliente para que espere que se inicialice la red durante el inicio y luego iniciar sesión. Configurar el Firewall de Windows para permitir la administración remota de entrada. Luego, deberá aplicar a todos los usuarios de dominio un GPO preconfigurado que asigne una unidad a la carpeta compartida Datos y, además, deberá observar y solucionar los problemas de los resultados. Todos los usuarios de dominio tendrán una unidad asignada a una carpeta compartida denominada Data. El GPO ya ha sido creado y se hizo una copia de seguridad. Debe restaurar y aplicar el GPO que envía la directiva al dominio y solucionar todos los problemas de la directiva. Un usuario en la unidad organizativa Miami ha presentado el siguiente vale de soporte técnico: Nombre de usuario: Roya Asbari Nombre del equipo: NYC-CL1 Descripción del problema: No hay ninguna unidad asignada a la carpeta Datos. El vale fue transferido al equipo del servidor para su resolución. Las principales tareas son: 1. Iniciar la máquina virtual 6824A-NYC-DC1 e iniciar sesión como Administrador. 2. Crear y vincular una Directiva de escritorio del dominio. Establecer el Internet Explorer® como página principal para http://WoodgroveBank.com. Forzar el menú Inicio clásico para todos los usuarios de dominio. Forzar al equipo cliente para que espere que se inicialice la red durante el inicio y luego iniciar sesión. Configurar el Firewall de Windows para permitir la administración remota de entrada. 3. Restaurar el GPO Lab11A. 4. Vincular el GPO Lab11A con el dominio. 5. Iniciar la máquina virtual 6824A-NYC-CL1 e iniciar sesión como Administrador. 6. Probar el GPO. 7. Solucionar los problemas del GPO. 8. Solucionar el problema y probar su resolución. Tarea 1: Iniciar la máquina virtual 6824A-NYC-DC1 e iniciar sesión como Administrador 1. Abra Control remoto de cliente de servidor virtual y luego haga doble clic en 6824A-NYC-DC1. 2. Inicie sesión en NYC-DC1 como Administrador usando la contraseña Pa$$w0rd. Tarea 2: Crear y vincular una directiva de escritorio del dominio 1. Abra Administración de directiva de grupo. 2. Cree y vincule un GPO denominado Escritorio con el dominio WoodgroveBank. 3. Edite la directiva como se detalla a continuación: 1. Busque Configuración del equipo, vaya a Plantillas administrativas, luego a Sistema y finalmente a Inicio de sesión. Habilite la directiva Siempre a la red en el inicio e inicio de sesión. 2. Vaya a Red, luego a Conexiones de red, a Firewall de Windows y finalmente a Perfil de dominio. Habilite la directiva Firewall de Windows: Permitir excepciones de administración remota entrante y luego escriba subredlocal en el campo y haga clic en Aceptar. 3. Vaya a Configuración del usuario, luego a Configuración de Windows, a Mantenimiento de Internet Explorer, a Direcciones URL y finalmente a Direcciones URL importantes. 4. En el cuadro de diálogo Direcciones URL importantes, personalice la URL de la página principal para que sea http://WoodgroveBank.com. 5. Vaya a Plantillas administrativas, luego a Menú inicio y Barra de herramientas y luego habilite el valor Forzar menú inicio clásico. 4. Cierre el Editor de administración de directiva de grupo. Tarea 3: Restaurar el GPO Lab11A 1. En la GPMC, haga clic con el botón secundario en la carpeta Objetos de directiva de grupo y luego haga clic en Administrar copias de seguridad. 2. En el cuadro de diálogo Administrar copias de seguridad, escriba D:\6824 en el campo Ubicación de las copias de seguridad. 3. Seleccione el GPO Lab 11A, haga clic en Restaurar y luego en Aceptar dos veces. 4. Cierre el cuadro de diálogo Administrar copias de seguridad. Tarea 4: Vincular el GPO Lab11A con el dominio 1. En la GPMC, haga clic con el botón secundario en el dominio WoodgroveBank.com y luego en Vincular un GPO existente. 2. En el cuadro de diálogo Seleccionar GPO, seleccione el GPO Lab 11A y luego haga clic en Aceptar. Tarea 5: Iniciar la máquina virtual 6824A-NYC-CL1 y luego iniciar sesión como Administrador Inicie NYC-CL1 e inicie la sesión como WoodgroveBank\Administrador con la contraseña Pa$$w0rd. Tarea 6: Probar el GPO 1. Cierre sesión y luego inicie sesión como Administrador. Nota: Se requieren dos inicios de sesión para ver la configuración de Directiva de grupo ya que Administrador inicia sesión usando las credenciales almacenadas en la memoria caché. 2. Haga clic en el botón Inicio y asegúrese de ver el menú Inicio clásico. 3. Haga doble clic en Internet Explorer y luego en la X roja para detener el intento de conexión con la página de inicio predeterminada. Haga clic en el icono Página principal en la barra de herramientas y asegúrese de que http://WoodgroveBank.com sea la página principal. 4. Haga doble clic en Internet Explorer y luego en la X roja para detener el intento de conexión con la página de inicio predeterminada. Haga clic en el icono Página principal en la barra de herramientas y asegúrese de que http://WoodgroveBank.com sea la página principal. 5. Cierre el Internet Explorer. 6. Haga doble clic en Equipo en el escritorio y asegúrese de que cuenta con una unidad asignada para la carpeta compartida denominada Data. 7. Cierre sesión. 8. Inicie sesión en NYC-CL1 como Roya, usando la contraseña Pa$$w0rd. 9. Cierre Centro de Bienvenida. 10. Haga clic en el botón Inicio y asegúrese de que Roya vea el menú Inicio clásico. 11. En el escritorio, haga doble clic en Internet Explorer y luego haga clic en el icono Página principal de la barra de herramientas para asegurarse de que http://WoodgroveBank.com sea la página principal. 12. Cierre el Internet Explorer. 13. En el Escritorio, haga doble clic en Equipo y compruebe la unidad asignada a la carpeta compartida denominada Datos. Tarea 7: Solución de problemas del GPO 1. Cambie nuevamente a NYC-DC1. 2. En la GPMC, haga clic con el botón secundario en Resultados de directiva de grupo y luego en el Asistente de resultados de directiva. 3. En la pantalla Selección de equipo, haga clic en Otro equipo y luego escriba NYC-CL1 en el campo. 4. En la ventana Selección de usuario, seleccione WoodgroveBank\Roya y luego haga clic en Finalizar. 5. En la sección Resumen de configuración del usuario, haga clic en Objetos de directiva de grupo y luego en GPO aplicados. 6. Haga clic en la ficha Configuración. 7. Expanda Configuración de Windows, luego Scripts y finalmente Inicio de sesión. 8. Cambie nuevamente a NYC-CL1 como Roya. 9. Pruebe el permiso de Roya para obtener acceso a la ubicación de scripts abriendo un comando Ejecutar, escribiendo \\nyc-dc1\scripts y luego presionando ENTER. 10. Haga clic en Aceptar para descartar el cuadro de diálogo de error. Nota: Si cuenta con tiempo suficiente, puede visualizar el registro funcional de Directiva de grupo como Administrador en NYC-CL1. Si aplica un filtro a la vista para mostrar los eventos que genera Roya, podría ver que el registro no detecta errores o advertencias para este usuario. Esto se debe a que el GPO establece únicamente un valor en el registro que define la ubicación de la carpeta de scripts. Directiva de grupo ignora si el usuario tiene acceso a la ubicación y si se logró escribir correctamente en el registro. Por lo tanto, el registro de Directiva de grupo no presenta errores. Se debería auditar el Acceso a objetos para la carpeta de scripts a fin de determinar los problemas de acceso. Tarea 8: Determinar y probar la solución 1. Cambie nuevamente a NYC-DC1 y abra Explorador de Windows. 2. Vaya a la carpeta D:\6824\scripts. 3. Agregue Usuarios autenticados a la lista de permisos Compartir y concédales Permiso de lectura. 4. Cambie a NYC-CL1 como Roya, cierre sesión y luego inicie sesión. 5. En el escritorio, haga doble clic en Equipo. Nota: Otra manera de resolver el problema sería moviendo el script al recurso compartido Netlogon. 6. Cierre sesión. Resultado: Al finalizar este ejercicio, habrá solucionado un problema de scripts de Directiva de grupo. Ejercicio 1: Respuestas claves (pasos detallados) Ejercicio 2: Solución de problemas del GPO Laboratorio 11B Ejercicio 2: Solución de problemas del GPO Laboratorio 11B Los usuarios de dominio en la unidad organizativa Miami y todas las unidades organizativas secundarias no deben tener acceso al Panel de control. Deberá restaurar y aplicar el GPO que envía la directiva a la unidad organizativa Miami. El técnico local in situ presentó un vale de soporte técnico y transfirió el siguiente problema al equipo del servidor: Nombre de usuario: Técnico local Nombre del equipo: NYC-CL1 Nombre de usuario: Técnico local Nombre del equipo: NYC-CL1 Descripción del problema: Ningún usuario debería tener acceso al Panel de control. Sin embargo, algunos usuarios tienen acceso al Panel de control mientras que otros no. Específicamente, un gerente de la sucursal de Miami, Roya, tiene acceso al Panel de control. El vale fue transferido al equipo del servidor para su resolución. Las principales tareas para este ejercicio se realizarán como se detalla a continuación: 1. Restaurar el GPO Lab11B. 2. Vincular el GPO Lab11B con la unidad organizativa Miami. 3. Probar el GPO usando diferentes usuarios. 4. Solucionar los problemas del GPO usando RSoP. 5. Determinar y probar la resolución. Tarea 1: Restaurar el GPO Lab11B 1. Desde NYC-DC1, en la GPMC, haga clic con el botón secundario en la carpeta Objetos de directiva de grupo y luego haga clic en Administrar copias de seguridad. 2. En el cuadro de diálogo Administrar copias de seguridad, escriba D:\6824\Copia de Seguridad GPO en el campo Ubicación de copia de seguridad. 3. Restaure el GPO Lab 11B. Tarea 2: Vincular el GPO Lab11B con la unidad organizativa Miami 1. En la GPMC, haga clic con el botón secundario en la unidad organizativa Miami y luego en Vincular un GPO existente. 2. En el cuadro de diálogo Seleccionar GPO, seleccione el GPO Lab 11B y luego haga clic en Aceptar. Tarea 3: Probar el GPO 1. Inicie sesión en NYC-CL1 como Rich, usando la contraseña Pa$$w0rd. 2. Asegúrese de que la configuración del GPO Escritorio esté aplicada. 3. Asegúrese de que el ícono Panel de control no se muestre en el escritorio o en Menú inicio. 4. Cierre sesión. 5. Inicie sesión en NYC-CL1 como Roya. 6. Cierre sesión. Tarea 4: Solución de problemas del GPO 1. Cambie nuevamente a NYC-DC1. 2. En la GPMC, haga clic con el botón secundario en Resultados de directiva de grupo y luego en el Asistente de resultados de directiva de grupo. 3. En la ventana Selección de equipo, haga clic en Otro equipo y luego escriba NYC-CL1 en el campo. 4. En la ventana Selección de usuario, seleccione WoodgroveBank\Rich y luego haga clic en Finalizar. 5. En la sección Resumen de configuración del usuario, haga clic en Objetos de directiva de grupo y luego en GPO aplicados. 6. Haga clic en la ficha Configuración. 7. Expanda Configuración de Windows y luego Panel de control. 8. Haga clic con el botón secundario en Resultados de directiva de grupo, consulte Roya en NYC-CL1 en el panel izquierdo y luego haga clic en Volver e ejecutar la consulta. 9. En la sección Resumen de configuración del usuario, haga clic en Objetos de directiva de grupo y luego en GPO aplicados. 10. Haga clic en GPO negados. Tarea 5: Determinar y probar la resolución 1. En la GPMC, expanda la carpeta Objetos de directiva de grupo, haga clic en el GPO Lab 11B, luego en la ficha Delegación y finalmente en Avanzado. 2. En la ficha Seguridad, haga clic en MIA_GerentesSucursalGG. 3. Elimine MIA_GerentesSucursalGG de la lista de permisos y haga clic en Aceptar. 4. Cambie a NYC-CL1 e inicie sesión nuevamente como Roya. Resultado: Al finalizar este ejercicio, habrá solucionado un problema de Objetos de directiva de grupo. Ejercicio 2: Respuestas claves (pasos detallados) Ejercicio 3: Solución de problemas del GPO Laboratorio 11C Ejercicio 3: Solución de problemas del GPO Laboratorio 11C Los usuarios de la unidad organizativa Miami no deberían tener acceso al comando Ejecutar en el menú Inicio. Debe restaurar y vincular el GPO Lab 11C a fin de aplicar este valor. El técnico del escritorio local ha transferido el siguiente problema al equipo del servidor: Nombre de usuario: Técnico local Nombre del equipo: NYC-CL1 Descripción del problema: Ningún usuario debería tener acceso al comando Ejecutar en el menú Inicio, pero todos los usuarios de la unidad organizativa Miami tienen acceso al comando Ejecutar. El vale fue transferido al equipo del servidor para su resolución. Las principales tareas para este ejercicio se realizarán como se detalla a continuación: 1. Restaurar el GPO Lab11C. 2. Vincular el GPO Lab11C con la unidad organizativa Miami. 3. Probar el GPO. 4. Solucionar los problemas del GPO. 5. Determinar y probar la resolución. Tarea 1: Restaurar el GPO Lab11C 1. Desde NYC-DC1, en la GPMC, haga clic con el botón secundario en la carpeta Objetos de directiva de grupo y luego haga clic en Administrar copias de seguridad. 2. En el cuadro de diálogo Administras copias de seguridad, escriba D:\6824\Copia de Seguridad GPO en el campo Ubicación de copia de seguridad. 3. Restaure el GPO Lab 11C. Tarea 2: Vincular el GPO Lab11C con la unidad organizativa Miami 1. En la GPMC, haga clic con el botón secundario en la unidad organizativa Miami y luego en Vincular un GPO existente. 2. Seleccione el GPO Lab 11C y luego haga clic en Aceptar. Tarea 3: Probar el GPO 1. Inicie sesión en NYC-CL1 como Roya. 2. Cierre sesión. Tarea 4: Solucionar los problemas del GPO 1. Cambie a NYC-DC1. 2. En la GPMC, vuelva a ejecutar la consulta Roya en NYC-CL1. 3. En la sección Resumen de configuración del usuario, haga clic en Objetos de directiva de grupo y luego en GPO aplicados. 4. Haga clic en la ficha Configuración. 5. En la sección Configuración del usuario, expanda Plantillas administrativas y luego haga clic en Menú inicio y Barra de tareas. Tarea 5: Determinar y probar la resolución 1. Expanda la carpeta Objetos de directiva de grupo, haga clic con el botón secundario en el GPO Lab 11C y luego haga clic en Edición. 2. Vaya a Configuración del usuario, a Plantillas administrativas, luego a Menú inicio y finalmente a Barra de tareas. 3. Haga doble clic en el valor Agregar el comando Ejecutar al menú inicio, haga clic en No configurado y luego en Aceptar. 4. Busque Quitar el menú Ejecutar del menú inicio y habilite la configuración. 5. Cierre el Editor de objetos de directiva de grupo. 6. Inicie sesión en NYC-CL1 como Roya. 7. No cierre sesión. Resultado: Al finalizar este ejercicio, habrá solucionado un problema de Objetos de directiva de grupo. Ejercicio 3: Respuestas claves (pasos detallados) Ejercicio 4: Solución de problemas del GPO Laboratorio 11D Ejercicio 4: Solución de problemas del GPO Laboratorio 11D Debe restaurar el GPO Lab 11D y vincularlo con la carpeta Bucle invertido. Este GPO está diseñado para optimizar la seguridad. Un usuario en la unidad organizativa Miami ha presentado el siguiente vale de soporte técnico: Nombre de usuario: Roya Asbari Nombre del equipo: NYC-CL1 Descripción del problema: Desde la aplicación del GPO, Roya ya no posee el menú Inicio clásico o la asignación de unidad y ya no puede ejecutar Internet Explorer. El vale fue transferido al equipo del servidor para su resolución. Las principales tareas para este ejercicio se realizarán como se detalla a continuación: 1. Crear una nueva unidad organizativa denominada Bucle invertido. 2. Restaurar el GPO Lab11D. 3. Vincular el GPO Lab11D con la unidad organizativa Bucle invertido. 4. Mover NYC-CL1 a la unidad organizativa Bucle invertido. 5. Probar el GPO. 6. Solucionar los problemas del GPO. 7. Solucionar el problema y probar su resolución. Tarea 1: Crear una nueva unidad organizativa denominada Loopback Use Usuarios y equipos de Active Directory para crear una nueva unidad organizativa denominada Bucle invertido en el dominio WoodgroveBank.com. Tarea 2: Restaurar el GPO Lab11D 1. Desde NYC-DC1, en la GPMC, haga clic con el botón secundario en la carpeta Objetos de directiva de grupo y luego haga clic en Administrar copias de seguridad. 2. En el cuadro de diálogo Administrar copias de seguridad, escriba D:\6824\Copia de Seguridad GPO en el campo Ubicación de copia de seguridad.Restaure el GPO Lab 11D. Tarea 3: Vincular el GPO Lab11D con la unidad organizativa Bucle invertido 1. En la GPMC, haga clic con el botón secundario en la unidad organizativa Bucle invertido y luego en Vincular un GPO existente. 2. En el cuadro de diálogo Seleccionar GPO, seleccione el GPO Lab 11D y luego haga clic en Aceptar. Tarea 4: Mover NYC-CL1 a la unidad organizativa Bucle invertido 1. Haga clic en Inicio, luego en Herramientas administrativas y finalmente haga clic en Usuarios y equipos de Active Directory. 2. Expanda el dominio WoodgroveBank.com y luego haga clic en el contenedor Equipos. 3. Haga clic con el botón secundario en la cuenta de equipo NYC-CL1 y luego haga clic en Mover. 4. Seleccione la unidad organizativa Bucle invertido y luego haga clic en Aceptar. Tarea 5: Probar el GPO 1. Cambie a NYC-CL1 y luego reinicie el equipo. 2. Inicie sesión como WoodgroveBank\Roya usando la contraseña Pa$$w0rd. 3. Cierre Centro de Bienvenida. 4. Presione el botón Inicio. 5. Haga doble clic en Internet Explorer. 6. Cierre Internet Explorer. Tarea 6: Solucionar los problemas del GPO 1. Cambie nuevamente a NYC-DC1. 2. En la GPMC, ejecute Asistente de resultados de directiva. 3. En la ventana Selección de equipo, haga clic en Otro equipo, escriba NYC-CL1 en el cuadro de texto y luego haga clic en Siguiente. 4. En la ventana Selección de usuario seleccione WoodgroveBank\Roya y luego haga clic en Finalizar. 5. En la sección Resumen de configuración del equipo, haga clic en Objetos de directiva de grupo y luego en GPO aplicados. 6. En la sección Configuración del equipo, haga clic en Plantillas administrativas y luego en Sistema/Directiva de grupo. Tarea 7: Determinar y probar la resolución 1. En la GPMC, haga clic con el botón secundario en la unidad organizativa Admins y deshabilite el vínculo con el GPO Lab 11D. 2. Reinicie el equipo NYC-CL1. 3. Inicie sesión como Roya. Resultado: Al finalizar este ejercicio, habrá solucionado un problema de Objetos de directiva de grupo. Ejercicio 4: Respuestas claves (pasos detallados) Revisión y conclusiones del módulo Revisión y conclusiones del módulo Observaciones Tenga en cuenta lo siguiente cuando desee implementar un plan de supervisión de AD DS: Las Extensiones de cliente controlan la aplicación de Directiva de grupo a intervalos regulares configurables. Los números de versión de GPO indican si se ha modificado una Directiva de grupo. No todas las Extensiones de cliente procesan a través de un vínculo lento. La configuración de seguridad se actualiza cada 16 horas. Windows XP y las versiones anteriores se registran en el registro Userenv para la mayoría de los problemas relacionados con Directiva de grupo. Es posible modificar el registro para habilitar otros registros de Extensiones de cliente. Windows Vista se registra en los registros funcionales de Visor de eventos. El bloqueo de la herencia impedirá la aplicación de todas las directivas de nivel superior, a menos que dichas directivas estén aplicadas. Es posible filtrar Directiva de grupo para que se aplique únicamente a ciertos principios de seguridad usando la configuración de seguridad o los scripts WMI. Directiva de grupo consta de dos partes: Plantillas de directivas de grupo y Contenedores de directivas de grupo. Directiva de grupo replica estos objetos en momentos diferentes usando distintos mecanismos. Windows XP y las versiones posteriores inician sesión de usuarios que poseen credenciales almacenadas en la memoria caché de manera predeterminada. Numerosas configuraciones de usuario requerirán dos inicios de sesión por esta razón. Windows XP y las versiones anteriores utilizan el ICMP para determinar la velocidad del vínculo. Windows Vista y las versiones posteriores usan el reconocimiento de la red para determinar la velocidad del vínculo. Los principios de seguridad necesitan un permiso para obtener acceso a las ubicaciones de scripts a fin de poder ejecutarlos. De manera predeterminada, los scripts de inicio del equipo se ejecutan de modo sincrónico. De manera predeterminada, los scripts de inicio de sesión de usuario se ejecutan de modo asincrónico. Herramientas Usar las siguientes herramientas al solucionar problemas de Directiva de grupo: Ping Probar la conectividad de la red. NSlookup Probar las búsquedas DNS. DCdiag Probar los controladores de dominio. Set Mostrar, establecer o quitar las variables del entorno. Kerbtray Mostrar la información del vale de Kerberos. Informe de Directiva de grupo RSoP Presentar información sobre las directivas actuales que se envían a los clientes. GPResult Una utilidad de línea de comandos que muestra la información de RSoP. GPOTool Comprobar la estabilidad de Objetos de directiva de grupo y supervisar la replicación de la directiva. GPResult Actualizar la configuración local de Directiva de grupo basada en AD DS. Dcgpofix Restaurar los objetos predeterminados de la Directiva de grupo a su estado original luego de la instalación inicial. GPOLogView Exportar los eventos relacionados con la Directiva de grupo del sistema y los registros operativos a archivos de texto, HTML o XML. Compatible con Windows Vista y versiones posteriores. Scripts de Administración de directivas Los scripts de muestra que realizan diversas tareas de solución de de grupo problemas y mantenimiento. Preguntas de revisión 1. ¿Qué herramienta puede probar la resolución de nombres DNS? NSlookup DCdiag GPResult Ping 2. ¿Qué registro le brindará información detallada acerca de la redirección de carpetas? ________________________________________________________________ 3. ¿Qué indicador visual en la GPMC muestra que la herencia ha sido bloqueada? ________________________________________________________________ 4. ¿Qué configuración de GPO se aplica a través de vínculos lentos de manera predeterminada? Elija todas las que correspondan: 1. Directivas de scripts 2. Configuración de seguridad 3. Configuración administrativa 4. Mantenimiento de Internet Explorer 5. Directiva de recuperación EFS 6. Directiva IPSec Modulo 12 : Implementación de una infraestructura de Servicios de dominio de Active Directory Módulo 12 Implementación de una infraestructura de Servicios de dominio de Active Directory Este módulo explica cómo implementar una infraestructura de Servicios de dominio de Active Directory® (AD DS). El módulo consta de cinco ejercicios que conforman los tres laboratorios. Estos ejercicios reforzarán los conceptos del curso y ofrecerán la oportunidad de realizar diferentes operaciones que no se realizaron en los laboratorios anteriores. Cada uno de los ejercicios es independiente de los demás. Lección 1: Descripción general del dominio de AD DS Lección 2: Planeación de una estrategia de Directiva de grupo Laboratorio A: Implementación de Servicios de dominio de Active Directory Laboratorio B: Configuración de relaciones de confianza de bosque Laboratorio C: Diseño de una estrategia de Directiva de grupo Lección 1: Descripción general del dominio de AD DS Lección 1: Descripción general del dominio de AD DS En esta lección, observará los componentes del dominio de AD DS con los que trabajará en el laboratorio. Descripción general del diseño de dominio de AD DS Descripción general del diseño de dominio de AD DS Puntos clave El gráfico de la diapositiva describe la configuración actual del dominio en Woodgrove Bank. Descripción general del diseño requerido del dominio Descripción general del diseño requerido del dominio Puntos clave El gráfico de la diapositiva describe la configuración requerida para el dominio en Woodgrove Bank. El dominio Contoso se unirá al bosque Woodgrove Bank como un árbol independiente del mismo bosque. Descripción general del diseño del sitio AD DS Descripción general del diseño del sitio AD DS Puntos clave El gráfico de la diapositiva describe la configuración actual del sitio en Woodgrove Bank. Se ha abierto una nueva sucursal en Nueva York y se creará un nuevo sitio para controlar el tráfico de inicio de sesión. Se crearán los siguientes dos sitios: · El sitio Contoso.com, que incluirá la subred 192.168.0.0 · El sitio NYC-Sucursal, que incluirá la subred 10.30.0.0 Lección 2: Planeación de una estrategia de Directiva de grupo Lección 2: Planeación de una estrategia de Directiva de grupo En esta lección se planearán Directivas de grupo y se implementarán en los laboratorios. Descripción general de la implementación del controlador de dominio Descripción general de la implementación del controlador de dominio Puntos clave El gráfico describe la implementación del nuevo controlador de dominio en Woodgrove Bank. Se cambiará el nombre del equipo Server Core NYC-SRV2 a NYC-DC3 para reflejar la nueva función y se instalará la función del controlador de dominio de sólo lectura (RODC) en NYC-DC3. Se cambiará el nombre del equipo NYC-SRV1 a ContosoDC para reflejar la nueva función y luego se convertirá en el controlador de dominio Contoso. Laboratorio A: Implementación de Servicios de dominio de Active Directory Laboratorio A: Implementación de Servicios de dominio de Active Directory Escenario Woodgrove Bank está implementando AD DS del sistema operativo Windows Server®°2008. El administrador de la empresa ha creado un diseño para la implementación. Como administrador de AD DS, implementará este diseño y comprobará que todos los componentes del diseño funcionen correctamente. Información del sitio Habrá dos nuevos sitios: NYC- Sucursal y Contoso. Nombre del sitio: NYC-Casa Matriz Subred: 10.10.0.0 Puerta de enlace: 10.10.0.1 Controlador de dominio: NYC-DC1 10.10.0.10 Nombre del sitio: NYC-Sucursal Subred: 10.30.0.0 Puerta de enlace: 10.30.0.1 Controlador de dominio: NYC-DC3 (RODC) (previamente denominado NYC-SRV2) 10.30.0.10 Nombre del sitio: Contoso Subred: 192.168.0.0 Puerta de enlace: 192.168.0.1 Controlador de dominio: ContosoDC (previamente denominado NYC-SRV1) 192.168.0.10 Información de dominio Habrá dos dominios: WoodgroveBank.com y Contoso.com WoodgroveBank y Contoso pertenecen al mismo bosque. WoodgroveBank es el dominio raíz del bosque y Contoso es un árbol independiente del bosque. WoodgroveBank.com Controladores de dominio: NYC-DC1, NYC-DC2, NYC-DC3 (RODC) (previamente denominado NYC-SRV2) Contoso.com Controlador de dominio: ContosoDC (previamente denominado NYC-SRV1) Nota: El siguiente laboratorio requiere que se ejecuten cuatro máquinas virtuales al mismo tiempo. Se recomienda que los equipos de los alumnos estén configurados con un GB adicional de memoria RAM (para alcanzar un total de 3 GB) y así mejorar el rendimiento de la máquina virtual en el laboratorio. Ejercicio 1: Instalación de un RODC en un Server Core y creación de un sitio de una sucursal Ejercicio 1: Instalación de un RODC en un Server Core y creación de un sitio de una sucursal Escenario Woodgrove Bank ha abierto una nueva sucursal en la ciudad de Nueva York. Las cuentas de usuarios de los empleados de la sucursal se ubicarán en una unidad organizativa (UO) independiente. Para controlar el tráfico de inicio de sesión, se ha decidido crear un sitio independiente para la nueva sucursal y un controlador de dominio de sólo lectura (RODC) en una instalación Server Core en el sitio. Se le ha asignado la tarea de crear y configurar el controlador de dominio de la nueva sucursal de la ciudad de Nueva York. Usará un servidor existente, el NYC-SRV2, que es una instalación Server Core. Deberá realizar las siguientes tareas en AD DS: Preconfigurar la cuenta para el RODC de la sucursal. Crear una unidad organizativa denominada Empleados de Sucursal, que incluirá las cuentas de usuarios. Crear cuentas de usuarios para el gerente y los usuarios de la sucursal. Crear un grupo global denominado UsuariosSucursalGG y agregarle los usuarios de la sucursal. Se almacenarán en la memoria caché del RODC únicamente las contraseñas de los empleados de la sucursal. También deberá crear el sitio y el objeto de subred 10.30.0.0 para la sucursal. Luego deberá cambiar el nombre NYC-SRV2 por NYC-DC3, para que refleje su función actual. Deberá configurar la dirección IP de manera tal que refleje la subred del sitio de la sucursal. Luego deberá instalar RODC en el servidor. Por último, establecerá la configuración de manera tal que la replicación con el sitio de la oficina central se realice cada 30 minutos. Las principales tareas para este ejercicio se realizarán como se detalla a continuación: 1. Iniciar las máquinas virtuales e iniciar sesión. 2. Copiar el archivo de instalación desatendida y cambiar el nombre NYC-SRV2 por NYC-DC3. 3. Cambiar la dirección IP de NYC-SRV2 por 10.30.0.10. 4. Crear el sitio NYC-Sucursal y cambiar el nombre del sitio predeterminado. 5. Crear objetos de subred para los sitios de la oficina central y la sucursal NYC. 6. Configurar el programa de replicación. 7. Crear una unidad organizativa para la sucursal. 8. Crear usuarios y grupos para la sucursal. 9. Configurar el servicio DNS en NYC-DC1 de manera tal que permita transferencias de zona. 10. Realizar la preparación preliminar en la cuenta de equipo para el RODC. 11. Instalar la función de DNS en NYC-DC3. 12. Instalar RODC en NYC-DC3 y comprobar los resultados. 13. Cerrar NYC-SRV2 y descartar los discos para deshacer Tarea 1: Iniciar las máquinas virtuales y luego iniciar sesión 1. En la máquina host, haga clic en Inicio, elija Todos los programas, seleccione Microsoft Learning y luego haga clic en 6824A. Se inicia Iniciador de laboratorio. 2. En Iniciador de laboratorio, junto a 6824A-NYC-DC1, haga clic en Iniciar. 3. En Iniciador de laboratorio, junto a 6824A-NYC-DC2, haga clic en Iniciar. 4. En Iniciador de laboratorio, junto a 6824A-NYC-SVR2, haga clic en Iniciar. 5. En Iniciador de laboratorio, junto a 6824A-NYC-RAS, haga clic en Iniciar. 6. Inicie sesión en todos los equipos como Administrador, usando la contraseña Pa$$w0rd. 7. Minimice la ventana Iniciador de laboratorio. Tarea 2: Copiar el archivo de instalación desatendida y cambiar el nombre NYC-SRV2 por NYC-DC3 1. Copie el archivo NYC-Rodc.txt de la carpeta D:\6824\Allfiles\Mod12\Labfiles de NYC-DC1 a la unidad C:. 2. En el símbolo del sistema, escriba Netdom renamecomputer %computername% /NewName:NYC-DC3 /Force /REBoot:5 y luego presione ENTRAR. El equipo se reiniciará automáticamente después de 5 segundos. Tarea 3: Cambiar la dirección IP de NYC-SRV2 por 10.30.0.10 1. En el símbolo del sistema, escriba netsh interface ipv4 show interfaces. Observe el número de índice de la interfaz Conexión de área local (<Ind>). 2. En el símbolo del sistema, escriba netsh interface ipv4 set address name=<Ind> source=static address=10.30.0.10 mask=255.255.0.0 gateway=10.30.0.1 y luego presione ENTRAR. 3. En el símbolo del sistema, escriba Ipconfig /all y asegúrese de que la información de la dirección IP sea correcta y de que el Servidor DNS sea 10.10.0.10. Tarea 4: Crear el sitio NYC-Sucursal y cambiar el nombre del sitio predeterminado 1. En NYC-DC1, abra Sitios y servicios de Active Directory. 2. Haga clic con el botón secundario en Sites y luego haga clic en Nuevo sitio nombrado NYC-Sucursal. Seleccione DefaultIPSiteLink y luego haga clic en Aceptar. 3. Cambie el nombre de Default-First-Site-Name por NYC-Casa-Matriz. Tarea 5: Crear objetos de subred para los sitios de la oficina central y la sucursal NYC 1. Cree un nuevo objeto de subred para la subred 10.10.0.0/16. Seleccione el sitio NYC-Casa-Matriz y luego haga clic en Aceptar. 2. Cree un nuevo objeto de subred para 10.30.0.0/16. Seleccione el sitio NYC-Sucursal y haga clic en Aceptar. Tarea 6: Configurar el programa de replicación 1. Abra las propiedades de la subred DEFAULTIPSITELINK. 2. Escriba 30 en el campo Replicar cada y luego haga clic en Aceptar. 3. Cierre Sitios y servicios de Active Directory. Tarea 7: Crear una unidad organizativa para los usuarios de la sucursal 1. Abra Usuarios y equipos de Active Directory. 2. Cree una nueva unidad organizativa denominada NYC-Sucursal. Tarea 8: Crear usuarios y grupos para la sucursal 1. Cree un nuevo usuario con los siguientes parámetros: Nombre: Gerente Sucursal Nombre de inicio de sesión: gerentesucursal Contraseña: Pa$$w0rd La contraseña nunca caduca 2. Cree un segundo usuario con los siguientes parámetros: Nombre: Usuario sucursal Nombre de inicio de sesión : usuariosucursal Contraseña: Pa$$w0rd La contraseña nunca caduca 3. Cree un nuevo grupo global denominado UsuariosSucursalGG. 4. Agregue las cuentas Gerente Sucursal y Usuario Sucursal al grupo global UsuariosSucursalGG. Tarea 9: Configurar el servicio DNS en NYC-DC1 de manera tal que permita transferencias de zona 1. En NYC-DC1, abra la Consola Administrador de DNS. 2. Configure la zona WoodgroveBank.com en Permitir transferencias de zona. 3. Cierre el Administrador de DNS. Tarea 10: Realizar la preparación preliminar de la cuenta de equipo para el RODC 1. Vuelva a Usuarios y equipos de Active Directory, haga clic con el botón secundario en la unidad organizativa Domain Controllers y luego haga clic en Crear previamente una cuenta de controlador de dominio de sólo lectura. 2. En la página Bienvenidos al asistente de instalación de servicios de dominio de Active, seleccione la casilla Usar la instalación en modo avanzado y luego haga clic en Siguiente. 3. En la página Compatibilidad del sistema operativo, haga clic en Siguiente. 4. En la página Credenciales de red, compruebe que esté seleccionada la opción Mis credenciales de inicio de sesión actuales y luego haga clic en Siguiente. 5. En la página Especificar nombre del equipo, en el campo Nombre de equipo, escriba NYC-DC3 y luego haga clic en Siguiente. 6. En la página Seleccionar un sitio, haga clic en NYC-Sucursal y luego haga clic en Siguiente. 7. En la página Opciones adicionales del controlador de dominio, mantenga los valores predeterminados y luego haga clic en Siguiente. 8. En la página Especificar la directiva de replicación de contraseñas, haga clic en Agregar y luego seleccione Permitir la replicación en este RODC de contraseñas de la cuenta. 9. Agregue UsuariosSucursalGG. 10. En la página Delegación de instalación y administración de RODC, haga clic en Establecer y luego agregue la cuenta GerenteSucursal. 11. Cierre el asistente para crear la cuenta RODC. Observe que la cuenta de equipo NYC-DC3 está enumerada en AD DS, y el Tipo de DC es Cuenta de DC no ocupada. Tarea 11: Instalar la función de DNS en NYC-DC3 1. {0>En NYC-DC3, escriba Oclist para visualizar las funciones actualmente instaladas.<0}{>Observe que no haya funciones actualmente instaladas.<0} 2. Escriba start /w ocsetup DNS-Server-Core-Role y luego presione ENTRAR para instalar el servidor DNS. El nombre de la función del Server Core distingue mayúsculas de minúsculas. Tarea 12: Instalar RODC en NYC-DC3 y comprobar los resultados 1. Escriba dcpromo.exe /UseExistingAccount:Attach/unattend:C:\nyc-rodc.txt. Demorará varios minutos en realizarse la promoción y se llevará a cabo el reinicio de sesión automáticamente para completar la instalación. 2. Inicie sesión en NYC-DC3 como GerenteSucursal. 3. Cambie a NYC-DC1 y actualice la vista de la unidad organizativa Domain Controllers. Observe que el tipo DC de NYC-DC3 ahora está configurado como Sólo lectura, GC. 4. Abra Sitios y servicios de Active Directory y examine el sitio NYC-Sucursal. Observe que NYC-DC3 ahora está enumerado en el contenedor de servidores. 5. Abra el Administrador de DNS y conéctese al servidor DNS de NYC-DC3. Observe que NYC-DC3 hospeda una copia de la zona WoodgroveBank.com. Nota: Si el servidor no está disponible, espere unos minutos y vuelva a intentarlo. Observe que NYC-DC3 hospeda una copia de la zona Woodgrovebank.com. 2. Cierre la consola DNS. Tarea 13: Cerrar todas las máquinas virtuales y descartar los discos para deshacer 1. Cierre la ventana 6824A-NYC-SRV2 Control remoto de máquina virtual. 2. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar. Resultado: Al finalizar el ejercicio, habrá creado un RODC en un equipo Server Core Ejercicio 1: Respuestas claves (pasos detallados) Ejercicio 2: Creación de un dominio en un árbol y un sitio independientes Ejercicio 2: Creación de un dominio en un árbol y un sitio independientes Escenario Woodgrove Bank ha adquirido una pequeña empresa denominada Contoso, Ltd. Por motivos legales, dicha empresa debe tener un dominio independiente en un nuevo árbol de dominios en el mismo bosque. Esto les permitirá mantener el espacio de nombres Contoso.com. El dominio Contoso también estará en un sitio independiente. Se le ha asignado la tarea de crear el dominio para Contoso, Ltd, que recibirá el nombre Contoso.com y tendrá un árbol de dominios independiente en el bosque WoodgroveBank. Convertirá un servidor existente, NYC-SRV1, en el nuevo controlador de dominio. Deberá cambiar el nombre del equipo a ContosoDC. También deberá crear un sitio independiente para el dominio Contoso que use la subred 192.168.0.0 y configurar el equipo ContosoDC con la dirección IP 192.168.0.10. Configurará la replicación entre el sitio New York y el sitio Contoso de manera tal que se realice cada 4 horas, entre las 18:00 y las 06:00. Instalará y configurará el servicio DNS en ContosoDC de manera tal que mantenga una zona secundaria de WoodgroveBank.com. Por último, convertirá ContosoDC en el controlador de dominio Contoso.com. Las principales tareas para este ejercicio se realizarán como se detalla a continuación: 1. Iniciar NYC-SRV1. 2. Crear el sitio Contoso. 3. Crear la subred para el sitio Contoso. 4. Crear y configurar un nuevo vínculo de sitio para replicación. 5. Cambiar el nombre del servidor NYC-SRV1 por ContosoDC. 6. Cambiar la dirección IP de ContosoDC. 7. Configurar el servicio DNS en NYC-DC1 para permitir transferencias de zona (Si ha completado el Ejercicio 1, ya ha realizado este paso). 8. Instalar DNS en ContosoDC. 9. Configurar el servicio DNS en ContosoDC. 10. Convertir el servidor en el controlador de dominio Contoso. 11. Cerrar NYC-SRV1 y NYC-DC2 y descartar los discos para deshacer. Tarea 1: Iniciar NYC-SRV1 1. En Iniciador de laboratorio, junto a 6824A-NYC-SRV1, haga clic en Iniciar. 2. Minimice la ventana Iniciador de laboratorio. Tarea 2: Crear el sitio Contoso 1. En NYC-DC1, abra Sitios y servicios de Active Directory. 2. Cree un nuevo sitio denominado Contoso. 3. Seleccione el vínculo de sitio DefaultIPSiteLink, haga clic en Aceptar y luego en Aceptar para aceptar el mensaje. Tarea 3: Crear la subred para el sitio Contoso 1. Cree un nuevo objeto de subred para la subred 192.168.0.0/24. Seleccione el sitio Contoso y luego haga clic en Aceptar. 2. Cierre Sitios y servicios de Active Directory. Tarea 4: Crear y configurar un nuevo vínculo de sitio para replicación 1. Cree un nuevo vínculo a sitio denominado Contoso-NYC-CM. 2. Abra las propiedades del vínculo de sitio Contoso-NYC-CM y agregue los sitios Contoso y NYC-Casa-Matriz al vínculo de sitio. 3. Escriba 240 en el campo Replicar cada y luego haga clic en Cambiar programación. 4. En el cuadro de diálogo Programación para Contoso-NYC-CM, haga clic y arrastre para seleccionar el horario 06:00 A 18:00 de lunes a viernes, haga clic en Replicación no disponible y luego haga clic en Aceptar dos veces. Tarea 5: Cambiar el nombre de NYC-SRV1 por ContosoDC 1. Inicie sesión en NYC-SRV1 como AdminLocal, usando la contraseña Pa$$w0rd. 2. Cambie el nombre del equipo a ContosoDC y luego reinicie el equipo. Tarea 6: Cambiar la dirección IP de ContosoDC 1. Inicie sesión en ContosoDC como AdminLocal, usando la contraseña Pa$$w0rd. 2. Configure la dirección IPv4 como se detalla a continuación: Dirección IP: 192.168.0.10 Máscara de subred: 255.255.255.0 Puerta de enlace predeterminada: 192.168.0.1 Servidor DNS preferido: 10.10.0.10 Tarea 7: Configurar el servicio DNS en NYC-DC1 para permitir transferencias de zona (Si ha completado el Ejercicio 1, ya ha realizado este paso) 1. Cambie a NYC-DC1. 2. Abra la consola Administración de DNS. 3. Configure la zona WoodgroveBank.com en Permitir transferencias de zona. 4. Cierre el Administrador de DNS. Tarea 8: Instalar la función del servidor DNS en ContosoDC 1. Cambie a ContosoDC. 2. Instale la función del servidor DNS. 3. Deje el Administrador de servidor abierto. Tarea 9: Configurar el servicio DNS en ContosoDC 1. Abra la consola Administración de DNS. 2. Cree una zona secundaria directa denominada WoodgroveBank.com. 3. Configure el Servidor maestro DNS como 10.10.0.10. La transferencia de zona demorará unos instantes. Deberá actualizar la consola para ver los cambios. 4. Expanda Registros globales y luego haga clic en Sucesos DNS. Examine los eventos que describen la transferencia de zona. 5. Cierre el Administrador de DNS. Tarea 10: Convertir el servidor en el controlador de dominio Contoso. 1. Utilice el Administrador del servidor para agregar la función Servicios de dominio de Active Directory. 2. Inicie DCPromo.exe. 3. En Asistente de instalación de servicios de dominio de Active Directory, seleccione Usar la instalación en avanzado. 4. En la página Compatibilidad del sistema operativo, haga clic en Siguiente. 5. En la ventana Elegir configuración de implementación, haga clic en Bosque existente, haga clic en Crear un nuevo dominio en un bosque existente y luego seleccione Crear una raíz de árbol de dominio nueva en lugar de un nuevo dominio secundario. 6. En la pantalla Credenciales de red, escriba Woodgrovebank.com en el campo de nombre de dominio, haga clic en Establecer y luego use las credenciales: 1. Usuario: Administrador 2. Contraseña: Pa$$w0rd 7. Denomine la nueva raíz del árbol de dominio Contoso.com. 8. En la pantalla Nombre NetBIOS del dominio, haga clic en Siguiente. 9. Establezca el nivel funcional del dominio en Windows Server 2008. 10. En la ventana Seleccionar un sitio, haga clic en Siguiente. 11. En la ventana Opciones adicionales del controlador de dominio, seleccione la casilla Catálogo global y luego haga clic en Siguiente. 12. En el cuadro de mensaje Asignación IP estática, haga clic en Sí, el equipo utilizará una dirección IP asignada dinámicamente y luego haga clic en Sí para continuar. Nota: Este mensaje hace referencia a la interfaz IPV6, que está configurada para usar DHCP. 13. En la ventana Controlador del dominio de origen, haga clic en Siguiente. 14. En la ventana Ubicación de la base de datos, los archivos de registro y SYSVOL, haga clic en Siguiente. 15. Establezca Pa$$w0rd como la contraseña de administrador de modo de restauración de servicios de directorio. 16. En la ventana Resumen, haga clic en Siguiente y luego seleccione Reiniciar al completar. 17. Inicie sesión en el equipo ContosoDC como Contoso\Administrador. 18. Abra Consola de administración de DNS y examine las zonas de búsqueda directa. Observe la zona Contoso.com. 19. Use el comando configIP /todos para examinar la configuración de IP. Observe que ContosoDC está usando 127.0.0.1 como el servidor DNS preferido. Tarea 11: Apagar NYC-SRV1 y NYC-DC2 y descartar los discos para deshacer 1. Cierre la ventana 6824A-NYC-SRV1 Control remoto para máquina virtual. 2. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios. Haga clic en Aceptar. 3. Cierre la ventana 6824A-NYC-DC2 Control remoto para máquina virtual. 4. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios. Haga clic en Aceptar. Resultado: Al finalizar este ejercicio, habrá creado un dominio en un árbol y un sitio independientes. Ejercicio 2: Respuestas claves (pasos detallados) Descripción general de la relación de confianza de bosque Descripción general de la relación de confianza de bosque Puntos clave Este tema es una introducción de la información que necesitará para el próximo laboratorio. Al finalizar el próximo laboratorio, el bosque Fabrikam será actualizado al nivel Windows Server 2008 y se convertirá un servidor de Windows Server 2008 en un controlador de dominio adicional para el dominio. El bosque Fabrikam.com tendrá una relación de confianza de bosque con el bosque WoodgroveBank. La confianza usará autenticación selectiva de manera que sólo se le permita al grupo Admins. Dominio de WoodgroveBank autenticarse en los recursos del dominio Fabrikam. Laboratorio B: Configuración de relaciones de confianza de bosque Laboratorio B: Configuración de relaciones de confianza de bosque Escenario Woodgrove Bank acaba de adquirir una nueva filial denominada Fabrikam, Inc. Fabrikam actualmente ejecuta controladores de dominio del sistema operativo Windows Server®°2003. Una de las primeras tareas que deberán realizar los administradores de Woodgrove Bank será actualizar los controladores de dominio para Windows Server 2008. Fabrikam Inc continuará en un bosque independiente y confiará en el bosque Woodgrove Bank. Ejercicio: Actualización del domino de Fabrikam y creación de una confianza de bosque con Woodgrove Bank Ejercicio: Actualización del domino de Fabrikam y creación de una confianza de bosque con Woodgrove Bank Escenario Se le ha asignado la tarea de preparar el bosque y el dominio Fabrikam 2003 de manera tal que acepten los controladores de dominio de Windows Server 2008. También deberá configurar transferencias de zona DNS entre el bosque Fabrikam y el bosque WoodgroveBank. Luego convertirá un servidor Windows Server 2008 en un controlador de dominio del dominio Fabrikam. Por último, configurará una confianza de bosque entre WoodgroveBank.com y Fabrikam.com. La confianza usará autenticación selectiva de manera que sólo se le permita al grupo Admin. Dominio de WoodgroveBank autenticarse en los recursos del dominio Fabrikam. Use la siguiente información para realizar el ejercicio: Nombre del sitio: Fabrikam Subred: 10.20.0.0 Puerta de enlace: 10.20.0.1 Controlador de dominio: FabrikamDC 10.20.0.10 Las principales tareas para este ejercicio se realizarán como se detalla a continuación: 1. Iniciar VAN-DC1 y NYC-SVR1. 2. Preparar el bosque y el dominio de manera tal que permitan que el bosque Fabrikam.Com admita controladores de dominio de Windows Server 2008. 3. Configurar las transferencias de zona DNS de manera tal que sean recíprocas entre WoodgroveBank.com y Fabrikam.com usando zonas de rutas internas. 4. Cambiar el nombre de NYC-SRV1 por VAN-DC2. 5. Convertir el servidor Windows Server 2008 en un controlador de dominio del dominio Fabrikam. 6. Configurar una confianza de bosque entre WoodgroveBank.com y Fabrikam.com para autenticación selectiva. 7. Configurar la autenticación selectiva para el grupo Admin. Dominio WoodgroveBank. 8. Apagar los servidores. Tarea 1: Iniciar VAN-DC1 y NYC-SVR1 1. En Iniciador de laboratorio, junto a 6824A-VAN-DC1, haga clic en Iniciar. 2. En Iniciador de laboratorio, junto a 6824A-NYC-SVR1, haga clic en Iniciar. 3. Minimice la ventana Iniciador de laboratorio. Tarea 2: Preparar el bosque y el dominio de manera tal que permitan que el bosque Fabrikam.Com admita controladores de dominio de Windows Server 2008 1. Inicie sesión en VAN- DC1 como Administrador, usando la contraseña Pa$$w0rd. 2. Abra Usuarios y equipos de Active Directory. 3. Haga clic con el botón secundario en Fabrikam.com y luego haga clic en Elevar el nivel funcional del dominio. 4. Eleve el nivel funcional del dominio a Windows Server 2003. 5. Abra Dominios y confianzas de Active Directory. 6. Haga clic con el botón secundario en Dominios y confianzas de Active Directory y luego haga clic en Elevar el nivel funcional del bosque. 7. Eleve el nivel funcional del bosque a Windows Server 2003. 8. Copie los archivos Windows Server 2008 ADPrep de la carpeta D:\6824\allfiles\Mod12\Adprep en NYC-DC1 en C:\Adprep en VAN-DC1. 9. Desde un símbolo del sistema, escriba el comando C:\Adprep\adprep /forestprep. Lea el mensaje de advertencia y luego escriba C para continuar. La ejecución de forestprep demorará unos instantes. 10. En la ventana de símbolo del sistema, escriba C:\ Adprep\adprep /domainprep. 11. Cierre el símbolo del sistema. Tarea 3: Configurar las transferencias de zona DNS de manera tal que sean recíprocas entre WoodgroveBank.com y Fabrikam.com usando zonas de rutas internas 1. En VAN-DC1, inicie la consola administración de DNS. 2. Configure la zona Fabrikam.com de manera tal que permita transferencias de zona. 3. En NYC-DC1, inicie la consola de Administración de DNS. 4. Inicie el Asistente para crear zona nueva. 5. En la ventana Tipo de zona, haga clic en Zona de rutas internas. 6. En la ventana Ámbito de replicación de zona de Active Directory, haga clic en Siguiente. 7. En la ventana Nombre de zona, escriba Fabrikam.com. 8. En la ventana Servidores DNS maestros, escriba 10.20.0.10 y luego cierre el asistente. La transferencia de zona demorará unos instantes. Debe actualizar la consola para ver los cambios. 9. Cierre el Administrador de DNS. 10. Cambie a VAN-DC1. 11. Inicie el Asistente para crear zona nueva. 12. En la ventana Tipo de zona, haga clic en Zona de rutas internas.. 13. En la ventana Ámbito de replicación de zona de Active Directory, haga clic en Siguiente. 14. En la ventana Nombre de zona, escriba WoodgroveBank.com. 15. En la ventana Servidores DNS maestros, escriba 10.10.0.10 y luego cierre el asistente. La transferencia de zona demorará unos instantes. Deberá actualizar la consola para ver los cambios. 16. Cierre el Administrador de DNS. Tarea 4: Cambiar el nombre de NYC-SRV1 por VAN-DC2 1. Inicie sesión en NYC-SRV1 como AdminLocal, usando la contraseña Pa$$w0rd. 2. Cambie la configuración de la dirección IP para la Conexión de área local a: Dirección IP: 10.20.0.11 Máscara de subred: 255.255.0.0 Puerta de enlace predeterminada: 10.20.0.1 Servidor DNS preferido: 10.20.0.10 3. En Administrador del servidor, haga clic en Cambiar propiedades del sistema. 4. Cambie el nombre del equipo a VAN-DC2 y luego reinícielo. Tarea 5: Convertir el servidor Windows Server 2008 en un controlador de dominio del dominio Fabrikam 1. Inicie sesión en VAN-DC2 como AdminLocal, usando la contraseña Pa$$w0rd. 2. Agregue la función Servicios de dominio de Active Directory. 3. Inicie DCPromo.exe. 4. En la ventana Elegir una configuración de implementación, haga clic en Bosque existente y mantenga la opción predeterminada Agregar una controlador de dominio a un dominio existente. 5. En la ventana Credenciales de red, escriba Fabrikam.com en el campo de nombre de dominio, haga clic en Establecer y use las credenciales: Usuario: Fabrikam\Administrador Contraseña: Pa$$w0rd 6. En la ventana Seleccione un dominio, haga clic en Fabrikam.com y luego haga clic en Sí para aceptar el mensaje sobre los RODC. 7. En la ventana Seleccione un sitio, haga clic en Siguiente. 8. En Opciones adicionales del controlador de dominio, desactive las casillas Servidor DNS y Catálogo Global. 9. En la ventana Conflicto de configuración del maestro de infraestructura, haga clic en Transferir la función de maestro de infraestructura a este controlador de dominio. 10. En la ventana Ubicación de la base de datos, los archivos de registro y Sysvol, haga clic en Siguiente. 11. En Contraseña de admin.del modo de restauración de servicios de directorio, escriba Pa$$w0rd en los campos Contraseña. 12. En la página Resumen, haga clic en Siguiente y luego haga clic en Reiniciar al completar. Tarea 6: Configurar una confianza de bosque entre WoodgroveBank.com y Fabrikam.com para autenticación selectiva 1. Cambie a NYC-DC1. 2. Abra Dominios y confianzas de Active Directory. 3. En las propiedades de WoodgroveBank.com, haga clic en la ficha Confía y luego en Nueva confianza. 4. En el Asistente de nueva confianza, haga clic en Siguiente. 5. Denomine la confianza Fabrikam.com. 6. Cree una confianza de bosque. 7. Configure la confianza de manera tal que sea Unidireccional: de entrada. 8. En la ventana Partes de la relación de confianza, seleccione Ambos, este dominio y el dominio especificado. 9. Use las credenciales que se presentan a continuación: Nombre de usuario: Administrador Contraseña: Pa$$w0rd 10. En la ventana Nivel de autenticación de la confianza saliente-Bosque especificado, haga clic en Autenticación selectiva. 11. En la ventana Se completo la creación de la confianzas, haga clic en Siguiente. 12. En la ventana Confirmar confianza entrante, haga clic en Siguiente y luego cierre el asistente. Tarea 7: Configurar la autenticación selectiva para el grupo Admins Dominio, de dominio de WoodgroveBank 1. Cambie a VAN-DC1. 2. Abra Usuarios y equipos de Active Directory. 3. Habilite la Vista de Características avanzadas. 4. En la unidad organizativa Domain Controllers, abra las propiedades de VAN-DC1. 5. En la ventana Propiedades de VAN-DC1, haga clic en la ficha Seguridad y luego en Agregar. 6. Otorgue al grupo WoodgroveBank\Admins. del Dominio el permiso Permiso para autenticar. Tarea 8: Apagar NYC-SRV1, NYC-RAS y VAN-DC1 y descartar los discos para deshacer 1. Cierre NYC-SRV1, NYC-RAS y VAN-DC1 y descarte los discos para deshacer. 2. Cierre la ventana 6824A-NYC-SRV1 Control remoto para máquina virtual. 3. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar. 4. Cierre la ventana 6824A-NYC-RAS Control remoto para máquina virtual. 5. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar. 6. Cierre la ventana 6824A-VAN-DC1 Control remoto para máquina virtual. 7. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar. Resultado: Al finalizar este ejercicio, habrá creado una confianza de bosque. Ejercicio 2: Respuestas claves (pasos detallados) Descripción general del Diseño de objetos de directiva de grupo de AD DS Descripción general del Diseño de objetos de directiva de grupo de AD DS Puntos clave El gráfico de la diapositiva describe la configuración actual de la unidad organizativa en Woodgrove Bank. Laboratorio C: Diseño de una estrategia de Directiva de grupo Laboratorio C: Planeación de una estrategia de Directiva de grupo Escenario Como administrador de red de WoodgroveBank.Com, tiene la responsabilidad de desarrollar una directiva de escritorio y seguridad que pueda administrarse centralmente a través de Directiva de grupo. Ejercicio 1: Planeación de una Directiva de grupo Ejercicio 1: Planeación de una Directiva de grupo Escenario Se le ha asignado la tarea de crear una directiva de seguridad de equipo que pueda enviarse a través de Directiva de grupo. Deberá crear las unidades organizativas que se requieran y luego deberá crear y vincular a éstas las directivas correspondientes. La directiva corporativa estipula que los servidores se ubicarán en la estructura de árbol de una unidad organizativa independiente basada en su función. Deben considerarse los servidores de archivos e impresión, servidores SQL™ Server y servidores web. Use el diagrama de dominio como ayuda para planear la estructura de Directiva de grupo y de la unidad organizativa. Complete la tabla para describir los Objetos de directiva de grupo (GPO) que se deben crear, qué valores contendrá cada uno y a dónde se vincularán los GPO. Las principales tareas para este ejercicio se realizarán como se detalla a continuación: 1. Crear una directiva de seguridad global que deberá implementarse en todos los equipos del dominio como se indica a continuación: La cuenta Administrador integrada de todos los equipos se denominará Admin El grupo global Admins TI se agregará al grupo local Administradores Las actualizaciones de Windows se obtendrán de un servidor web denominado http://updates 2. Crear una directiva de seguridad que se implementará en todos los servidores con más valores de seguridad basados en la función del servidor, tal como se indica a continuación: La cuenta Administrador integrada por todos los servidores miembro se denominará SRVAdmin Los eventos de inicio de sesión de cuentas se auditarán en todos los servidores No se permitirá ejecutar el Explorador de Internet® en ninguno de los servidores Los servidores SQL Server impedirán la instalación de dispositivos extraíbles 3. Configurar una directiva de escritorio corporativo como se indica a continuación: El acceso a la configuración de protector de pantalla estará bloqueada para todos los usuarios del dominio No se permitirá a los usuarios de Toronto y Miami ejecutar Windows® Messenger No se permitirá a los usuarios del dominio agregar nuevas impresoras. Los usuarios de la unidad organizativa Admin estarán exentos de esta configuración. El cifrado de archivos sin conexión será obligatorio para la unidad organizativa Executives Se prohibirá el acceso de todos los usuarios al Panel de control, a excepción de los administradores de dominio Ejercicio 1: Respuestas claves (pasos detallados) Ejercicio 2: Implementación de Directiva de escritorio corporativo Ejercicio 2: Implementación de Directiva de escritorio corporativo Escenario Se le ha asignado la tarea de implementar Directiva de escritorio corporativo al dominio Woodgrove Bank. Creará y vinculará los GPO apropiados. Las principales tareas de este ejercicio son: 1. Crear y vincular la Directiva de escritorio del dominio 2. Crear y vincular el GPO Prohibir panel de control 3. Crear y vincular el GPO Forzar cifrado de archivo sin conexión 4. Crear y vincular el GPO Bloquear Windows Messenger 5. Crear y vincular el GPO Permtir agregar impresoras Tarea 1: Crear y vincular la Directiva de escritorio del dominio 1. En NYC-DC1, abra la consola Administración de directivas de grupo. 2. Cree un GPO denominado Directiva de escritorio del dominio y vincúlelo al dominio WoodgroveBank.com. 3. Edite Directiva de escritorio de dominio como se indica a continuación: Expanda Configuración del usuario, luego Directivas, Plantillas administrativas, Panel de contol y, por último, Impresoras. Habilite el valor Impedir la agregación de Impresoras. 4. En Panel de control, haga clic en Pantalla y luego habilite el valor Ocultar la ficha Protector de pantalla. 5. Cierre el Editor de administración de directiva de grupo. Tarea 2: Crear y vincular el GPO Prohibir panel de control 1. Expanda Configuración del usuario, luego Plantillas administrativas: definiciones de directivas y, por último, Panel de control. 2. Habilite el valor Prohibir acceso al panel de control. 3. Cierre el Editor de administración de directivas. 4. Haga doble clic en el GPO Prohibir panel de control, haga clic en la ficha Delegación en el panel de detalles y luego haga clic en Avanzadas. 5. En el cuadro de diálogo Configuración de seguridad Prohibir panel de control, seleccione Admins. del Dominio, luego seleccione la casilla Denegar Aplicar directiva de grupos y, por último, haga clic en Aceptar. 6. Haga clic en Sí para aceptar el mensaje. Esto excluirá al grupo Administradores de dominio de la directiva. Tarea 3: Crear y vincular el GPO Forzar cifrado de archivo sin conexión 1. Haga clic con el botón secundario en OUEjecutivos y luego haga clic en Crear un GPO en este dominio y vincularlo aquí. 2. En el cuadro de diálogo Nuevo GPO, escriba Forzar cifrado de archivo sin conexión en el campo Nombre y luego haga clic en Aceptar. 3. Haga clic con el botón secundario en Forzar cifrado de archivo sin conexión y luego haga clic en Editar. 4. Expanda Configuración del equipo, luego Directivas, Plantillas administrativas, Red y luego haga clic en Archivos sin conexión. 5. En el panel de detalles, haga doble clic en Cifrar la caché de archivos sin conexión. 6. En el cuadro de diálogo Propiedades de Cifrar la caché de archivos sin conexión, haga clic en Habilitada y luego en Aceptar. 7. Cierre el Editor de administración de directiva de grupo. Tarea 4: Crear y vincular el GPO Bloquear Windows Messenger 1. Haga clic con el botón secundario en OU Miami y luego haga clic en Crear un GPO en este dominio y vincularlo aquí. 2. En el cuadro de diálogo Nuevo GPO, escriba Bloquear Windows Messenger en el campo Nombre y luego haga clic en Aceptar. 3. Haga clic con el botón secundario en Bloquear Windows Messenger y luego haga clic en Editar. 4. Expanda Configuración del usuario, luego expanda Directivas, Plantillas administrativas, Componentes de Windows y luego haga doble clic en Windows Messenger. 5. En el panel de detalles, haga doble clic en No permitir que se ejecute Windows Messenger. 6. En el cuadro de diálogo Propiedades de Permitir la ejecución de Windows Messenger, haga clic en Habilitada y luego haga clic en Aceptar. 7. Cierre el Editor de administración de directiva de grupo. 8. Haga clic con el botón secundario en OU Toronto y luego haga clic en Vincular un GPO existente. 9. En el cuadro de diálogo Seleccionar GPO, haga clic en Bloquear Windows Messenger y luego en Aceptar. Tarea 5: Crear y vincular el GPO Permitir agregar impresoras 1. Haga clic con el botón secundario en OU AdminsTI y luego haga clic en Crear un GPO en este dominio y vincularlo aquí. 2. En el cuadro de diálogo Nuevo GPO, escriba Permitir agregar impresoras en el campo Nombre y luego haga clic en Aceptar. 3. Haga clic con el botón secundario en Permitir agregar impresoras y luego haga clic en Editar. 4. Expanda Configuración del usuario, luego Directivas, Plantillas administrativas, Panel de control y finalmente haga clic en Impresoras. En el panel de detalles, haga doble clic en Impedir la agregación de impresoras. 5. En el cuadro de diálogo Propiedades de Impedir la agregación de impresoras, haga clic en Deshabilitadq y luego haga clic en Aceptar. 6. Cierre el Editor de administración de directiva de grupo. 7. Cierre la GPMC. 8. Apague todas las máquinas virtuales y elimine todos los cambios. Resultado: Al finalizar este ejercicio, habrá implementado una estrategia de Directiva de grupo. Ejercicio 2: Respuestas claves (pasos detallados) Revisión y conclusiones del módulo Revisión y conclusiones del módulo Observaciones Tenga en cuenta lo siguiente cuando desee implementar una infraestructura de AD DS: Es posible usar sitios para controlar el ámbito del tráfico de inicio de sesión. Los árboles independientes del bosque permiten la existencia de múltiples espacios de nombres DNS. Evaluación del curso Evaluación del curso La evaluación de este curso ayudará a Microsoft a comprender la calidad de su experiencia de aprendizaje. Contáctese con su proveedor de cursos para obtener el formulario de evaluación. Microsoft mantendrá la privacidad y confidencialidad de sus respuestas y usará esta información para mejorar su futura experiencia de aprendizaje. Se agradece y valora la honestidad y libertad de sus comentarios.