0% encontró este documento útil (0 votos)

507 vistas428 páginas

Active Directory Windows-2008 Microsoft

nstalling Active Directory Domain Services on a Rackspace Cloud Server is a relatively easy process. There are a few requirements that must be present first to ensure a smooth installation however. 1. Have your domain name selected along with the Domain Administrator Password that you wish to use. Note- Though it is not a requirement, It is recommended you use a multiple name format for you domain name. Example would be, domainName.com or domainName.local rather than simply domainName.

Cargado por

Andrés Espejo

Derechos de autor

Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.

Formatos disponibles

Descarga como PDF, TXT o lee en línea desde Scribd

0% encontró este documento útil (0 votos)

507 vistas428 páginas

Active Directory Windows-2008 Microsoft

Cargado por

Andrés Espejo

Derechos de autor

Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.

Formatos disponibles

Descarga como PDF, TXT o lee en línea desde Scribd

Curso 6824A - Indice

Mdulo 1: Implementacin de Servicios de dominio de Active Directory

Este mdulo analiza los requisitos previos de hardware y software para implementar AD DS, como as tambin el proceso para instalarlo. Asimismo, define qu es un controlador de dominio de slo lectura (RODC) y cmo se instala. Mdulo 2: Configuracin del Servicio de nombres de dominio para Servicios de dominio de Active Directory Este mdulo describe la configuracin de DNS especfica para AD DS.

Mdulo 3: Configuracin de objetos y confianzas de Active Directory

Este mdulo analiza cmo implementar y configurar objetos y confianzas de AD DS.

Mdulo 4: Configuracin de Sitios de servicios de dominio y replicacin de Active Directory

Este mdulo describe cmo crear y configurar sitios para administrar la replicacin. Mdulo 5: Creacin y configuracin de la Directiva de grupo Este mdulo describe cmo funcionan, cmo se crean y cmo se aplican los Objetos de directiva de grupo (GPO). Mdulo 6: Configuracin de entornos de usuario usando la Directiva de grupo Este mdulo analiza cmo establecer la configuracin del escritorio del usuario mediante la Directiva de grupo.

Mdulo 7: Implementacin de la seguridad usando la Directiva de grupo

Este mdulo describe cmo establecer los valores de seguridad y aplicarlos usando Objetos de directiva de grupo. Mdulo 8: Implementacin de un plan de supervisin de Servicios de dominio de Active Directory Este mdulo describe cmo supervisar infraestructura y servicios de AD DS. Mdulo 9: Implementacin de un plan de mantenimiento de Servicios de dominio de Active Directory Este mdulo analiza cmo realizar el mantenimiento, la copia de seguridad y la recuperacin de servidores y objetos de Active Directory.

Mdulo 10: Solucin de problemas de Active Directory, DNS y replicacin Este mdulo describe cmo solucionar problemas relacionados con AD DS, DNS y replicacin Mdulo 11: Solucin de problemas de Directiva de grupo Este mdulo describe cmo solucionar problemas relacionados con Directivas de grupo. Mdulo 12: Implementacin de una infraestructura de Servicios de dominio de Active Directory Este mdulo implica un da entero de laboratorio. Se presentan escenarios para facilitar el aprendizaje de la solucin desde el comienzo hasta el final. Copyright 2009, Microsoft Corporation. All rights reserved. Legal Notices

Modulo 1 : Implementacin de Servicios de dominio de Active Directory

Implementacin de Servicios de dominio de Active Directory

Leccin 1: Instalacin de Servicios de dominio de Active Directory Leccin 2: Implementacin de controladores de dominio de slo lectura Leccin 3: Configuracin de funciones de controladores de dominio de AD DS Laboratorio: Implementacin de los controladores de dominio de slo lectura y administracin de

las funciones de controladores de dominio

Servicios de dominio de Active Directory (AD DS) se instala como una funcin del servidor en el sistema operativo Windows Server2008. Existen varias opciones para elegir al instalar AD DS y ejecutar el Asistente para instalacin de Servicios de dominio de Active Directory. Se debe elegir si se desea crear un nuevo dominio o agregarle un controlador de dominio a uno existente. Asimismo, cuenta con la opcin de instalar AD DS en un servidor con Server Core de Windows Server 2008 o instalar los controladores de dominio de slo lectura. Despus de implementar los controladores de dominio, tambin se deben administrar funciones especiales de controladores de dominio, como por ejemplo el catlogo global y los maestros de operaciones.

Leccion 1 : Instalacin de Servicios de dominio de Active Directory

Leccin 1:

Instalacin de Servicios de dominio de Active Directory

Windows Server 2008 brinda diversas maneras de instalar y configurar AD DS. Esta leccin describe la instalacin estndar de AD DS y tambin algunas de las dems opciones que se encuentran disponibles al realizar la instalacin.

Requisitos para instalar AD DS

Puntos clave Para instalar AD DS, el servidor debe cumplir con los siguientes requisitos: El sistema operativo Windows Server 2008 debe estar instalado. AD DS solamente puede instalarse en los siguientes sistemas operativos: El sistema operativo Windows Server 2008 Standard El sistema operativo Windows Server 2008 Enterprise El sistema operativo Windows Server 2008 Datacenter Material de lectura adicional Ayuda para Servicios de dominio de Active Directory: Instalacin de Servicios de dominio de Active Directory Artculo de Microsoft TechNet: Requisitos para instalar AD DS

Cules son los niveles funcionales de dominio y de bosque?

Puntos clave En Windows Server 2008, la funcionalidad de bosque y de dominio brinda una forma de habilitar funciones de todo el bosque o del dominio de Active Directory en su entorno de red. Los diferentes niveles de funcionalidad de bosque y dominio estn disponibles; dependern del nivel funcional de dominio y bosque. Material de lectura adicional 1. Ayuda para Servicios de dominio de Active Directory: Establecer el nivel funcional de dominio o bosque 2. Artculo de Microsoft TechNet: Apndice de las caractersticas de nivel funcional

Proceso de instalacin de AD DS
Proceso de instalacin de AD DS

Puntos clave Para configurar un controlador de dominio de Windows Server 2008, se debe instalar la funcin del servidor de AD DS y ejecutar el Asistente para instalacin de Servicios de dominio de Active Directory. Para hacerlo, se debe usar uno de los siguientes procesos: Instalar la funcin del servidor usando el Administrador de servidores y luego ejecutar el asistente para instalacin ejecutando DCPromo o el asistente para instalacin desde el Administrador de servidores. Ejecutar DCPromo desde el comando Ejecutar o un smbolo del sistema. De este modo, se instalar la funcin del servidor de AD DS y luego se iniciar el Asistente para instalacin. Material de lectura adicional Ayuda para Servicios de dominio de Active Directory: Instalacin de Servicios de dominio de Active Directory Artculo de Microsoft TechNet: Instalacin de un nuevo bosque de Windows Server 2008 y Escenarios para instalar AD DS

Opciones avanzadas para instalar AD DS

Puntos clave Algunas de las pginas del Asistente para instalacin de Servicios de dominio de Active Directory aparecen solamente si se selecciona la casilla Usar la instalacin en modo avanzado en la pgina principal del asistente o al ejecutar DCPromo con el parmetro de lnea de comandos /adv. Si no ejecuta el Asistente para instalacin en modo avanzado, el asistente usar las opciones predeterminadas que se aplican a la mayora de las [Link] Pregunta: Cundo usara el modo de opciones avanzadas en su organizacin? Material de lectura adicional Ayuda para Servicios de dominio de Active Directory: Usar la instalacin en modo avanzado Artculo de Microsoft TechNet: Novedades de la instalacin y desinstalacin de AD DS

Instalacin de AD DS desde un medio

Puntos clave Antes de que se puedan usar medios de copia de seguridad como la fuente para instalar un controlador de dominio, use [Link] para crear los medios de instalacin. [Link] puede crear cuatro tipos de medios de instalacin diferentes . Pregunta: Qu tipos de medios de instalacin usar en su organizacin? Material de lectura adicional Artculo de Microsoft TechNet: Instalacin de AD DS desde un medio

Demostracin: Comprobacin de la instalacin de AD DS

Pregunta: Qu pasos llevara a cabo si se diera cuenta de que no se pudo realizar la instalacin del controlador de dominio? Material de lectura adicional Artculo de Microsoft TechNet: Comprobacin de una instalacin de AD DS

Actualizacin a AD DS de Windows Server 2008

Puntos clave Para instalar un controlador de dominio nuevo de Windows Server 2008 en un dominio existente de Windows 2000 Server o Windows Server 2003, lleve a cabo los siguientes pasos: Si el controlador de dominio es el primero de Windows Server 2008 en el bosque, se debe preparar el bosque para Windows Server 2008 al ampliar el esquema en el maestro de operaciones de esquema. Para ampliar el esquema, ejecute adprep /forestprep. La herramienta adprep est ubicada en los medios de instalacin de Windows Server 2008. Si el controlador de dominio es el primero de Windows Server 2008 en un dominio de Windows 2000 Server, se debe preparar el dominio al ejecutar adprep /domainprep /gpprep en el maestro de infraestructura. El parmetro de lnea de comandos gpprep agrega una entrada de control de acceso heredable (ACE) a los Objetos de directiva de grupo (GPO) que se encuentran ubicados en la carpeta compartida SYSVOL y la sincroniza entre los controladores en el dominio. Si el controlador de dominio es el primero de Windows Server 2008 en un dominio de Windows Server 2003, se debe preparar el dominio al ejecutar adprep /domainprep /gpprep en el maestro de infraestructura. Despus de instalar un controlador de dominio grabable, se puede instalar un RODC en el bosque de Windows Server 2003. Antes de realizar el paso anterior, se debe preparar el bosque al ejecutar adprep /rodcprep. Se puede ejecutar adprep /rodcprep en cualquier equipo en el bosque. Si el RODC ser un servidor de catlogo global, luego se debe ejecutar adprep /domainprep en todos los dominios en el bosque, sin importar si el dominio ejecuta un controlador de dominio de Windows Server 2008. Al ejecutar adprep /domainprep en todos los dominios, el RODC puede replicar datos del catlogo global a partir de todos los dominios en el bosque y luego puede anunciarse como un servidor de catlogo global. Material de lectura adicional Ayuda para Servicios de dominio de Active Directory: Instalacin de Servicios de dominio de Active Directory Artculo de Microsoft TechNet: Instalacin de un nuevo bosque de Windows Server 2008 Artculo de Microsoft TechNet: Escenarios para instalar AD DS

Instalacin de AD DS en un equipo con Server Core

Puntos clave Para instalar AD DS en un equipo Windows Server 2008 con Server Core, se debe usar una instalacin desatendida. Server Core de Windows Server 2008 no proporciona una interfaz grfica de usuario (GUI) por lo tanto no se puede ejecutar el Asistente para instalacin de Servicios de dominio de Active Directory. Para realizar una instalacin desatendida de AD DS, use un archivo de respuesta y la siguiente sintaxis con el comando Dcpromo: Dcpromo /answer[:nombre de archivo], donde nombre de archivo representa el nombre del archivo de respuesta. Material de lectura adicional Artculo de Microsoft TechNet: Instalacin de un nuevo bosque de Windows Server 2008, Apndice de parmetros para la instalacin desatendida

Discusin: Configuracin comn para AD DS

Puntos clave Despus de instalar un controlador de dominio, tal vez se necesite llevar a cabo tareas adicionales en su entorno. Puede tener acceso a listas de comprobacin para las siguientes configuraciones comunes para AD DS en el Administrador de servidores, en Recursos y Soporte. Material de lectura adicional Ayuda para AD DS: Configuraciones comunes para Servicios de dominio de Active Directory

Leccion 2 : Implementacin de controladores de dominio de slo lectura

Leccin 2:

Implementacin de controladores de dominio de slo lectura

Una de las nuevas funciones importantes en Windows Server 2008 es la opcin de usar los controladores de dominio de slo lectura (RODC). Los RODC brindan toda la funcionalidad que los clientes necesitan como as tambin seguridad adicional para los controladores de dominio implementados en las sucursales. Al configurar los RODC, se puede especificar qu contraseas de cuenta de usuario se almacenarn en la memoria cach del servidor y configurar los permisos administrativos delegados para el controlador de dominio. Esta leccin describe cmo instalar y configurar los RODC.

Qu es un controlador de dominio de solo lectura?

Puntos clave Un RODC es un nuevo tipo de controlador de dominio compatible con Windows Server 2008. Un RODC hospeda particiones de slo lectura de la base de datos de AD DS. Es decir que nunca se podrn realizar cambios en la copia de la base de datos almacenada por el RODC y toda la replicacin de AD DS usa una conexin unidireccional desde un controlador de dominio que cuenta con una copia de base de datos grabable hasta el RODC. Material de lectura adicional Artculo de Microsoft TechNet: AD DS: Controladores de dominio de slo lectura

Caractersticas de los controladores de dominio de slo lectura

Puntos clave Vea la lista en la diapositiva. Material de lectura adicional Artculo de Microsoft TechNet: AD DS: Controladores de dominio de slo lectura Artculo de Microsoft TechNet: Step-by-Step Guide for Read-Only Domain Controller in Windows Server 2008 Beta 3 (Gua paso a paso para el controlador de dominio de slo lectura en Windows Server 2008 Beta 3)

Preparacin de la instalacin del RODC

Puntos clave Antes de que se pueda instalar un RODC, se debe preparar el entorno de AD DS llevando a cabo los siguientes pasos: Configurar el nivel funcional de dominio y bosque Planear la disponibilidad del controlador de dominio de Windows Server 2008. Preparar el bosque y el dominio. Material de lectura adicional Ayuda para AD DS: Delegar la administracin e instalacin del controlador de dominio de slo lectura Artculo de Microsoft TechNet: AD DS: Controladores de dominio de slo lectura Artculo de Microsoft TechNet: Step-by-Step Guide for Read-Only Domain Controller in Windows Server 2008 Beta 3 (Gua paso a paso para el controlador de dominio de slo lectura en Windows Server 2008 Beta 3)

Instalacin del RODC

Puntos clave La instalacin del RODC es prcticamente idntica a la instalacin de AD DS en un controlador de dominio con una copia grabable de la base de datos. No obstante, existen algunos pasos adicionales. Material de lectura adicional Ayuda para AD DS: Delegar la administracin e instalacin del controlador de dominio de slo lectura Artculo de Microsoft TechNet: Step-by-Step Guide for Read-Only Domain Controller in Windows Server 2008 Beta 3 (Gua paso a paso para el controlador de dominio de slo lectura en Windows Server 2008 Beta 3)

Delegacin de la instalacin del RODC

Puntos clave Se puede delegar la instalacin de un RODC realizando una instalacin que consta de dos etapas. Pregunta: Cules son los beneficios de delegar la instalacin de un RODC? Material de lectura adicional Ayuda para AD DS: Delegar la administracin e instalacin del controlador de dominio de slo lectura Artculo de Microsoft TechNet: AD DS: Controladores de dominio de slo lectura Artculo de Microsoft TechNet: Gua paso a paso para controladores de dominio de slo lectura

Qu son las directivas de replicacin de contraseas?

Puntos clave Cuando se implementa un RODC, se puede configurar una Directiva de replicacin de contraseas para el RODC. Dicha directiva funciona como una lista de control de acceso (ACL) que determina si se permite que un RODC almacene una contrasea en la memoria cach. La Directiva de replicacin de contraseas enumera las cuentas que usted explcitamente permite que se almacenen en la memoria cach y las que no. Las contraseas para las cuentas no se encuentran realmente almacenadas en la memoria cach en el RODC hasta que la cuenta del usuario o del equipo haya sido autenticada por primera vez mediante el RODC. Material de lectura adicional Ayuda en lnea para AD DS: Specify password Replication Policy (Especificar la Directiva de replicacin de contraseas)

Demostracin: Configuracin de la separacin de la funcin de administrador y las directivas de replicacin de contraseas

Preguntas: Cul sera una forma alternativa de configurar la separacin de la funcin de Administrador y las Directivas de replicacin de contrasea? Su organizacin ha implementado dos RODC. Cmo configurara la Directiva de replicacin de contraseas si deseara que las credenciales para todas las cuentas de usuario y de equipo exceptuando las de administradores y ejecutivos sean almacenadas en la memoria cach en ambos RODC? Material de lectura adicional Ayuda para AD DS: Specify Password Replication Policy (Especificar la Directiva de replicacin de contraseas)

Leccion 3 : Configuracin de funciones de controladores de dominio de AD DS

Leccin 3:

Configuracin de funciones de controladores de dominio de AD DS

Todos los controladores de dominio en un dominio son fundamentalmente iguales, es decir que todos contienen los mismos datos y brindan los mismos servicios. Sin embargo, tambin se pueden asignar funciones especiales a controladores de dominio para brindar servicios adicionales o abordar escenarios donde solamente un nico controlador de dominio debera ofrecer servicios en cualquier momento. Esta leccin describe cmo configurar y administrar servidores de catlogo global y maestros de operaciones.

Qu son los servidores de catlogo global?

Puntos clave El catlogo global es una rplica de slo lectura parcial de todas las particiones de directorio de dominio en un bosque. El catlogo global es una rplica parcial ya que incluye solamente un conjunto de atributos limitado para cada uno de los objetos del bosque. Al incluir solamente los atributos que se buscan con ms frecuencia, la base de datos de un servidor de catlogo global nico puede representar a cada objeto en todos los dominios en el bosque. El servidor de catlogo global es un controlador de dominio que tambin hospeda al catlogo global. AD DS configura automticamente el primer controlador de dominio en el bosque como un servidor de catlogo global. Se puede agregar funcionalidad de catlogo global a otros controladores de dominio o cambiar la ubicacin predeterminada del catlogo global a otro controlador de dominio. Material de lectura adicional Artculo de Microsoft TechNet: Domain Controller Roles (Funciones de controladores de dominio)

Modificacin del catlogo global

Puntos clave A veces, quizs desee personalizar el servidor de catlogo global para incluir atributos adicionales. De forma predeterminada, para cada uno de los objetos en el bosque, el servidor de catlogo global contiene los atributos ms comunes de un objeto. Las aplicaciones y los usuarios pueden consultar tales atributos. Por ejemplo, se puede hallar un usuario por el nombre, apellido, direccin de correo electrnico u otras propiedades comunes. Material de lectura adicional Artculo de Microsoft TechNet: Domain Controller Roles (Funciones de controladores de dominio)

Demostracin: Configuracin de servidores de catlogo global

Preguntas: Qu tipos de errores o experiencias de usuario lo llevara a investigar si sera necesario configurar otro servidor como un servidor de catlogo global? Cules son las razones por las que elegira replicar un atributo al catlogo global? Material de lectura adicional Artculo de Microsoft TechNet: Agregar un atributo al catlogo global

Qu son las funciones de maestro de operaciones?

Puntos clave Active Directory est diseado como un sistema de replicacin con varios maestros. No obstante, para ciertas operaciones de directorio, solamente se requiere un nico servidor autoritativo. Los controladores de dominio que desempean funciones especficas se denominan maestros de operaciones. Los controladores de dominio que desempean funciones de maestro de operaciones son designados para desempear tareas especficas para garantizar consistencia y para terminar con las posibles entradas que presenten problemas en la base de datos de Active Directory. Material de lectura adicional Artculo de Microsoft TechNet: Agregar un atributo al catlogo global Artculo de Microsoft TechNet: Administrar funciones de maestro de operaciones

Demostracin: Administracin de funciones de maestro de operaciones

Preguntas: En qu circunstancia necesitara asumir una funcin de maestro de operaciones de inmediato en vez de esperar unas horas para que se repare un controlador de dominio que actualmente desempea la funcin? Est implementando el primer controlador de dominio en un nuevo dominio que consistir en un nuevo rbol de dominios en el bosque [Link]. Qu funciones de maestro de operaciones desempear este servidor de manera predeterminada? Material de lectura adicional Artculo de Microsoft TechNet: Administrar funciones del maestro de operaciones

Cmo funciona el servicio Windows Time

Puntos clave El servicio Horario de Windows, tambin denominado W32Time, sincroniza la hora y la fecha para todos los equipos que se ejecutan en una red de Windows Server 2008. El servicio Horario de Windows usa el Protocolo de tiempo de redes (NTP) para garantizar configuraciones horarias de gran precisin por toda la red. Del mismo modo, se pueden integrar fuentes horarias externas al servicio Horario de Windows. Material de lectura adicional Artculo de Microsoft TechNet: Windows Time Service Technical Reference (Referencia tcnica del servicio Horario de Windows) Artculo de Microsoft TechNet: Configuring a time source for the forest (Configurar una fuente horaria para el bosque)

Leccion 4 : Laboratorio: Implementacin de los controladores de dominio de slo lectura y administracin de las funciones de controladores de dominio

Laboratorio: Implementacin de los controladores de dominio de slo lectura y administracin de las funciones de controladores de dominio

Escenario El Woodgrove Bank ha comenzado la implementacin de Windows Server 2008. La organizacin ha implementado varios controladores de dominio en su sede corporativa y se prepara para implementar controladores de dominio en diversas sucursales. El administrador de la empresa cre un diseo que requiere que se implementen controladores de dominio de slo lectura en servidores con Windows Server 2008 en todas las sucursales. Su tarea implica implementar un controlador de dominio en una sucursal que cumpla con los requisitos ya mencionados.

Ejercicio 1: Evaluacin de la preparacin del bosque y del servidor para instalar un RODC

Ejercicio 1: Evaluacin de la preparacin del bosque y del servidor para instalar un RODC
En este ejercicio, se evaluar la preparacin del bosque y del servidor para instalar un RODC. Se preparar tambin el bosque para la instalacin. Adems, se examinar la configuracin de un servidor con Server Core para garantizar que cumpla con los requisitos previos para la instalacin del RODC. Nota: Debido a las limitaciones del entorno del laboratorio virtual, instalar el RODC en el mismo sitio que en el de los controladores de dominio existentes. En un entorno de produccin, llevara a cabo los mismos pasos incluso si el RODC se encontrara en un sitio diferente. Las principales tareas se realizarn como se detalla a continuacin: 1. Iniciar las maquinas virtuales y luego iniciar sesin. 2. Comprobar que los niveles funcionales de bosque y de dominio sean compatibles con la implementacin de un RODC. 3. Comprobar la disponibilidad de un controlador de dominio grabable con Windows Server 2008. 4. Configurar los valores de la cuenta de equipo para el RODC.
Tarea 1: Iniciar las maquinas virtuales y luego iniciar sesin.

1. En el equipo host, haga clic en Inicio , elija Todos los programas, seleccione Microsoft Learning y luego, haga clic en 6824A. Se inicia Iniciador de laboratorio. 2. En Iniciador de laboratorio, junto a 6824A-NYC-DC1, haga clic en Iniciar. 3. En Iniciador de laboratorio, junto a 6824A-NYC-DC2, haga clic en Iniciar. 4. En Iniciador de laboratorio, junto a 6824A-NYC-SVR1, haga clic en Iniciar. 5. Inicie sesin en NYC- DC1 y NYC-DC2 como Administrador , usando la contrasea Pa$$w0rd. 6. Inicie sesin en NYC-SVR1 como AdminLocal, usando la contrasea Pa$$w0rd. 7. Minimice la ventana Iniciador de laboratorio.
Tarea 2: Comprobar que los niveles funcionales de bosque y de dominio sean compatibles con la implementacin de un RODC.

1. En NYC-DC1, abra Usuarios y equipos de Active Directory. 2. Vea las propiedades de [Link] y compruebe que tanto el nivel funcional del dominio como el del bosque se encuentren establecidos como Windows Server 2003.
Tarea 3: Comprobar la disponibilidad de un controlador de dominio grabable con Windows Server 2008.

1. En Usuarios y equipos de Active Directory, compruebe las propiedades para NYC-DC1. 2. Compruebe que el nombre del sistema operativo sea Windows Server 2008 Enterprise.
Tarea 4: Configurar los valores de la cuenta de equipo para el RODC.

1. En NYC-SVR1, abra el Administrador del servicio. 2. Haga clic en Cambiar propiedades del sistema y en la ficha Nombre de equipo, cambie el nombre del equipo a TOR-DC1. 3. Reinicie el equipo. Resultado: Al finalizar este ejercicio habr comprobado que el dominio y el equipo estn listos para instalar un RODC. Ejercicio 1: Respuestas claves (pasos detallados)

Ejercicio 2: Instalacin y configuracin de un RODC

Ejercicio 2: Instalacin y configuracin de un RODC
En este ejercicio, se instalar la funcin del servidor del RODC en el equipo con Windows Server 2008. Para llevar a cabo tal proceso, se realizar una preparacin preliminar en la cuenta de equipo que el RODC usar. Como parte de dicha preparacin preliminar, se configurar un grupo administrativo con permisos para instalar el controlador de dominio. Una vez finalizada la instalacin, se comprobar que la instalacin haya finalizado correctamente. Adems se configurarn directivas de replicacin de contraseas para usuarios que inicien sesin en el controlador de dominio. Las principales tareas se realizarn como se detalla a continuacin: 1. Realizar la preparacin preliminar en la cuenta de equipo para el RODC. 2. Iniciar sesin en TOR-DC1 como Administrador. 3. Instalar el RODC usando la cuenta existente. Usar WoodgroveBank\Axel como la cuenta con las credenciales para llevar a cabo la instalacin. 4. Comprobar la instalacin correcta del controlador de dominio. 5. Configurar una directiva de replicacin de contraseas que permita que las credenciales se almacenen en la memoria cach para todas las cuentas de usuarios en Toronto.
Tarea 1: Realizar la preparacin preliminar de la cuenta de equipo para el RODC.

1. En NYC-DC1, abra Usuarios y equipos de Active Directory. 2. Haga clic con el botn secundario en la unidad de organizacin de los controladores de dominio y en Crear previamente una cuenta de controlador de dominio de slo lectura. 3. Complete el Asistente para instalacin de los servicios de dominio de Active Directory usando las siguientes selecciones: 1. Usar la instalacin de modo avanzado 2. Usar las credenciales actuales. 3. Nombre de equipo: TOR-DC1 4. Sitio predeterminado 5. Instalar solamente las opciones de DNS y RODC 6. Delegar permiso a Axel Delgado para instalar el RODC.
Tarea 2: Iniciar sesin en TOR-DC1 como AdminLocal

Inicie sesin como AdminLocal usando la contrasea Pa$$w0rd.

Tarea 3: Instalar el RODC usando la cuenta existente. Use WoodgroveBank\Axel como la cuenta con las credenciales para llevar a cabo la instalacin.

1. En TOR-DC1, abra un smbolo de sistema y escriba dcpromo /UseExistingAccount:Attach y luego presione ENTRAR: 2. Complete el Asistente para instalacin de Servicios de dominio de Active Directory usando las siguientes selecciones:mama 1. Usar la instalacin en modo avanzado 2. Escriba Axel como la credencial alternativa 3. Use TOR-DC1 como el nombre del equipo 4. Use [Link] como el controlador de dominio de origen 5. Acepte la ubicacin predeterminada para la base de datos, archivos de registro y archivos de SYSVOL.

6. Use Pa$$w0rd como la Contrasea de administrador del modo de restauracin de servicios de directorio 3. Reiniciar el equipo una vez que finaliza la instalacin.
Tarea 4: Comprobar la instalacin correcta del controlador de dominio.

1. Despus de que TOR-DC1 se reinicia, inicie sesin como Axel con la contrasea Pa$$w0rd. 2. En el Administrador del servidor, compruebe que la funcin del servidor de Servicios de dominio de Active Service est instalada. 3. Compruebe que todos los servicios requeridos se estn ejecutando. 4. En Usuarios y equipos de Active Directive, compruebe que TOR-DC1 se encuentra en la unidad organizativa de los controladores de dominio. 5. Compruebe que no cuente con el permiso para agregar o quitar objetos de dominio. 6. En Sitios y servicios de Active Directory, compruebe que TOR-DC1 aparezca en la lista de servidores para el Default-First-Site-Name. 7. Compruebe las NTDS Settings para TOR-DC1. Confirme que se hayan creado los objetos de conexin. 8. Compruebe las NTDS Settings para NYC-DC1. Confirme que no se hayan creado objetos de conexin para la replicacin con TOR-DC1. 9. Abra el Visor de eventos. En el registro de Servicio de directorio, busque y vea un mensaje con un identificador del suceso de 1128. Dicho identificador comprueba que se haya creado un objeto de conexin de replicacin entre NYC-DC1 y TOR-DC1.
Tarea 5: Configurar una directiva de replicacin de contraseas que permita que las credenciales se almacenen en la memoria cach para todas las cuentas de usuario en Toronto.

1. En NYC-DC1, en Usuarios y equipos de Active Directory, ingrese al cuadro de dilogo Propiedades de TOR-DC1. 2. Agregue todos los grupos de Toronto a la directiva de replicacin de contraseas.

Resultado: Al finalizar este ejercicio, se habr instalado un RODC y configurado la directiva de replicacin de contraseas de RODC para el RODC.
Ejercicio 2: Respuestas claves (pasos detallados)

Ejercicio 3: Configuracin de funciones de controladores de dominio de AD DS

Ejercicio 3: Configuracin de funciones de controladores de dominio de AD DS
En este ejercicio, se configurar el RODC instalado en el ejercicio anterior como un servidor de catlogo global. Adems se asignarn funciones de maestro de operaciones a un controlador de dominio adicional en el dominio. Las principales tareas se realizarn como se detalla a continuacin: 1. Usar Sitios y servicios de Active Directory para configurar TOR-DC1 como un servidor de catlogo global. 2. Configurar NYC-DC2 como el maestro de infraestructura y el maestro de nomenclatura de dominios para el dominio [Link]. 3. Agregar el atributo Departamento al catlogo global. 4. Cerrar todos las mquinas virtuales y descartar los discos para deshacer.
Tarea 1: Usar Sitios y servicios de Active Directory para configurar TOR-DC1 como un servidor de catlogo global.

1. En NYC-DC1, en Sitios y servicios de Active Directory, localice la cuenta de equipo TOR-DC1. 2. Ingrese a NTDS Settings y seleccione la casilla Catlogo global.
Tarea 2: Configurar NYC-DC2 como el maestro de infraestructura y el maestro de nomenclatura de dominios para el dominio [Link].

1. En NYC-DC1, en Usuarios y equipos de Active Directory, cambie el foco de la consola a [Link] y luego haga clic en Aceptar. 2. Haga clic con el botn secundario en [Link] y luego en Maestro de operaciones. Transfiera la funcin de maestro de infraestructura a [Link]. 3. En NYC-DC2, abra Dominios y confianzas de Active Directory . Ingrese a las configuraciones de Maestro de operaciones y transfiera la funcin de maestro de operaciones de nombres de dominio a NYC-DC2.
Tarea 3: Agregar el atributo Departamento al catlogo global

1. En NYC-DC1, use regsvr32 [Link] para registrar el complemento de Esquema de Active Directory. 2. Cree una nueva consola de Administracin de Microsoft (MMC) y agregue el complemento de Esquema de Active Directory. 3. En el Esquema de Active Directory, ingrese al atributo Department y configure el atributo para replicar al Catlogo global.
Tarea 4: Cerrar todas las mquinas virtuales y descartar todos los cambios.

1. Por cada equipo virtual que se encuentre en funcionamiento, cierre la ventana de Control remoto de la mquina virtual. 2. En el cuadro Cerrar , seleccione Apagar el equipo y descartar los cambios. Haga clic en Aceptar . 3. Cierre el Iniciador de laboratorio 6824A.

Resultado: Una vez finalizado el ejercicio, se habr configurado un servidor de catlogo global y configurado las funciones de controladores de dominio de AD DS.
Ejercicio 3: Respuestas claves (pasos detallados)

Revisin del laboratorio

Preguntas de revisin 1. Se implementar un controlador de dominio en una sucursal. La sucursal no cuenta con una sala de servidores altamente segura por lo tanto le preocupa la seguridad del servidor. Qu dos caractersticas de Windows Server 2008 se pueden aprovechar para mejorar la seguridad de la implementacin del controlador de dominio? 2. Se debe crear un nuevo dominio al instalar un controlador de dominio en su infraestructura de Active Directory. Se revisar la lista de inventario de servidores disponibles para este propsito. Cules de los siguientes equipos pueden usarse como un controlador de dominio? 1. Windows Server 2008 Edicin Web, sistema de archivos NTFS, 1 gigabyte (GB) de espacio disponible en el disco duro, TCP/IP. 2. Windows Server 2008 Edicin Enterprise, sistema de archivos NTFS, 500 megabytes (MB) de espacio disponible en el disco duro, TCP/IP. 3. Windows Server 2008 Server Core Edicin Enterprise, sistema de archivos NTFS, 1GB de espacio disponible en el disco duro, TCP/IP. 4. Windows Server 2008 Edicin Standard, sistema de archivos NTFS, 500 MB de espacio disponible en el disco duro, TCP/IP. 3. Se implementar un RODC en una sucursal. Se necesita asegurar que todos los usuarios en la sucursal puedan autenticar incluso si la conexin WAN desde la sucursal no est disponible. Podrn hacerlo solamente los usuarios que generalmente inician sesin en la sucursal? Cmo se configurara la directiva de replicacin de contraseas? 4. Se necesita instalar un controlador de dominio usando la instalacin desde la opcin de medios. Qu pasos se debern tomar para completar este proceso? 5. Se implementarn RODC en su entorno de AD DS? Describa el escenario de implementacin. 6. Se implementar un controlador de dominio en una sucursal. La sucursal cuenta con una conexin WAN con la casa matriz que cuenta con muy poco ancho de banda disponible y no es muy confiable. Se deber configurar el controlador de dominio de la sucursal como un servidor de catlogo global? 7. Se implementar un controlador de dominio en una sucursal. La sucursal no cuenta con una sala de servidores altamente segura por lo tanto le preocupa la seguridad del servidor. Qu dos caractersticas de Windows Server 2008 se pueden aprovechar para mejorar la seguridad de la implementacin del controlador de dominio?

Observaciones Tenga en cuenta las siguientes observaciones cuando se implementan los RODC y se administran las funciones de controladores de dominio: Se puede instalar la funcin del servidor de AD DS en todas las ediciones de Windows Server 2008 exceptuando la edicin Windows Server 2008 Web Server Edition. Se debe tener en cuenta la instalacin de un RODC en un equipo con Server Core de Windows Server 2008 para brindar seguridad adicional a su entorno de dominio. Para instalar AD DS en un equipo con Server Core, se debe usar una instalacin desatendida. Se deben planear con cautela las directivas de replicacin de contraseas en su organizacin. Si se permite que las credenciales se almacenen en una memoria cach para la mayora de las cuentas en su dominio, aumentar el impacto a su organizacin si el RODC ha sido vulnerado. En caso contrario, aumentar el impacto a la sucursal si el vnculo de WAN con la casa matriz no se encuentra disponible. En la mayora de los casos, implementar un servidor de catlogo global en un sitio mejorar la experiencia de inicio de sesin para los usuarios. No obstante, implementar un catlogo global en una sucursal remota tambin aumenta la red usada para la replicacin. Las funciones de maestro de operaciones brindan importantes servicios en una red pero por lo general stos no son de mayor prioridad temporal. Generalmente, si se produce un error en un controlador de dominio que desempea una funcin de maestro de administrador, no resulta necesario que inmediatamente otro controlador de dominio asuma la funcin si se produce un error en el servidor puede repararse en pocas horas.

Modulo 2 : Configuracin del Servicio de nombres de dominio para Servicios de dominio de Active Directory
Mdulo 2

Configuracin del Servicio de nombres de dominio para Servicios de dominio de Active Directory
El Sistema de nombre de dominio (DNS) es un componente de los Servicios de dominio de Active Directory (AD DS) para Windows Server 2008. Al comprender la relacin entre estas aplicaciones, se pueden resolver problemas de AD DS y aumentar la seguridad, mientras se brindan a los clientes todas las funciones del DNS.

Leccin 1: Descripcin general de la integracin de Servicios de dominio de Active Directory y DNS Leccin 2: Configuracin de las zonas integradas de AD DS Leccin 3: Configuracin de zonas DNS de slo lectura Laboratorio: Configuracin de la integracin de AD DS y DNS

Leccion 1 : Descripcin general de la integracin de Servicios de dominio de Active Directory y DNS

Leccin 1:

Descripcin general de la integracin de Servicios de dominio de Active Directory y DNS

Windows Server 2008 requiere que haya una infraestructura DNS antes de instalar AD DS. Comprender cmo se integran DNS y AD DS y de qu manera los equipos cliente usan DNS durante el inicio de sesin ayudar a resolver inconvenientes relacionados con DNS, como problemas de inicio de sesin del cliente.

Integracin de los Servicios de dominio de Active Directory y espacio de nombres DNS

Puntos clave En los espacios de nombres DNS, los dominios y equipos estn representados mediante registros de recursos; y en los espacios de nombres de Active Directory, estn representados por objetos de Active Directory. Todos los dominios de Active Directory deben poseer sus correspondientes dominios DNS con nombres de dominio idnticos. Los clientes usan DNS para resolver nombres de host para direcciones IP a fin de buscar controladores de dominio y otros equipos que brindan servicios AD DS y otros servicios de red. Active Directory requiere DNS; pero no requiere ningn tipo de servidor DNS particular. Por lo tanto, puede haber varios tipos de servidores DNS distintos. Pregunta: Cul es la relacin entre los nombres de dominio de Active Directory y los nombres de zona DNS? Material de lectura adicional: Integracin de Active Directory Integracin de DNS

Qu son los Registros localizadores de recursos de servicios?

Puntos clave A fin de que AD DS funcione correctamente, los equipos cliente deben poder localizar servidores que brinden servicios especficos; como solicitudes de autenticacin de inicio de sesin, y servicios Telnet o de protocolo de inicio de sesin [Session Initiated Protocol, SIP] Los clientes de AD DS y los controladores de dominio usan Registros de recursos de servicios (SRV) para determinar las direcciones IP de los equipos que brindan estos servicios. Las aplicaciones site-aware de AD DS, como Microsoft Exchange, tambin usan registros de recursos SRV. Pregunta: En el siguiente ejemplo de dos registros de recursos SRV: Qu registro usar un cliente que consulta sobre un servicio SIP? _sip._tcp.[Link]. 86400 IN SRV 10 60 5060 [Link]. _sip._tcp.[Link]. 86400 IN SRV 50 20 5060 [Link]. Material de lectura adicional Administracin de registros de recursos RFC 2782 Un registro de recursos DNS para especificar la ubicacin de servicios (DNS SRV)

Demostracin: Registros SRV registrados por controladores de dominio de AD DS

Preguntas: Cul es el beneficio de replicar la zona mscdcs a todo el bosque? Cmo podra privilegiarse un registro de recursos SRV sobre otro?

Cmo se usan los Registros localizadores de recursos de servicios

Puntos clave Los equipos cliente de dominio usan la interfaz de programacin de aplicaciones de localizacin (API) para localizar un controlador de dominio consultando el DNS. Si los registros de recursos SRV no se encuentran disponibles para identificar los controladores de dominio, es posible que no se pueda iniciar sesin. Todos los equipos, incluso las estaciones de trabajo como los sistemas operativos Windows XP Professional y Windows Vista, y los servidores, como los sistemas operativos Windows Server2003 y Windows Server 2008, usan el mismo proceso para localizar controladores de dominio. Material de lectura adicional Cmo se encuentran los controladores de dominio en Windows XP Domain Controller Location Process (Proceso de localizacin de controladores de dominio)

Integracin de registros de localizadores de servicios y sitios AD DS

Puntos clave Durante una bsqueda de controlador de dominio, el Localizador intenta hallar un controlador de dominio en el sitio ms cercano al cliente. El controlador de dominio usa la informacin almacenada en Active Directory para determinar el sitio ms cercano. En la mayora de los casos, el controlador de dominio que primero responda al cliente ser el que se encuentre en el mismo sitio que ste. No obstante, en aquellos casos en que se haya modificado la ubicacin fsica del equipo o el controlador de dominio del sitio local no est disponible, existe un proceso para hallar otro controlador de dominio. Durante el inicio del Net Logon, el servicio de Net Logon de todos los controladores de dominio enumera los objetos del sitio en el Contenedor de configuracin. Net Logon usa informacin del sitio para generar una estructura en memoria que se usa para asignar direcciones IP a nombres de sitios. Material de lectura adicional Finding a Domain Controller in the Closest Site (Encontrar un controlador de dominio en el sitio ms cercano)

Leccion 2 : Configuracin de las zonas integradas de AD DS

Leccin 2:

Configuracin de las zonas integradas de AD DS

Integrar las zonas AD DS y DNS puede simplificar la administracin de DNS al replicar la informacin de zona DNS como parte de la replicacin de Active Directory. Tambin brinda beneficios como actualizaciones dinmicas seguras y caducidad y reorganizacin de registros de recursos obsoletos.

Qu son las zonas integradas de AD DS?

Puntos clave Una ventaja de integrar DNS y AD DS es la posibilidad de integrar zonas DNS en una base de datos de Active Directory. Una zona es una parte del espacio de nombres de dominio que posee una agrupacin lgica de registros de recursos; lo que permite la transferencia de zonas de dichos registros para que funcionen como una unidad. Material de lectura adicional Integracin de Active Directory

Qu son las particiones de aplicacin en AD DS?

Puntos clave Existen tres particiones principales que contienen informacin AD DS. La particin de esquema, que replica la informacin del esquema a todo el bosque. La particin de configuracin, que replica la informacin sobre la estructura fsica a todo el bosque. La particin de dominio, que replica la informacin de dominio a todos los controladores de dominio de un determinado dominio. Material de lectura adicional Replicacin de zonas DNS en Active Directory

Opciones para configurar las particiones de aplicacin de DNS

Puntos clave Es posible modificar el mbito de replicacin DNS en cualquier momento mediante la Consola de administracin DNS de Microsoft (MMC) o la herramienta de lnea de comandos DNSCMD. Si se usa MMC DNS, existen las siguientes opciones de replicacin: A todos los servidores DNS del bosque. A todos los servidores DNS del dominio. (Esta es la ubicacin de almacenamiento predeterminada). A todos los controladores de dominio del dominio. (Esta es la particin de informacin de dominio). A todos los controladores de dominio que sirven de host a una particin de aplicacin particular. Material de lectura adicional Replicacin de zonas DNS en Active Directory

Cmo funcionan las actualizaciones dinmicas

Puntos clave Las actualizaciones dinmicas permiten que los equipos cliente de DNS registren y actualicen dinmicamente sus registros de recursos con un servidor DNS cada vez que haya cambios. Esto disminuye la necesidad de administrar registros de zona manualmente; en especial para clientes que mueven o cambian las ubicaciones con frecuencia y usan Protocolo de configuracin dinmica de host (DHCP) para obtener direcciones IP. Material de lectura adicional Actualizacin dinmica

Cmo funcionan las actualizaciones dinmicas seguras de DNS

Puntos clave Las actualizaciones dinmicas seguras funcionan igual que las actualizaciones dinmicas excepto: que el servidor de nombre autoritativo acepte slo actualizaciones de clientes y servidores autenticados y unidos al dominio Active Directory en el que se encuentra el servidor DNS. Como puede observarse en la diapositiva, el cliente primero intenta realizar una actualizacin no segura. Si se produce un error al intentarlo, el cliente luego intenta negociar una actualizacin segura. Si el cliente ha recibido la autenticacin de AD DS, la actualizacin tendr xito. Pregunta: Cules son los beneficios de usar zonas DNS integradas de Active Directory?

Demostracin: Configuracin de las zonas integradas de AD DS

Preguntas: Cmo podra evitarse que un equipo se registrara en la base de datos de DNS? Cules seran las implicancias de no permitir las actualizaciones dinmicas? Al usar actualizaciones dinmicas seguras, cmo puede controlarse qu clientes estn autorizados a actualizar los registros DNS?

Cmo funciona la carga de zonas en segundo plano

Puntos clave Las organizaciones muy grandes que poseen zonas extremadamente grandes para almacenar sus datos DNS en AD DS, suelen darse cuenta de que el reinicio de un servidor DNS puede demorar una hora o ms, mientras se recuperan los datos DNS del servicio de directorio. Como consecuencia, el servidor DNS efectivamente no se encuentra disponible para satisfacer las solicitudes del cliente durante el tiempo que demora en cargar las zonas basadas en AD DS. Material de lectura adicional Funcin del servidor DNS

Leccion 3 : Configuracin de zonas DNS de slo lectura

Leccin 3:

Configuracin de zonas DNS de slo lectura

Es posible brindar seguridad adicional configurando zonas DNS de slo lectura ya que slo un administrador puede cambiar este tipo de zonas. Aunque el personal no autorizado no puede modificar registros del controlador de dominio de slo lectura (RODC), los clientes cuentan con todas las funciones de la resolucin de nombres de Active Directory.

Qu son las zonas DNS de slo lectura?

Puntos clave Al instalar un RODC para Windows Server 2008, se presentan las opciones de instalacin del servidor DNS. La opcin predeterminada es instalar un formulario principal de slo lectura de servidor DNS localmente en el RODC, que replica la zona integrada de AD existente para el dominio especificado y agrega la direccin IP local como servidor DNS preferido en la configuracin TCP/IP local. Esto garantiza que el servidor DNS que opera en el RODC posea una copia de slo lectura completa de todas las zonas DNS. Material de lectura adicional Funcin del servidor DNS

Cmo funciona el DNS de slo lectura

Puntos clave Cuando un equipo se transforma en un RODC, replica una copia completa de slo lectura de todas las particiones del directorio de aplicaciones que usa el DNS, incluyendo la particin de dominio, ForestDNSZones y DomainDNSZones. Esto garantiza que el servidor DNS que opera en el RODC posea una copia de slo lectura completa de todas las zonas DNS almacenadas en un controlador de dominio central en esas particiones de directorio. El administrador de un RODC puede visualizar el contenido de una zona principal de slo lectura. Sin embargo, el administrador puede modificar el contenido cambiando la zona de un servidor DNS con una copia grabable de la base de datos de DNS. Pregunta: Cmo aumenta la seguridad el RODC? Material de lectura adicional Funcin del servidor DNS

Discusin: Comparacin de opciones de DNS para sucursales

Puntos clave Responda las preguntas en un debate en clase. Material de lectura adicional Cmo funcionan las consultas DNS

Laboratorio: Configuracin de la integracin de AD DS y DNS

Escenario El Woodgrove Bank es una empresa que tiene oficinas en muchas ciudades del mundo. Woodgrove Bank tiene relaciones comerciales con otras dos empresas: Fabrikam Inc. y Contoso Inc. Woodgrove Bank ha adquirido copias de los archivos de zona DNS de dichas s compaas. Todos los empleados del bosque Woodgrove Bank necesitan tener acceso a los registros DNS de Contoso Inc. Slo los empleados del dominio Woodgrove Bank necesitan tener acceso a los archivos DNS de Fabrikam Inc. La sucursal de Woodgrove Bank posee un controlador de dominio de slo lectura. Dicho controlador de dominio se configurar para admitir tanto el servicio del servidor DNS como la totalidad de las zonas DNS de todo el bosque y de todo el dominio. El administrador de la empresa ha creado un documento de diseo para la configuracin DNS. El diseo incluye la configuracin de: las zonas integradas de AD DS, las actualizaciones dinmicas de DNS y las zonas DNS de slo lectura.

Ejercicio 1: Configuracin de zonas integradas de Active Directory

Ejercicio 1: Configuracin de zonas integradas de Active Directory
En este ejercicio, se configurarn las zonas DNS del entorno Woodgrove Bank de manera tal que cumplan los requisitos de diseo. Se comprobarn los registros de recursos SRV que hayan registrado todos los controladores de dominio y se crear un nuevo registro de recursos SRV que sea compatible con el protocolo Telnet. Tambin se modificarn las zonas DNS a fin de examinar la diferencia entre zonas integradas de Active Directory y zonas estndar, y se configurarn actualizaciones dinmicas y el mbito de replicacin. Luego se usar la consola de administracin de edicin de ADSI para visualizar los registros de DNS almacenados en la particin de dominio. Las principales tareas se realizarn como se detalla a continuacin: 1. Iniciar el controlador de dominio e inicie la sesin como Administrador. 2. Examinar los registros de recursos SRV. 3. Crear un nuevo registro de recursos SRV que sea compatible con el protocolo Telnet NYC-SRV2. 4. Crear dos zonas nuevas basadas en los archivos de zona de Fabrikam y Contoso. 5. Configurar las dos zonas nuevas de manera tal que sean integradas de Active Directory y asegrese de que no se permitan actualizaciones dinmicas. 6. Configurar el mbito de replicacin de la zona Contoso de manera tal que abarque todo el bosque, y la zona Fabrikam para que abarque todo el dominio. 7. Usar ADSI [Link] para visualizar zonas DNS integradas de Active Directory.
Tarea 1: Iniciar NYC-DC1 e iniciar la sesin como Administrador

Inicie NYC-DC1 e inicie la sesin como Administrador con la contrasea Pa$$w0rd.

Tarea 2: Examinar los registros de recursos SRV

1. Abra la consola Administrador de DNS, expanda las Zonas de bsqueda directa y luego haga clic en _msdcs.[Link]. 2. Expanda la carpeta GC -> _TCP. 3. Expanda la carpeta DC -> _TCP. 4. Abra Propiedades de _msdcs.[Link]. 5. Cierre la pgina Propiedades.
Tarea 3: Crear un nuevo registro de recursos SRV que sea compatible con el protocolo Telnet en NYC-SRV2

1. Haga clic con el botn secundario en la zona _msdsc.[Link] y luego haga clic en Registros nuevos. 2. Seleccione el tipo de registro Registro de servicio (SRV) y haga clic en Crear registro. 3. En el campo Servicios, seleccione _telnet en la lista desplegable. En el campo Host que ofrece este servicio, escriba [Link], haga clic en Aceptar y luego en Realizado.
Tarea 4: Crear dos zonas nuevas basadas en los archivos de zona de Fabrikam y Contoso

1. Use el Explorador de Windows para copiar los archivos [Link] y [Link] de D:\6824 \Allfiles\Mod02\Labfiles a C:\Windows\System32\DNS. Deje abierta la ventana del Explorador de Windows. 2. Use la consola Administrador de DNS para crear una nueva zona principal estndar llamada [Link] usando el archivo existente [Link]. 3. Cree una nueva zona principal estndar llamada [Link] usando el archivo existente [Link].
Tarea 5: Configurar las zonas de Contoso y Fabrikam de manera tal que sean integradas de Active Directory y asegurarse de que

no se permitan actualizaciones dinmicas.

1. Abra la pgina de propiedades de [Link]. 2. Cambie el tipo de zona de manera tal que se almacene en Servicios de dominio de Active Directory. 3. Regrese a la ventana del Explorador de Windows. Observe que el archivo de zona [Link] ya no se encuentra en la carpeta DNS. Ahora est almacenado en Servicios de dominio de Active Directory. 4. Regrese a la pgina de propiedades de la zona [Link] y configure las Actualizaciones dinmicas en Ninguna. 5. Repita los pasos 1 a 4 para la zona [Link].
Tarea 6: Configurar el mbito de replicacin de la zona Contoso de manera tal que abarque todo el bosque, y la zona Fabrikam para que abarque todo el dominio

1. Abra la pgina de propiedades de [Link]. 2. Cambie el mbito de replicacin de manera tal que sea Para todos los servidores DNS en este bosque . 3. Abra la pgina de propiedades de [Link]. 4. Asegrese de que la configuracin del mbito de replicacin de la zona Fabrikam sea Para todos los servidores DNS en este dominio.
Tarea 7: Usar ADSI [Link] para ver zonas DNS integradas de Active Directory

1. Desde el comando Ejecutar , inicie [Link]. 2. Haga clic con el botn secundario en Editor ADSI y luego en Conectar a. 3. En la seccin Punto de conexin, haga clic en Seleccione o escriba un nombre distintivo o un contexto de nomenclatura. 4. Escriba DC=DomainDNSZones,DC=WoodgroveBank,DC=Com y haga clic en Aceptar . 5. Expanda el contexto de nomenclatura, expanda CN=MicrosoftDNS, haga clic en DC=[Link] y luego examine los registros. 6. Haga doble clic en el registro de NYC-DC1. 7. Cierre todas las pginas de propiedades y la consola de Administracin ADSI. Resultado: Al final de este ejercicio, habr creado zonas DNS integradas de Active Directory Ejercicio 1: Respuestas claves (pasos detallados)

Ejercicio 2: Configuracin de zonas DNS de slo lectura

Ejercicio 2: Configuracin de zonas DNS de slo lectura
En este laboratorio, configurar una zona DNS de slo lectura en un RODC y comprobar actualizaciones dinmicas y administrativas. Las principales tareas consisten en configurar zonas DNS de slo lectura en el RODC que sean compatibles con Fabrikam. Las principales tareas se realizarn como se detalla a continuacin: 1. Iniciar el controlador de dominio de slo lectura e iniciar la sesin como Administrador . 2. Instalar el servicio de Servidor DNS 3. Configurar el servidor DNS para que sea compatible con la totalidad de las zonas de todo el dominio y de todo el bosque. 4. Cerrar todas las mquinas virtuales y descartar todos los cambios.
Tarea 1: Iniciar el controlador de dominio de slo lectura e iniciar la sesin como Administrador

Inicie el controlador de dominio de slo lectura e inicie la sesin como Administrador con la contrasea Pa$$w0rd.
Tarea 2: Instalar el servicio de Servidor DNS

Use Start /w ocsetup DNS-Server-Core-Role para instalar la funcin del servidor DNS. Nota: El nombre de la funcin del servidor distingue maysculas de minsculas.
Tarea 3: Configurar el servidor DNS para que sea compatible con la totalidad de las zonas de todo el dominio y de todo el bosque.

1. Desde el Smbolo del sistema, escriba el siguiente comando:Dnscmd /enlistdirectorypartition [Link] 2. A continuacin escriba el siguiente comando:Dnscmd /enlistdirectorypartition [Link] 3. Cambie a NYC-DC1 y luego abra la consola de administracin DNS. 4. Agregue el equipo MIA-RODC a la consola DNS y asegrese de que aparezcan todas las zonas DNS. Nota: El nombre de la funcin del servidor distingue maysculas de minsculas.
Tarea 4: Cerrar todas las mquinas virtuales y descartar los cambios

Resultado: Al finalizar este ejercicio, habr configurado el servidor DNS de manera tal que sea compatible con la totalidad de las zonas de todo el dominio y de todo el bosque. Ejercicio 2: Respuestas claves (pasos detallados)

Revision del laboratorio

Revisin del laboratorio

Preguntas de revisin 1. Cmo determina el equipo de un cliente en qu sitio se encuentra? 2. Enumere al menos tres beneficios de las zonas integradas de Active Directory. 3. En el siguiente ejemplo de dos registros de recursos SRV: Qu registro usar un cliente que consulta sobre un servicio SIP? _sip._tcp.[Link]. 86400 IN SRV 10 60 5060 [Link]. _sip._tcp.[Link]. 86400 IN SRV 50 20 5060 [Link]. 4. Qu permisos se necesitan para crear particiones del directorio de aplicaciones DNS? 5. Qu utilidades estn disponibles para crear particiones de aplicacin? 6. Cul es el estado predeterminado de las actualizaciones dinmicas de una zona integrada de Active Directory? 7. Cul es el estado predeterminado de las actualizaciones dinmicas de una zona principal estndar? 8. Qu grupos tienen permiso para realizar actualizaciones dinmicas? Observaciones Al configurar la integracin AD DS y DNS, recuerde que: Dado que tanto los clientes de Windows Server 2008 como de Active Directory dependen de DNS, el primer paso para la solucin de problemas de Active Directory suele ser solucionar los problemas de DNS. Los registros de localizadores de servicios son crticos para el correcto funcionamiento de Active Directory. Los registros de localizadores de servicios deben estar disponibles en todo momento. Windows Server 2008 puede operar con cualquier servidor DNS compatible; pero las zonas integradas de Active Directory brindan caractersticas y seguridad adicional. Las zonas integradas de Active Directory pueden replicarse a todo el bosque o todo el dominio, o a controladores de dominio especficos a travs de particiones de aplicacin personalizadas. Los registros DNS internos deben ser independientes de los registros DNS pblicos.

Las actualizaciones dinmicas aligeran la sobrecarga administrativa que implica el mantenimiento de la base de datos de la zona DNS. Las actualizaciones dinmicas pueden ser exclusivas de Usuarios autenticados. La carga de zonas de segundo plano reduce el tiempo de demora de los servidores DNS en estar disponibles tras un reinicio. Se pueden usar DNS de slo lectura junto con controladores de dominio de slo lectura para brindar seguridad sin dejar de ofrecer las funciones solicitadas por el cliente.

Modulo 3 : Configuracin de objetos y confianzas de Active Directory

Mdulo 3

Configuracin de objetos y confianzas de Active Directory

Luego de la implementacin inicial de Servicios de dominio de Active Directory (AD DS), las tareas ms frecuentes que realiza un administrador de AD DS son la configuracin y la administracin de los objetos de AD DS. En la mayora de las organizaciones, cada empleado recibe una cuenta de usuario que ser agregada a uno o varios grupos en los AD DS. Las cuentas de usuario y de grupo permiten el acceso a los recursos de red basados en Windows Server, tales como los sitios web, los buzones de correo y las carpetas compartidas. Este mdulo describe el modo de realizar varias de estas tareas administrativas y las opciones disponibles para delegarlas o automatizarlas. Adems, este mdulo describe cmo configurar y administrar las confianzas de Active Directory.

Leccin 1: Configuracin de los objetos de Active Directory Leccin 2: Estrategias para el uso de grupos Leccin 3: Automatizacin de la administracin de objetos de AD DS Laboratorio A: Configuracin de objetos de Active Directory Leccin 4: Delegacin del acceso administrativo a los objetos de AD DS Leccin 5: Configuracin de las confianzas de AD DS Laboratorio B: Configuracin de la delegacin y las confianzas de Active Directory

Leccion 1: Configuracin de los objetos de Active Directory

Leccin 1:

Configuracin de objetos de Active Directory

Tipos de objetos de AD DS
Tipos de objetos de AD DS

Puntos clave Es posible crear varios objetos diferentes en Active Directory. Material de lectura adicional Ayuda para usuarios y equipos de Active Directory

Demostracin: Configuracin de las cuentas de usuario de AD DS

Preguntas: Cmo pueden crearse varios objetos de usuario con la misma configuracin para atributos tales como Departamento y Ubicacin de la oficina? En qu circunstancias es conveniente deshabilitar una cuenta de usuario en lugar de eliminarla?

Tipos de grupo de AD DS
Tipos de grupo de AD DS

Puntos clave

AD DS es compatible con dos tipos de grupo. Material de lectura adicional Ayuda para usuarios y equipos de Active Directory

mbitos de grupo de AD DS
mbitos de grupo de AD DS

Puntos clave Windows Server 2008 es compatible con los mbitos de grupo que se muestran en la diapositiva. Material de lectura adicional Ayuda para usuarios y equipos de Active Directory: Administracin de grupos

Grupos predeterminados de AD DS
Grupos predeterminados de AD DS

Puntos clave Windows Server 2008 brinda numerosos grupos integrados que se crean automticamente al instalar un dominio de Active Directory. Los grupos integrados pueden usarse para administrar el acceso a los recursos compartidos y para delegar las funciones administrativas especficas de Active Directory. Por ejemplo, es posible colocar la cuenta de usuario de un administrador de AD DS en un grupo de Operadores de cuenta a fin de que el administrador pueda crear cuentas y grupos de usuario. Material de lectura adicional Grupos predeterminados de Microsoft Technet

Identidades especiales de AD DS
Identidades especiales de AD DS

Puntos clave Los servidores con Windows Server 2008 incluyen varias identidades especiales, conocidas generalmente como grupos especiales o identidades especiales. Estas identidades se presentan de modo adicional a los grupos en los contenedores de usuarios e integrados. Material de lectura adicional Artculo de Microsoft Technet: Identidades especiales de los archivos

Discusin: Uso de identidades especiales y grupos predeterminados

Escenario Woodgrove ve Bank posee ms de 100 servidores alrededor del mundo. Es necesario determinar si se pueden usar grupos predeterminados o si se pueden crear grupos y luego asignar derechos o permisos especficos de usuario a los grupos para realizar las siguientes Tareas administrativas. Se pueden asignar grupos predeterminados, identidades especiales o crear nuevos grupos para las siguientes tareas. Escriba el nombre del grupo predeterminado que posea los derechos de usuario ms restrictivos a fin de realizar las siguientes acciones o determinar si puede crearse un nuevo grupo: 1. Hacer una copia de seguridad y restaurar los controladores de dominio 2. Hacer una copia de seguridad de los archivos de los servidores miembro, sin restaurarlos 3. Crear grupos en la unidad organizativa Ventas 4. Conceder el acceso a una carpeta compartida a la que todos los empleados del Woodgrove Bank deben tener acceso. Los empleados se encuentran en dos dominios diferentes en el mismo bosque 5. Conceder permisos administrativos a un usuario que ha iniciado sesin en un equipo cliente sin garantizar el acceso a los dems equipos. Los permisos deben aplicarse a todos los usuarios que inicien sesin en un equipo cliente en la organizacin 6. Brindar acceso a los empleados de soporte tcnico para controlar el escritorio de manera remota 7. Brindar acceso administrativo a todos los equipos en el dominio completo 8. Brindar acceso a una carpeta compartida denominada Datos en un servidor denominado DEN-SRV1 9. Administrar la cola de impresin de una impresora determinada del servidor de impresin 10. Establecer la configuracin de red en un servidor miembro

Demostracin: Configuracin de las cuentas de grupo de AD DS

Preguntas: Cules son las opciones disponibles para cambiar el mbito y el tipo de un grupo de AD DS? Cules son los beneficios de asignar administradores de grupo? Establecera esta configuracin en su organizacin? Material de lectura adicional Ayuda para usuarios y equipos de Active Directory: Administracin de grupos

Demostracin: Configuracin de objetos adicionales de AD DS

Preguntas: Cules son las razones para crear unidades organizativas? Cules son los beneficios y limitaciones de usar objetos de la impresora y objetos de la carpeta compartida en AD DS? Material de lectura adicional Ayuda para usuarios y equipos de Active Directory

Leccin 2: Estrategias para el uso de grupos

Leccin 2:

Estrategias para el uso de grupos

Los grupos de AD DS se usan para simplificar la administracin de AD DS al asignar acceso a los recursos. En lugar de asignar acceso a los recursos usando las cuentas de usuario, resulta ms eficaz agregar usuarios a los grupos y luego asignar acceso a los grupos. Sin embargo, debido a la gran variedad de opciones de grupo y opciones de implementacin de AD DS, es posible usar diversas estrategias para configurar grupos.

Opciones para asignar acceso a los recursos

Puntos clave Una de las razones principales para crear usuarios y grupos en AD DS es que los usuarios obtengan acceso a los recursos compartidos, tales como las carpetas compartidas, los sitios de Windows SharePoint Services u otras aplicaciones. Material de lectura adicional Artculo de Microsoft Technet: Selecting a Resource Authorization Method (Seleccionar un Mtodo de autorizacin de

Usar grupos de cuentas para asignar acceso a los recursos

Puntos clave Al usar grupos de cuentas solamente para asignar acceso a los recursos, primero deben agregarse todas las cuentas de usuario a los grupos y luego, asignar al grupo un conjunto de permisos de acceso. Por ejemplo, un administrador puede colocar todas las cuentas de usuarios contables en un grupo global denominado /GG-Todos los contadores y luego, asignarle a este grupo permisos de acceso a un recurso compartido. En un entorno de dominio nico, es posible usar grupos de dominio locales, globales o universales para asignar acceso a los recursos. Material de lectura adicional Artculo de Microsoft Technet: AG/ACL Method (Mtodo AG/ACL)

Discusin: Uso de grupos en un entorno de dominio nico y de dominios mltiples

Lea los escenarios y realice un plan para configurar los grupos y asignar acceso a los recursos en cada escenario. Ejemplo 1 Contoso, Ltd posee un dominio nico que se encuentra en Pars, Francia. Los gerentes de Contoso, Ltd necesitan obtener acceso a la base de datos Inventario para realizar su trabajo. Pregunta: Cmo se puede garantizar el acceso de los gerentes a la base de datos Inventario? Ejemplo 2 Contoso, Ltd determin que todo el personal de la divisin Contabilidad debe tener acceso total a los datos contables. Adems, los ejecutivos de Contoso, Ltd deben tener la posibilidad de visualizar los datos. Contoso, Ltd desea crear una estructura de grupo para la divisin Contabilidad en su totalidad, que tambin abarque los departamentos Cuentas por pagar y Cuentas por cobrar. Pregunta: Cmo se puede garantizar el acceso requerido a los gerentes y que haya un mnimo de administracin? Ejemplo 3 Contoso, Ltd se expandi para incluir operaciones en Amrica del Sur y Asia y actualmente posee tres dominios: el dominio [Link], el dominio [Link] y el dominio [Link]. Es necesario garantizar el acceso, mediante todos los dominios, de los administradores de TI a la carpeta compartida Herramientas_Admin el dominio Contoso. Adems, es necesario asegurar el acceso de los administradores de TI a otros recursos en el futuro. Pregunta: Cmo puede lograrse el resultado deseado con el menor esfuerzo administrativo posible?

Discusin: Uso de grupos en un entorno de dominio nico y de dominios mltiples

Leccin 3: Automatizacin de la administracin de objetos de AD DS

Leccin 3:

Automatizacin de la administracin de objetos de AD DS

En la mayora de los casos, es posible crear y configurar los objetos de AD DS por separado. Sin embargo, en algunos casos, quiz sea necesario crear o modificar la configuracin de varios objetos simultneamente. Por ejemplo, si la organizacin contrata a un grupo numeroso de nuevos empleados, es posible que desee automatizar el proceso de configuracin de las cuentas nuevas. Si su organizacin cambia de ubicacin, es posible que desee automatizar la tarea de asignar nuevas direcciones y nmeros telefnicos a todos los usuarios. Esta leccin describe cmo administrar varios objetos de AD DS.

Herramientas para automatizar la administracin de objetos de AD DS

Puntos clave Windows Server 2008 ofrece herramientas que pueden usarse para crear o modificar mltiples cuentas de usuario de manera automtica en AD DS. Algunas de estas herramientas requieren del uso de un archivo de texto que incluye informacin acerca de las cuentas de usuario que desean crearse. Adems, pueden crearse scripts de Windows PowerShell para agregar objetos o realizar cambios en los objetos de Active Directory.

Configuracin de objetos de AD DS usando las herramientas de la lnea de comandos

Puntos clave Usar estas herramientas de la lnea de comandos para configurar los objetos de AD DS.

Administracin de objetos de usuario con LDIFDE

Puntos clave Es posible usar la herramienta de la lnea de comandos Ldifde para crear y realizar cambios en varias cuentas. Al aplicar la herramienta Ldifde, se usar un archivo de texto separado por lnea para brindar la informacin de entrada del comando. Material de lectura adicional Artculo de Microsoft Technet: LDIFDE

Administracin de objetos de usuario con CSVDE

Puntos clave Es posible usar la herramienta de la lnea de comandos Csvde para crear mltiples cuentas en AD DS; sin embargo, slo es posible usar la herramienta Csvde para crear cuentas, no para modificarlas. Material de lectura adicional Artculo de Microsoft Technet: CSVDE

Qu es Windows Powershell?
Qu es Windows Powershell?

Puntos clave Windows PowerShell es una tecnologa de automatizacin extensible y lnea de comandos que los programadores y los administradores pueden usar para automatizar las tareas en un entorno de Windows. Windows PowerShell usa un conjunto de pequeos cdmlets que realizan cada uno una tarea especfica, aunque tambin es posible combinarlos en mltiples cdmlets para realizar tareas administrativas complejas. Material de lectura adicional Soporte tcnico de Microsoft: Windows PowerShell 1.0 Documentation Pack

Cmdlets de Windows PowerShell

Puntos clave Aprender a usar Windows PowerShell es fcil gracias a la aplicacin de los Cmdlets. La segmentacin es consistente en todos los cmdlets. Material de lectura adicional Windows PowerShell 1.0 Documentation Pack

Demostracin: Configuracin de objetos de Active Directory usando Windows PowerShell

Preguntas: Cules son las ventajas y desventajas de modificar los objetos de Active Directory usando los scripts de Windows PowerShell? De qu manera puede hacerse frente a las desventajas? Material de lectura adicional Blog de Windows PowerShell Artculo de Microsoft Technet: Automatizacion con Windows PowerShell

Laboratorio A: Configuracin de objetos de Active Directory

Escenario

Woodgrove Bank cuenta con varios requisitos para administrar los objetos de Active Directory. Con frecuencia, la organizacin contrata a internos que deben contar con permisos limitados y cuyas cuentas deben expirar automticamente cuando el internado haya finalizado. Las cuentas de usuario deben establecerse con una configuracin estndar que incluya valores como la configuracin del perfil de usuario y las unidades asignadas para sus carpetas particulares. La organizacin, adems, requiere grupos de AD DS que sern usados para asignar permisos a una gran variedad de recursos de red. La organizacin deseara automatizar las tareas de administracin de usuario y de grupo tanto como sea posible.

Ejercicio 1: Configuracin de objetos de AD DS

Ejercicio 1: Configuracin de objetos de AD DS
En este ejercicio, se instalarn las herramientas de administracin de Active Directory en un equipo con Windows Vista. Luego, estas herramientas sern usadas para configurar diversos objetos de AD DS en base a la informacin que brinde el departamento de Recursos Humanos ([Link].). Estas tareas incluyen la creacin de nuevas cuentas de usuario y la modificacin de cuentas de usuario ya existentes. El departamento de [Link]. ha solicitado los siguientes cambios en AD DS: Crear nuevas cuentas de usuario para Kerim Hanif y Jun Cao. Las dos cuentas de usuario deben crearse en la unidad organizativa Admin. TI. Modificar la cuenta de usuario de Dana Birkby. Las principales tareas se realizarn como se detalla a continuacin: 1. Iniciar las mquinas virtuales y luego iniciar sesin. 2. Crear nuevas cuentas de usuario. 3. Modificar las cuentas de usuario existentes
Tarea 1: Iniciar las mquinas virtuales y luego iniciar sesin

1. En la mquina host, haga clic en Inicio, dirjase a Todos los programas, seleccione Microsoft Learning y luego, haga clic en 6824A. Se inicia Iniciador de laboratorio. 2. En Iniciador de laboratorio, junto a 6824A-NYC-DC1, haga clic en Iniciar. 3. En Iniciador de laboratorio, junto a 6824A-NYC-CL1, haga clic en Iniciar. 4. Inicie sesin en NYC- DC1 como Administrador , usando la contrasea Pa$$w0rd. 5. Inicie sesin en NYC- CL1 como Administrador , usando la contrasea Pa$$w0rd. 6. Minimice la ventana Iniciador de laboratorio. Encienda 6824A-NYC-DC1 y luego, inicie sesin como Administrador usando la contrasea Pa$$w0rd.
Tarea 2: Crear nuevas cuentas de usuario

1. En NYC-DC1, abra Usuarios y equipos de Active Directory. 2. En la unidad organizativa AdminsTI, cree un nuevo usuario con los siguientes parmetros: Nombre: Kerim Apellido: Hanif Nombre completo: Kerim Hanif Nombre de inicio de sesin de usuario: Kerim Contrasea: Pa$$w0rd Desactive la casilla El usuario debe cambiar la contrasea al iniciar una sesin de nuevo 3. En NYC-DC1, use la herramienta de la lnea de comandos Dsadd para crear una nueva cuenta de usuario a Jun Cao. La sintaxis del comando dsadd es: dsadd user "cn=Jun Cao,ou=adminsti,dc=WoodgroveBank,dc=com" -samid Jun -pwd Pa$$w0rd desc Administrador
Tarea 3: Modificar las cuentas de usuario existentes

1. En NYC-DC1, cree una nueva carpeta en la unidad D llamada HomeDirs. Comparta la carpeta y luego, configure los Usuarios del dominio con los permisos del Colaborador.

2. En la carpeta HomeDirs, cree una nueva carpeta llamada Marketing. 3. En Usuarios y equipos de Active Directory, busque la cuenta de Dana Birkby y luego, modifique las propiedades de usuario de la siguiente manera: 1. En la ficha General, configure: Nmero de telfono: 555-555-0100 Oficina: Casa matriz Correo electrnico: Dana@[Link] 2. En la ficha Marcado, configure: Permiso de acceso a redes: Permitir Acceso 3. En la ficha Cuenta, configure: Horas de inicio de sesin: Configure las horas de inicio de sesin permitidas entre las 8 a.m. y las 5 p.m. y luego, haga clic en Aceptar . 4. En la ficha Perfil, configure: Carpeta particular: Asigne la unidad H a: \\NYC- DC1\HomeDirs\Marketing\%username% 4. En el Explorador de Windows, dirjase a D:\HomeDirs\Marketing. Asegrese de que se haya creado una carpeta denominada Dana en la carpeta. 5. En NYC-CL1, cierre sesin y luego inicie sesin como Dana usando la contrasea Pa$$w0rd. Confirme que la unidad H: ha sido correctamente asignada y que Dana tiene permiso para crear archivos en su carpeta particular. Resultado: Al finalizar este ejercicio, habr configurado los objetos de Active Directory. Ejercicio 1: Respuestas claves (pasos detallados)

Ejercicio 2: Implementacin de una estrategia de grupo de AD DS

Ejercicio 2: Implementacin de una estrategia de grupo de AD DS
En este ejercicio, se revisarn los requisitos para la creacin de grupos en Woodgrove Bank. Adems, podr crear los grupos solicitados y configurar la anidacin de grupo. Las principales tareas se realizarn como se detalla a continuacin: 1. Encienda la mquina virtual 6824A-LON-DC1 y luego inicie sesin como Administrador. 2. Revise la documentacin de requisitos del grupo y cree una estrategia de implementacin grupal. 3. Analice la estrategia de implementacin grupal. 4. Cree los grupos necesarios para la estrategia de implementacin grupal. 5. Anide los grupos necesarios para la estrategia de implementacin grupal. 6. Cierre 6824A-LON-DC2 y elimine todos los cambios.
Tarea 1: Iniciar la mquina virtual 6824A-LON-DC1 y luego, iniciar sesin como Administrador

1. En Iniciador de laboratorio, junto a 6824A-LON-DC1, haga clic en Iniciar. 2. Inicie sesin en LON- DC1 como Administrador usando la contrasea Pa$$w0rd. 3. Minimice la ventana Iniciador de laboratorio.
Tarea 2: Revisar la documentacin de requisitos del grupo y crear una estrategia de implementacin grupal

Woodgrove Bank debe configurar el acceso a las carpetas compartidas para los ejecutivos de la organizacin. La organizacin implement una carpeta compartida en NYC-DC1 llamada DatosEjec. La siguiente tabla enumera las carpetas incluidas en la carpeta DatosEjec y sus finalidades:

Carpeta

Contenido

DatosEjec

\Casamatriz \Sucursal \Corp

DatosEjec\InformesdelaOficinaCentral Incluye informacin confidencial relacionada con las operaciones de la oficina central y el personal. Los ejecutivos de la oficina central y de las sucursales NYC deben poder obtener e ingresar informacin en esta carpeta.

DatosEjec\InformesdeSucursal

Incluye informacin confidencial relacionada con las operaciones de las sucursales y el personal. Se ha creado una carpeta exclusiva para cada sucursal. Los ejecutivos de la oficina central deben tener acceso de lectura a todas las carpetas de las sucursales. Los gerentes de las sucursales deben tener acceso total a todas las carpetas de su sucursal.

DatosEjec\Corp

Contiene informacin relacionada con las operaciones de Woodgrove Bank. Todos los ejecutivos y gerentes de sucursales deben ejercer control total sobre los archivos

Carpeta

Contenido de esta carpeta.

El equipo ejecutivo de Woodgrove Bank se distribuye de la siguiente manera: Los ejecutivos pueden encontrarse en cualquier lugar. Los ejecutivos se encuentran en Amrica del Norte, Europa y Asia. Cada sucursal cuenta con uno o varios gerentes de sucursal. Las sucursales se encuentran en Miami, Nueva York, Toronto, Londres y Tokio. El grupo de planeacin de AD DS ha establecido el siguiente esquema de nomenclaturas para los grupos de AD DS: Cdigo de ubicacin de tres caracteres: NYC, TOR, MIA, LON y TOK Para los grupos que contienen cuentas de varios dominios, utilice el cdigo de ubicacin WGB. Para los grupos que no cuentan con una ubicacin especfica, incluya el nombre de dominio en el nombre del grupo. Para los grupos de cuentas, use el nombre del departamento: Gerentes de sucursal, Ejecutivos. A continuacin se colocar el tipo de grupo: GG, UG. Para los grupos de recursos, use el nombre del recurso: EJ_CMInformes, EJ_LON_InformesSucursal, EJ_Corp. A continuacin se incluye el nivel de acceso: FC, RO. 1. Determine qu grupos globales desea crear: Determine la agrupacin lgica de los usuarios de la organizacin. No tenga en cuenta los permisos que requieren los usuarios, solamente los grupos de usuarios. Establezca un nombre de grupo para cada grupo de usuarios. Anote sus decisiones en la tabla de Planeamiento de grupo global que se muestra a continuacin. 2. Determine qu grupos locales desea crear: Determine qu permisos se necesitan en cada recurso. No tenga en cuenta quin solicita el permiso, solamente considere el permiso en s. Establezca un nombre de grupo para cada tipo de permiso. Anote sus decisiones en la tabla de Planeamiento de grupo local que se muestra a continuacin. 3. Determine qu grupos necesita anidar. Registre la configuracin de anidacin de grupos en la tabla de Planeamiento de Anidacin de grupos que aparece a continuacin. 4. Determine cmo deseara configurar los permisos de nivel de recursos compartidos en la carpeta DatosEjec. Tabla de Planeamiento del grupo global

Grupo organizativo

Nombre del grupo

Tabla de Planeacin de grupo local

Recurso

Requisitos de acceso

Nombres de grupo

Recurso

Requisitos de acceso

Nombres de grupo

DatosEjec\InformesCasaMatriz

DatosEjec\InformesSucursal\NYC

DatosEjec\InformesSucursal\Toronto

DatosEjec\InformesSucursal\Miami

DatosEjec\InformesSucursal\London

DatosEjec\InformesSucursal\Tokyo

DatosEjec\Corp

Tabla de Planeamiento de anidacin de grupos

Nombre del grupo local de dominio

Grupos anidados

Tarea 3: Analizar la estrategia de implementacin grupal Tarea 4: Crear los grupos necesarios para la estrategia de implementacin grupal

Nota: Para simplificar el proceso de implementacin, es posible que algunos de los grupos requeridos ya hayan sido creados. Adems, se han configurado los grupos requeridos nicamente para [Link] y EM [Link]. 1. En NYC-DC1, desde Usuarios y equipos de Active Directory, compruebe que se hayan creado todos los grupos globales requeridos para la asignacin de permisos. 2. En LON-DC1, desde Usuarios y equipos de Active Directory, compruebe que se hayan creado todos los grupos globales requeridos para la asignacin de permisos. 3. En NYC-DC1, cree los grupos universales requeridos en base a la estrategia de implementacin grupal. Cree los grupos universales desde la unidad organizativa Ejecutivos. 4. Cree los grupos locales de dominio requeridos en base a la estrategia de implementacin grupal.

Tarea 5: Anidar los grupos necesarios para la estrategia de implementacin grupal

En NYC-DC1, anide los grupos requeridos para cumplir con la estrategia de implementacin grupal.
Tarea 6: Cerrar 6824A-LON-DC1 y eliminar todos los cambios

1. Cierre la ventana Control remoto para mquina virtual 6824A-LON-DC1. 2. En el cuadro Close, seleccione Cerrar el equipo y descartar los cambios. Haga clic en Aceptar . Resultado: Al finalizar este ejercicio, habr implementado una estrategia de implementacin grupal. Ejercicio 2: Respuestas claves (pasos detallados)

Ejercicio 3: Automatizacin de la Administracin de los objetos de AD DS

Woodgrove Bank abrir una nueva sucursal en Houston. El departamento de [Link]. le brinda un archivo que contiene a todos los nuevos usuarios que han sido contratados para la sucursal de Houston. Es necesario importar las cuentas de usuarios a AD DS y luego, activar y asignar contraseas a todas las cuentas. Adems, es necesario modificar las propiedades de usuario para los usuarios de Houston actualizando la informacin de la ciudad. Woodgrove Bank tambin planea inaugurar un departamento de Investigacin y Desarrollo en la ciudad de Nueva York (NYC). Se necesita crear una nueva unidad organizativa para el departamento de Investigacin y Desarrollo (R&D) en el dominio de Woodgrove Bank e importar y configurar las nuevas cuentas de usuario en AD DS. Las principales tareas se realizarn como se detalla a continuacin: 1. Modifique y use el archivo [Link] para importar un grupo de usuarios a AD DS. 2. Modifique y ejecute el script [Link] para activar las cuentas de usuario importadas y asignar una contrasea para cada cuenta. 3. Modifique y use el archivo [Link] para prepararse para modificar las propiedades de un grupo de usuarios en AD DS. 4. Modifique y ejecute el script CrearUsuarios.ps1 para agregar nuevos usuarios en AD DS. Tarea 1: Modificar y usar el archivo [Link] para importar un grupo de usuarios a AD DS 1. En NYC-DC1, vaya hasta D:\6824\Allfiles\Mod03\Labfiles y abra [Link] usando el bloc de notas. Analice la informacin del encabezado requerida para crear unidades organizativas y cuentas de usuario. 2. Copie y pegue el contenido del archivo [Link] en el archivo [Link], comenzando desde la segunda lnea. Guarde el archivo como C:\[Link]. 3. En el smbolo del sistema, escriba CSVDE I F C:\[Link] y luego presione ENTRAR. 4. En Usuarios y equipos de Active Directory, compruebe que se haya creado la unidad organizativa de Houston y cinco unidades organizativas secundarias, adems de que se hayan creado varias cuentas de usuario en cada unidad organizativa. Tarea 2: Modificar y ejecutar el script [Link] para activar las cuentas de usuario importadas y asignar una contrasea para cada cuenta 1. En NYC-DC1, dirjase a D:\Mod03\6824\Labfiles y edite [Link]. 2. Modifique el valor del contenedor en la segunda lnea de la siguiente manera:

OU=BranchManagers, OU =Houston,DC=WoodgroveBank,DC=com. 3. Modifique los valores del contenedor en las lneas adicionales al final del script para incluir las siguientes unidades organizativas y luego, guarde el archivo: OU= CustomerService, OU =Houston,DC=WoodgroveBank,DC=com OU = Executives, OU =Houston,DC=WoodgroveBank,DC=com OU = Investments,OU=Houston,DC=WoodgroveBank,DC=com OU = ITAdmins,OU=Houston,DC=WoodgroveBank,DC=com 4. Guarde el archivo como c:\[Link] y haga doble clic en c:\[Link]. 5. En Usuarios y equipos de Active Directory, vaya hasta la unidad organizativa Houston y luego, confirme que estn activadas las cuentas de usuario en todas las unidades organizativas secundarias. Tarea 3: Modificar y usar el archivo [Link] para prepararse para modificar las propiedades de un grupo de usuarios en AD DS 1. En NYC-DC1, exporte todas las cuentas de usuario en las unidades organizativas secundarias de Houston usando LDIFDE f c:\[Link] d "OU=Houston,DC=WoodgroveBank,DC=com" r "objectClass=user" l physicalDeliveryOfficeName. 2. Edite el archivo C:\[Link]. 3. En el men Editar, use la opcin Reemplazar para reemplazar todas las instancias de changetype: add por changetype: modify. 4. Despus de cada lnea de tipo de modificacin, agregue las siguientes lneas: replace: physicalDeliveryOfficeName physicalDeliveryOfficeName: Houston 5. Al final de la entrada para cada usuario, agregue un guin () seguido de una lnea en blanco. 6. Guarde el archivo como C:\ [Link]. 7. En el smbolo del sistema, escriba ldifde I f c:\ [Link] y luego presione ENTRAR. 8. En Usuarios y equipos de Active Directory, compruebe que el atributo Oficina para las cuentas de usuario en Houston haya sido actualizado con la ubicacin de Houston. Tarea 4: Modificar y ejecutar el script CrearUsuariosMltiples.ps1 para agregar nuevos usuarios a AD DS 1. En NYC-DC1, dirjase a D:\6824\Allfiles\Mod03\Labfiles y edite CreateMultipleUsers.ps1.

2. En dos lugares, modifique ADOUName por R&D. 3. Cambie la Ruta de acceso al archivo CSV a D:\6824\Allfiles\Mod03\Labfiles \[Link] y luego guarde los cambios en el archivo. 4. Inicie Windows PowerShell y en el smbolo PS, escriba Set-executionPolicy unrestricted y presione Entrar (para ejecutar un script que no posee firma) y luego escriba D:\6824\Allfiles\Mod03\Labfiles\Createmultipleusers.ps1, y luego presione ENTRAR nuevamente. 5. En Usuarios y equipos de Active Directory, compruebe que se haya creado la unidad organizativa R&D y que dicha unidad haya sido rellenada con cuentas de usuario que poseen los atributos correctos.
Resultado: Al finalizar este ejercicio, habr analizado varias opciones para automatizar la administracin de objetos de usuario. Ejercicio 3: Respuestas claves (pasos detallados)

Leccin 4: Delegacin del acceso administrativo a los objetos de AD DS

Leccin 4:

Delegacin del acceso administrativo a los objetos de AD DS

Muchas de las tareas de administracin de AD DS son fciles de realizar, pero pueden volverse bastante repetitivas. Una de las opciones disponibles en AD DS de Windows Server 2008 es delegar algunas de las tareas administrativas a otros administradores o usuarios. Al delegar control, se les permite a estos usuarios realizar tareas de administracin especficas de Active Directory sin concederles ms permisos que los necesarios.

Permisos de objetos de Active Directory

Puntos clave Los permisos de objetos de Active Directory brindan seguridad a los recursos permitindole controlar qu administradores o usuarios pueden obtener acceso a objetos individuales o atributos de objetos y, adems, permite controlar el tipo de acceso que poseen. Los permisos se usan para asignar privilegios administrativos para una unidad organizativa o una jerarqua de unidades organizativas a fin de administrar los objetos de Active Directory. Preguntas: Cules son los riesgos de usar permisos especiales para asignar permisos de AD DS? Qu permisos debera tener un usuario en un objeto si se le concedi permiso de control total y se deneg el acceso de escritura del usuario? Material de lectura adicional Artculo de Microsoft Technet: Control de acceso en Active Directory Artculo de Microsoft Technet: Asignar, cambiar o eliminar permisos en los objetos o atributos de Active Directory

Demostracin: Herencia de permisos de objetos de Servicios de dominio de Active Directory

Preguntas: Qu sucedera con los permisos de un objeto si se cambia la posicin del objeto de una unidad organizativa a otra y las unidades organizativas tienen diferentes permisos aplicados? Qu sucedera si se eliminan todos los permisos de una unidad organizativa al bloquear la herencia y no se asignan permisos nuevos? Material de lectura adicional Artculo de Microsoft Technet: Asignar, cambiar o eliminar permisos en los objetos o atributos de Active Directory

Qu son los permisos efectivos?

Puntos clave La herramienta Permisos efectivos permite determinar los permisos para un objeto de Active Directory. Esta herramienta calcula los permisos que se conceden a un usuario o grupo determinado y considera los permisos vigentes de la pertenencia a grupos y los permisos heredados de los objetos primarios. Material de lectura adicional Artculo de Microsoft Technet: Herramienta Permisos efectivos

Qu es la delegacin de control?
Qu es la delegacin de control?

Puntos clave La delegacin de control es la capacidad de asignar responsabilidad de administracin de los objetos de Active Directory a otro usuario o grupo. La administracin delegada permite reducir la carga administrativa de manejo de red distribuyendo las tareas administrativas de rutina a varios usuarios. Usando la administracin delegada, es posible asignar tareas administrativas bsicas a usuarios o grupos regulares. Por ejemplo, es posible otorgar a los supervisores el derecho de modificar la pertenencia a grupos en su departamento. Al delegar tareas administrativas, se le otorga a los grupos de su organizacin ms control de los recursos de red local. Adems, brinda mayor seguridad a la red frente a daos accidentales o malintencionados limitando la pertenencia a los grupos de administradores.

Discusin: Escenarios para la delegacin de control

Responda las preguntas de la diapositiva con el resto de la clase.

Demostracin: Configuracin de la delegacin de control

Leccin 5: Configuracin de las confianzas de AD DS

Leccin 5:

Configuracin de confianzas de AD DS

Muchas organizaciones que usan AD DS implementarn solamente un dominio. Sin embargo, las organizaciones de mayor tamao o aquellas que deben permitir el acceso a los recursos en otras organizaciones o unidades de negocio pueden implementar varios dominios en el bosque de Active Directory o en un bosque diferente. Para que los usuarios puedan obtener acceso a los recursos existentes entre los dominios, se deben configurar los dominios o los bosques usando confianzas. Esta leccin describe cmo configurar y administrar las confianzas en un entorno de Active Directory.

Qu son las confianzas de AD DS?

Puntos clave Las confianzas permiten que los principios de seguridad desplacen sus credenciales de un dominio a otro y, adems, son necesarias para permitir el acceso a los recursos entre los dominios. Al configurar una confianza entre dominios, es posible autenticar a un usuario en su dominio y, por tanto, sus credenciales de seguridad podrn usarse para obtener acceso a los recursos en un dominio diferente.

Opciones de confianza de AD DS
Opciones de confianza de AD DS

Puntos clave El grfico de la diapositiva describe las opciones de confianza compatibles con Windows Server 2008 Preguntas: Si desea configurar una confianza entre un dominio de Windows Server 2008 y un dominio de Windows NT 4.0, qu tipo de confianza configurara? Si desea compartir recursos entre dominios pero no desea configurar una confianza, cmo podra brindar acceso a los recursos compartidos? Un usuario que se encuentra en un dominio diferente del bosque necesita un permiso para crear Objetos de directiva de grupo (GPO) en su dominio. Cul es la mejor manera de lograrlo? Material de lectura adicional Ayuda para Dominios y confianzas de Active Directory: Administrar confianzas

Desempeo de las confianzas en un bosque

Puntos clave Al establecer confianzas entre dominios, ya sean dentro del mismo bosque, de un bosque a otro o con un dominio kerberos externo, la informacin respecto de estas confianzas se almacena en AD DS para que pueda recuperarla si resulta necesario. Un objeto de dominio de confianza (TDO) almacena esta informacin. Los TDO almacenan informacin acerca de la confianza, como por ejemplo la transitividad o el tipo de confianza. Cada vez que se crea una confianza, se crea un nuevo TDO y se lo almacena en el contenedor del Sistema en el dominio de la confianza. Material de lectura adicional Ayuda para Dominios y confianzas de Active Directory: Administrar confianzas

Desempeo de las confianzas entre bosques

Puntos clave Windows Server 2008 es compatible con confianzas entre bosques, lo que permite a los usuarios de un bosque obtener acceso a los recursos de otro bosque. Cuando un usuario intenta obtener acceso a un recurso de un bosque de confianza, AD DS primero debe encontrar el recurso. Una vez que lo hizo, el usuario ser autenticado y se le garantizar el acceso al recurso. Material de lectura adicional Artculo de Microsoft Technet: Desempeo de dominios y bosques

Demostracin: Configuracin de confianzas

Preguntas: Cul es la diferencia entre una confianza de acceso directo y una confianza externa? Al configurar una confianza de bosque, qu informacin deber estar disponible en DNS para que funcione la confianza? Material de lectura adicional Ayuda para Dominios y confianzas de Active Directory: Crear una confianza de acceso directo, Crear una confianza externa, Crear una confianza de bosque

Qu es el Nombre principal de usuario?

Puntos clave El nombre principal de usuario (UPN) es un nombre de inicio de sesin que se usa nicamente para iniciar sesin en la red de Windows Server 2008. El UPN consta de dos partes separadas por el smbolo @, como por ejemplo, suzan@[Link]. El prefijo del nombre principal de usuario, que en el ejemplo es suzan. El sufijo del nombre principal de usuario, que en el ejemplo es [Link]. De manera predeterminada, el sufijo es el nombre de dominio en el que se cre la cuenta de usuario. Es posible usar otros dominios en la red o sufijos adicionales que haya creado para configurar otros sufijos para usuarios. Por ejemplo, es posible configurar un sufijo para crear nombres de inicio de sesin de usuario que coincidan con las direcciones de correo electrnico de los usuarios. Material de lectura adicional Artculo de Microsoft Technet: Nomenclatura de Active Directory

Qu es la configuracin de Autenticacin selectiva?

Puntos clave Otra opcin para restringir la autenticacin entre confianzas en un bosque de Windows Server 2008 es la autenticacin selectiva. Al usar la autenticacin selectiva, es posible limitar el nmero de equipos de su bosque a los que pueden obtener acceso otros usuarios del bosque. Material de lectura adicional Artculo de Microsoft Technet: Enable selective authorization over a forest trust (Habilitar la autenticacin selectiva en una confianza de bosque) Artculo de Microsoft Technet: Conceder el Permiso para autenticarse en los equipos del dominio o bosque de confianza

Demostracin: Establecer la configuracin avanzada de confianzas

Puntos clave Otra opcin para restringir la autenticacin entre confianzas en un bosque de Windows Server 2008 es la autenticacin selectiva. Al usar la autenticacin selectiva, es posible limitar el nmero de equipos de su bosque a los que pueden obtener acceso otros usuarios del bosque. Preguntas: Qu pasara si se configura un nuevo sufijo del UPN en un bosque despus de que una confianza haya sido configurada con otro bosque que contiene el mismo sufijo del UPN? En qu situaciones implementara la autenticacin selectiva? Material de lectura adicional Artculo de Microsoft Technet: Enable selective authentication over a forest trust (Habilitar la autenticacin selectiva en una confianza de bosque) Artculo de Microsoft Technet: Conceder el Permiso para autenticarse en los equipos del dominio o bosque de confianza

Laboratorio B: Configuracin de la delegacin y las confianzas de Active Directory

Laboratorio B: Configuracin de delegacin y confianzas de Active Directory

Escenario

Para optimizar el tiempo del administrador de AD DS, Woodgrove Bank deseara poder delegar algunas tareas administrativas a los administradores junior. Se les conceder acceso a estos administradores a fin de que puedan administrar las cuentas de usuario y de grupo en unidades organizativas diferentes. Adems, Woodgrove Bank se ha asociado con Fabrikam Ltd. Algunos usuarios de las organizaciones deben tener acceso a los recursos de la otra organizacin. Sin embargo, el acceso entre las organizaciones debe limitarse a la menor cantidad de usuarios y servidores posibles.

Ejercicio 1: Delegacin de control de objetos de AD DS

Ejercicio 1: Delegacin de control de objetos de AD DS
En este ejercicio, se delegar el control de los objetos de AD DS a otros administradores. Adems, se podrn comprobar los permisos de delegacin a fin de asegurar que los administradores puedan realizar solamente las acciones requeridas. Woodgrove Bank decidi delegar las tareas administrativas a la oficina de Toronto. En esta oficina, los gerentes de la sucursal deben poder crear y administrar las cuentas de usuario y de grupo. El personal de servicio al cliente debe poder restablecer las contraseas de usuario y configurar determinada informacin del usuario, como por ejemplo el nmero de telfono o la direccin. Las principales tareas se realizarn como se detalla a continuacin: 1. Asigne control total de usuarios y grupos en la unidad organizativa de Toronto. 2. Asigne los derechos para restablecer contraseas y configurar informacin personal del usuario en la unidad organizativa Toronto. 3. Compruebe los permisos efectivos asignados a la unidad organizativa Toronto. 4. Compruebe los permisos delegados a la unidad organizativa Toronto.
Tarea 1: Asignar control total de usuarios y grupos en la unidad organizativa Toronto

1. En NYC-DC1, ejecute el Asistente para delegacin de control en la unidad organizativa de Toronto. 2. Asigne el derecho para Crear, eliminar y administrar cuentas de usuarios y para Crear, eliminar y administrar grupos a Tor_GerentesSucursalGG.
Tarea 2: Asignar los derechos para restablecer contraseas y configurar informacin personal del usuario en la unidad organizativa Toronto

1. En NYC-DC1, ejecute el Asistente para delegacin de control en la unidad organizativa Toronto. 2. Asigne el derecho de Restablecer contraseas de usuario y forzar el cambio de contrasea en el prximo inicio de sesin al grupo Tor_ AtencionalClienteGG. 3. Vuelva a ejecutar el Asistente para delegacin de control. Seleccione la opcin para crear una tarea personalizada. 4. Asigne el permiso de grupo Tor_ AtencionalClienteGG para cambiar la informacin personal nicamente en las cuentas de usuario.
Tarea 3: Comprobar los permisos efectivos asignados a la unidad organizativa Toronto

1. En Usuarios y equipos de Active Directory, habilite la visualizacin de Caractersticas avanzadas . 2. Ingrese a la Configuracin de seguridad avanzada para la unidad organizativa Toronto. 3. Compruebe los permisos efectivos de Sven Buck. Sven es un miembro del grupo Tor_GerentesSucursalGG. Compruebe que Sven tenga los permisos para crear o eliminar cuentas de usuario o de grupo. 4. Ingrese a la configuracin de seguridad avanzada de Matt Berg, que se encuentra en la unidad organizativa AtencionalCliente en la unidad organizativa Toronto. Compruebe que Matt tenga los permisos para crear o eliminar cuentas de usuario o de grupo. 5. Compruebe los permisos efectivos de Helge Hoening. Helge es un miembro del grupo Tor_ AtencionalClienteGG. Compruebe que Helge tenga los permisos para restablecer contraseas y para ingresar atributos personales.
Tarea 4: Permitir el inicio de sesin de los Usuarios de dominio en los controladores de dominio

de permitir a los Usuarios de dominio iniciar sesin en los controladores de dominio. 1. En NYC-DC1, inicie Administracin de directivas de grupo y luego, edite la Directiva predeterminada de controladores de dominio. 2. En la ventana Editor de administracin de directivas de grupo, ingrese en la carpeta Asignacin de derechos de usuario. 3. Haga doble clic en Permitir el inicio de sesin local. En el cuadro de dilogo Propiedades de Permitir el inicio de sesin local, haga clic en Agregar usuario o grupo. 4. Conceda al grupo de Usuarios del dominio el derecho de iniciar la sesin local. 5. Abra un smbolo del sistema, escriba GPUpdate /force y luego, presione ENTRAR.
Tarea 5: Comprobar los permisos delegados a la unidad organizativa Toronto

1. Inicie sesin en NYC- DC1 como Sven, usando la contrasea Pa$$w0rd. 2. Inicie Usuarios y equipos de Active Directory y compruebe que Sven pueda crear un nuevo usuario en la unidad organizativa Toronto. 3. Compruebe que Sven pueda crear un nuevo grupo en la unidad organizativa Toronto. 4. Compruebe que Sven no pueda crear un usuario en la unidad organizativa AdminsTI. 5. Cierre sesin en NYC-DC1 y luego, inicie sesin como Helge usando la contrasea Pa$$w0rd. 6. En Usuarios y equipos de Active Directory, compruebe que Helge no tenga permisos para crear objetos nuevos en la unidad organizativa Toronto. 7. Compruebe que Helge pueda restablecer las contraseas de usuario y configurar las propiedades de usuario, tales como el nmero de telfono y la oficina. Resultado: Al finalizar el ejercicio, habr delegado las tareas administrativas a la oficina de Toronto. Ejercicio 1: Respuestas claves (pasos detallados)

Ejercicio 2: Configuracin de confianzas de AD DS

Ejercicio 2: Configuracin de confianzas de AD DS
En este ejercicio, se configurarn las confianzas en base a un diseo de configuracin de confianzas que brinda el administrador de la empresa. Adems, se comprobar la configuracin de confianzas para asegurar que stas estn configuradas correctamente. Woodgrove Bank inici una asociacin estratgica con Fabrikam. Los usuarios de Woodgrove Bank necesitarn tener acceso a diversos recursos compartidos de archivos y a las aplicaciones que se ejecutan en los diferentes servidores de Fabrikam. nicamente los usuarios de Fabrikam deben tener acceso a los recursos compartidos en NYC-SVR1. Las principales tareas se realizarn como se detalla a continuacin: Iniciar la mquina virtual VAN-DC1 y luego iniciar sesin. Establecer la Configuracin de red y DNS para habilitar la confianza de bosque. Configurar una confianza de bosque entre [Link] y [Link]. Configurar la autenticacin selectiva para la confianza de bosque a fin de permitir el acceso a NYC-DC2 nicamente. Comprobar la autenticacin selectiva. Cerrar todas las mquinas virtuales y descartar los discos para deshacer.
Tarea 1: Iniciar la mquina virtual VAN-DC1 y luego iniciar sesin

1. En Iniciador de laboratorio, junto a 6824A-VAN-DC1, haga clic en Iniciar. 2. Inicie sesin en VAN- DC1 como Administrador , usando la contrasea Pa$$w0rd. 3. Minimice la ventana Iniciador de laboratorio.
Tarea 2: Establecer la Configuracin de red y DNS para habilitar la confianza de bosque

1. En VAN-DC1, modifique las propiedades de Red de rea local para cambiar la direccin IP a [Link], la Puerta de enlace predeterminada a [Link] y el Servidor DNS preferido a [Link] y luego, haga clic en Aceptar . 2. Sincronice la hora en VAN-DC1 con la de NYC-DC1. 3. En Administrador de DNS, agregue un reenviador condicional para reenviar todas las consultas para [Link] a [Link]. 4. En Dominios y confianzas de Active Directory, aumente el nivel funcional del bosque a Windows Server 2003. 5. En NYC-DC1, en la consola del Administrador DNS, agregue un reenviador condicional para reenviar todas las consultas para [Link] a [Link]. 6. Cierre la consola del Administrador DNS.
Tarea 3: Configurar una confianza de bosque entre [Link] y [Link] YEYA

1. En NYC-DC1, inicie Dominios y confianzas de Active Directory desde la carpeta Herramientas administrativas. 2. Haga clic con el botn secundario en [Link] y luego en Propiedades. 3. Inicie el Asistente para nueva confianza y configure una confianza de bosque con [Link]. 4. Configure ambos lados de la confianza. Use Administrador@[Link] para comprobar la confianza. 5. Acepte la configuracin predeterminada de la autenticacin de todo el dominio para ambos dominios.

6. Confirme las dos confianzas.

Tarea 4: Configurar la autenticacin selectiva para la confianza de bosque a fin de permitir el acceso a NYC-DC2 y NYC-CL1

1. En Dominios y confianzas de Active Directory, modifique la confianza entrante de [Link] para usar la autenticacin selectiva. 2. En Usuarios y equipos de Active Directory, ingrese a las propiedades de NYC-DC2. En la ficha Seguridad, conceda permiso al grupo MarketingGG de [Link] para autenticarse en este servidor. 3. Ingrese a las propiedades de NYC-CL1. En la ficha Seguridad, conceda permiso al grupo MarketingGG de [Link] para autenticarse en este servidor.
Tarea 5: Comprobar la autenticacin selectiva

1. Inicie sesin en la mquina virtual NYC-CL1 como Adam@[Link] usando la contrasea Pa$$w0rd. Nota: Adam es un miembro del grupo MarketingGG en Fabrikam. Puede iniciar sesin en un equipo en el dominio de [Link] gracias a la confianza que existe entre los dos bosques y porque tiene permiso para autenticarse en NYC-CL1. 2. Intente ingresar a la carpeta \\NYC-DC2\Netlogon. Adam debera tener acceso a la carpeta. 3. Intente ingresar a la carpeta \\NYC-DC1\Netlogon. Adam no debera tener acceso a la carpeta porque el servidor no est configurado para la autenticacin selectiva.
Tarea 6: Cerrar todas las mquinas virtuales y descartar los discos para deshacer

1. Por cada mquina virtual que se encuentre en funcionamiento, cierre la ventana de Control remoto para mquina virtual. 2. En el cuadro Cerrar , seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar . 3. Cierre el Iniciador de laboratorio 6824A. Resultado: Al finalizar este ejercicio, habr configurado las confianzas en base a un diseo de configuracin de confianzas. Ejercicio 2: Respuestas claves (pasos detallados)

Revisin y conclusiones del mdulo

Revisin y conclusiones del mdulo
Revisin del laboratorio Preguntas de revisin 1. Tiene la responsabilidad de administrar las cuentas y el acceso a los recursos de los miembros de su grupo. Un usuario del grupo abandona la compaa y est esperando que llegue su reemplazo en unos das. Qu debe hacer con la cuenta del usuario anterior? 2. Debe crear un gran nmero de cuentas en AD DS a fin de que las cuentas estn preconfiguradas para una instalacin desatendida. Cul es la mejor manera de lograrlo? 3. Un usuario notifica que no puede iniciar sesin en su equipo. El mensaje de error indica que la confianza entre el equipo y el dominio se ha roto. Cmo solucionar el problema? 4. Ha creado un grupo global llamado Soporte tcnico que incluye todas las cuentas del soporte tcnico. Desea ayudar al personal de soporte tcnico a realizar cualquier operacin desde los equipos de escritorio locales, incluyendo la obtencin de propiedad de los archivos. Qu grupo integrado es mejor usar? 5. Se le concedi al grupo Admins_Sucursal el control total de todas las cuentas de usuario en UO_Sucursal. Qu permisos debera usar Admins_Sucursal para una cuenta de usuario que se traslad de UO_Sucursal a UO_Oficina.central? 6. Su organizacin cuenta con un entorno de bosque de Windows Server 2008, pero adquiri recientemente otra organizacin con un entorno de bosque de Windows 2000, que contiene un dominio nico. Los usuarios de ambas organizaciones deben tener acceso a los recursos del bosque de la otra organizacin. Qu tipo de confianza debe crear entre el dominio raz de bosque de cada bosque? Observaciones para configurar los objetos de Active Directory Complementar o modificar los siguientes procedimientos recomendados segn las situaciones de trabajo: Cree un esquema de nomenclatura para los objetos de AD DS antes de comenzar a implementar AD DS. Por ejemplo, es necesario planear cmo crear nombres de inicio de sesin de usuarios e idear la estrategia de nomenclatura de grupo. Es ms fcil planear las estrategias de nomenclatura al principio de la implementacin de AD DS que cambiar los nombres con posterioridad. Planee la estrategia de grupo de AD DS antes de implementar AD DS. Al planear la estrategia de grupo, tenga en cuenta los planes de la organizacin respecto del crecimiento futuro. Aunque la organizacin tenga solamente una pequea cantidad de usuarios en un dominio nico, es posible que desee implementar una estrategia de grupo de cuentas/ grupo de recursos si la organizacin posee una estrategia de crecimiento agresiva y posiblemente establezca asociaciones claves que pueden requerir confianzas de bosque. Busque oportunidades para automatizar las tareas de administracin de AD DS. Es posible que se requiera tiempo para crear archivos csvde y ldifde o bien, escribir scripts VBScript o Windows PowerShell. Sin embargo, una vez que estas herramientas se implementan permiten ahorrar una significativa cantidad de tiempo. Otra opcin para reducir la carga de trabajo para los administradores de AD DS es delegar tareas. Una estrategia para determinar qu tareas deben delegarse es analizar cules son las que ms tiempo le demandan a los administradores de AD DS. Si las tareas de rutina, como crear cuentas de usuarios, restablecer contraseas o actualizar la informacin del usuario, demandan una cantidad significativa de tiempo, considere delegar estas tareas especficas a otros usuarios. Herramientas Usar las siguientes herramientas al configurar objetos y confianzas de AD DS:

Herramienta

Usar para

Dnde encontrarla

Administrador del

Obtener acceso a las

Haga clic en Inicio, luego

Herramienta servidor

Usar para

Dnde encontrarla

Herramientas de administracin dirjase a Herramientas de AD DS en una nica administrativas y haga clic consola. en Administrador del Servidor.

Usuarios y equipos de Active Directory

Crear y configurar todos los objetos de AD DS.

Haga clic en Inicio, luego dirjase a Herramientas administrativas y haga clic en Usuarios y equipos de Active Directory.

Dominios y Crear y configurar confianzas. confianzas de Active Directory

Haga clic en Inicio, luego dirjase a Herramientas administrativas y haga clic en Dominios y confianzas de Active Directory.

Herramientas de la Crear y configurar los objetos lnea de comandos de AD DS (incluyendo Csvde y Ldifde

Estn instaladas de manera predeterminada y puede obtener acceso a ellas desde un smbolo del sistema.

Windows PowerShell

Escribir scripts que puedan Windows PowerShell est automatizar la administracin de disponible como una objetos descarga de Microsoft y puede instalarse como una caracterstica en Windows Server 2008. Despus de instalar Windows PowerShell, se tiene acceso a los cmdlets mediante el shell de comando de Windows PowerShell.

1. Tiene la responsabilidad de administrar las cuentas y el acceso a los recursos de los miembros de su grupo. Un usuario del grupo abandona la compaa y est esperando que llegue su reemplazo en unos das. Qu debe hacer con la cuenta del usuario anterior? 2. Debe crear un gran nmero de cuentas en AD DS a fin de que las cuentas estn preconfiguradas para una instalacin desatendida. Cul es la mejor manera de lograrlo? 3. Un usuario notifica que no puede iniciar sesin en su equipo. El mensaje de error indica que la confianza entre el equipo y el dominio se ha roto. Cmo solucionar el problema? 4. Ha creado un grupo global llamado Soporte tcnico que incluye todas las cuentas del soporte tcnico. Desea ayudar al personal de soporte tcnico a realizar cualquier operacin desde los equipos de escritorio locales, incluyendo la obtencin de propiedad de los archivos. Qu grupo integrado es mejor usar? 5. Se le concedi al grupo Admins_Sucursal el control total de todas las cuentas de usuario en OU_Sucursal. Qu permisos debera usar Admins_Sucursal para una cuenta de usuario que se traslad de OU_Sucursal a OU_Oficina.central? 6. Su organizacin cuenta con un entorno de bosque de Windows Server 2008, pero adquiri recientemente otra organizacin con un entorno de bosque de Windows 2000, que contiene un dominio nico. Los usuarios de ambas organizaciones deben tener acceso a los recursos del bosque de la otra organizacin. Qu tipo de confianza debe crear entre el dominio raz de bosque de cada bosque?
Observaciones para configurar los objetos de Active Directory

Complementar o modificar los siguientes procedimientos recomendados segn las situaciones de trabajo: Cree un esquema de nomenclatura para los objetos de AD DS antes de comenzar a implementar AD DS. Por

ejemplo, es necesario planear cmo crear nombres de inicio de sesin de usuarios e idear la estrategia de nomenclatura de grupo. Es ms fcil planear las estrategias de nomenclatura al principio de la implementacin de AD DS que cambiar los nombres con posterioridad. Planee la estrategia de grupo de AD DS antes de implementar AD DS. Al planear la estrategia de grupo, tenga en cuenta los planes de la organizacin respecto del crecimiento futuro. Aunque la organizacin tenga solamente una pequea cantidad de usuarios en un dominio nico, es posible que desee implementar una estrategia de grupo de cuentas/ grupo de recursos si la organizacin posee una estrategia de crecimiento agresiva y posiblemente establezca asociaciones claves que pueden requerir confianzas de bosque. Busque oportunidades para automatizar las tareas de administracin de AD DS. Es posible que se requiera tiempo para crear archivos csvde y ldifde o bien, escribir scripts VBScript o Windows PowerShell. Sin embargo, una vez que estas herramientas se implementan permiten ahorrar una significativa cantidad de tiempo. Otra opcin para reducir la carga de trabajo para los administradores de AD DS es delegar tareas. Una estrategia para determinar qu tareas deben delegarse es analizar cules son las que ms tiempo le demandan a los administradores de AD DS. Si las tareas de rutina, como crear cuentas de usuarios, restablecer contraseas o actualizar la informacin del usuario, demandan una cantidad significativa de tiempo, considere delegar estas tareas especficas a otros usuarios.
Herramientas

Usar las siguientes herramientas al configurar objetos y confianzas de AD DS: Herramienta Usar para Dnde encontrarla

Administrador del servidor

Obtener acceso a las Herramientas de administracin de AD DS en una nica consola.

Haga clic en Inicio, luego dirjase a Herramientas administrativas y haga clic en Administrador del Servidor.

Usuarios y equipos de Active Directory

Crear y configurar todos los objetos de AD DS.

Haga clic en Inicio, luego dirjase a Herramientas administrativas y haga clic en Usuarios y equipos de Active Directory.

Dominios y confianzas de Active Directory

Crear y configurar confianzas.

Haga clic en Inicio, luego dirjase a Herramientas administrativas y haga clic en Dominios y confianzas de Active Directory.

Herramientas de la lnea de comandos (incluyendo Csvde y Ldifde

Crear y configurar los objetos de AD DS

Estn instaladas de manera predeterminada y puede obtener acceso a ellas desde un smbolo del sistema.

Windows PowerShell

Escribir scripts que puedan Windows PowerShell est disponible como una descarga de automatizar la Microsoft y puede instalarse como una caracterstica en administracin de objetos Windows Server 2008. Despus de instalar Windows PowerShell, se tiene acceso a los cmdlets mediante el shell de comando de Windows PowerShell.

Modulo 4 : Configuracin de sitios y replicacin de Active Directory

Modulo 4

Configuracin de sitios y replicacin de Active Directory

En un entorno de Servicios de dominio de Active Directory (AD DS) de Windows Server 2008, se pueden implementar controladores de dominio mltiples en el mismo dominio, o en otros dominios dentro del mismo bosque. La informacin de AD DS se replica automticamente entre todos los controladores de dominio. Este mdulo describe cmo funciona la replicacin de AD DS, lo que le permitir administrar el trfico de red en la replicacin, mientras que garantiza la consistencia de los datos de AD DS en toda su red.

Leccin 1: Descripcin general de la replicacin de los Servicios de dominio de Active Directory Leccin 2: Descripcin general de los sitios y replicacin de AD DS Leccin 3: Configuracin y supervisin de la replicacin de AD DS Laboratorio: Configuracin de sitios y replicacin de Active Directory

Leccin 1: Descripcin general de la replicacin de los Servicios de dominio de Active Directory

Leccin 1:

Descripcin general de la replicacin de Servicios de dominio de Active Directory

Cuando un usuario o un administrador realizan una actualizacin de AD DS, se actualiza la base de datos de AD DS de un controlador de dominio. Esta actualizacin luego se replica a todos los dems controladores dentro del dominio y, en algunos casos, a todos los dems controladores de dominio del bosque. AD DS emplea un modelo de replicacin con varios maestros. Esto significa que la mayora de los cambios se pueden realizar en cualquier controlador de dominio y se replicarn todos a los dems controladores de dominio. Esta leccin describe cmo funciona la replicacin de AD DS en Windows Server 2008.

Cmo funciona la replicacin de AD DS

Puntos clave La diapositiva describe cmo funcionan los diferentes componentes en la replicacin de AD DS. Material de lectura adicional Ayuda para Sitios y servicios de Active Directory: Comprender sitios, subredes y vnculos de sitio Artculo de Microsoft TechNet: Replication Model Components (Componentes del modelo de replicacin) Artculo de Microsoft Technet: How the Active Directory Replication Model Works (Cmo funciona el modelo de replicacin de Active Directory)

Cmo funciona la replicacin de AD DS dentro de un sitio

Puntos clave

Dentro de un sitio, una notificacin del controlador de dominio remitente da inicio al proceso de replicacin. Cuando se realiza un cambio en la base de datos, el equipo remitente notifica al socio de replicacin que existen cambios disponibles. El socio de replicacin extrae los cambios del controlador de dominio remitente usando una conexin de llamada a procedimiento remoto (RPC). Una vez completa la replicacin, el controlador de dominio remitente espera tres segundos y luego notifica a otro socio de replicacin, que tambin extrae los cambios. De manera predeterminada, un controlador de dominio esperar 15 segundos luego de que se haya realizado un cambio y comenzar a replicar los cambios a otros controladores de dominio del mismo sitio. Material de lectura adicional Ayuda para Sitios y servicios de Active Directory: Comprender sitios, subredes y vnculos de sitio Artculo de Microsoft Technet: How the Active Directory Replication Model Works (Cmo funciona el modelo de replicacin de Active Directory)

Resolucin de conflictos de replicacin

Puntos clave Existen tres tipos de conflictos: Modificar en forma simultnea el mismo valor de atributo de un objeto en dos controladores de dominio. Agregar o modificar un objeto en un controlador de dominio al mismo tiempo que el objeto contenedor de dicho objeto es eliminado en otro controlador de dominio. Agregar objetos con el mismo nombre distintivo relativo en el mismo contenedor. Material de lectura adicional Artculo de Microsoft Technet How the Active Directory Replication Model Works (Cmo funciona el modelo de replicacin de Active Directory)

Optimizacin de la replicacin
Optimizacin de la replicacin

Puntos clave

Durante la replicacin los controladores de dominio pueden seguir mltiples rutas para enviar y recibir actualizaciones. Aunque usar diversas rutas ofrece tolerancia a errores y un rendimiento mejorado, puede causar que las actualizaciones se repliquen en el mismo controlador de dominio ms de una vez a travs de diferentes rutas de replicacin. Para impedir estas replicaciones repetidas, la replicacin de AD DS emplea reduccin de propagacin. Este es el proceso por el que se reduce la cantidad de datos innecesarios que viajan desde un controlador de dominio a otro. Material de lectura adicional Artculo de Microsoft Technet: How the Active Directory Replication Model Works (Cmo funciona el modelo de replicacin de Active Directory)

Qu son las particiones de directorio?

Puntos clave La base de datos de AD DS se encuentra lgicamente dividida en particiones de directorio: una particin de esquema, una particin de configuracin, particiones de dominio y particiones de aplicacin. Cada particin es una unidad de replicacin y cuenta con su propia topologa de replicacin. Material de lectura adicional Artculo de Microsoft Technet: How The Data Store Works (Directory Partition section) (Cmo funciona el Almacn de datos (seccin particin de directorio)) How the Active Directory Replication Model Works (Cmo funciona el modelo de replicacin de Active Directory)

Qu es la topologa de replicacin?
Qu es la topologa de replicacin?

Puntos clave La topologa de replicacin es la ruta por la que viajan los datos de replicacin a travs de una red. Para crear una topologa de replicacin, AD DS debe determinar qu controladores de dominio replican los datos con otros controladores de dominio. Pregunta: Qu particiones de aplicacin se crean de manera predeterminada en AD DS? Material de lectura adicional Artculo de Microsoft Technet: What is Active Directory Replication Topology? (Qu es la Topologa de replicacin de Active Directory?)

Cmo se replican las particiones de directorio y el catlogo global

Puntos clave La replicacin tanto de las particiones de esquema como de las particiones de configuracin sigue el mismo proceso que las dems particiones de directorio. Sin embargo, debido a que estas particiones son de todo el bosque y no de todo el dominio, se pueden crear los objetos de conexin para estas particiones entre dos controladores de dominio, sin importar el dominio de dicho controlador. Todos los controladores de dominio del bosque estn incluidos en la topologa de replicacin para estas particiones. Material de lectura adicional Artculo de Microsoft Technet: What is Active Directory Replication Topology? (Qu es la Topologa de replicacin de Active Directory?)

Cmo se genera la topologa de replicacin

Puntos clave Cuando se agregan controladores de dominio a un sitio, AD DS emplea el Comprobador de coherencia de la informacin (KCC) para establecer una ruta de replicacin entre controladores de dominio. Material de lectura adicional Artculo de Microsoft Technet: How the Active Directory Replication Model Works? (Qu es la Topologa de replicacin de Active Directory?)

Demostracin: Creacin y configuracin de objetos de conexin

Pregunta: Cundo se configuran los objetos de conexin en forma manual?

Leccin 2: Descripcin general de los sitios y replicacin de AD DS

Leccin 2:

Descripcin general de sitios y replicacin de AD DS

Dentro de un sitio, la replicacin de AD DS ocurre en forma rpida y automtica, sin tener en cuenta el uso de red. Sin embargo, algunas organizaciones tienen mltiples ubicaciones y estn conectadas por medio de conexiones de red lenta. Se pueden usar Sitios de AD DS para controlar la replicacin y otros tipos de trfico de AD DS a travs de estos vnculos de red.

Qu son los sitios y vnculos de sitio de AD DS?

Puntos clave

Los sitios se usan para controlar el trfico de replicacin, el trfico de inicio de sesin y las solicitudes del equipo cliente al servidor de catlogo global. Material de lectura adicional Ayuda para Sitios y servicios de Active Directory: Comprender sitios, subredes y vnculos de sitio

Discusin: Por qu implementar sitios adicionales?

Material de lectura adicional Ayuda para Sitios y servicios de Active Directory: Comprender sitios, subredes y vnculos de sitio

Cmo funciona la replicacin entre sitios

Puntos clave Dentro de un sitio se tiene poco control sobre el proceso de replicacin de AD DS. Cuando se implementan sitios mltiples en un bosque de AD DS, tambin se puede configurar la replicacin de AD DS para garantizar el ptimo uso de red.

Demostracin: Configuracin de sitios de AD DS

Preguntas: Qu le sucedera a la topologa de replicacin si se desplaza un controlador de dominio de un sitio a otro? Se mueve un controlador de dominio a un nuevo sitio usando Sitios y servicios de Active Directory. Seis horas ms tarde se determina que el controlador de dominio no est replicando con ningn otro controlador de dominio. Qu se debe comprobar? Material de lectura adicional Ayuda para Sitios y servicios de Active Directory: Crear un sitio, crear una subred.

Comparacin de la replicacin en sitios y entre sitios

Puntos clave Para obtener comparaciones, consulte la diapositiva. Material de lectura adicional Ayuda para Sitios y servicios de Active Directory: Comprender la replicacin entre sitios Artculo de Microsoft Technet: What is Active Directory Replication Topology? (Qu es la Topologa de replicacin de Active Directory?)

Demostracin: Configuracin de vnculos de sitio de AD DS

Preguntas: Si todas las ubicaciones se encuentran conectadas por una red de rea extensa que tiene el mismo ancho de banda disponible, es necesario crear vnculos de sitio adicionales? La organizacin cuenta con dos sitios y un nico dominio. Se puede usar SMTP como protocolo de replicacin entre ambos sitios? Material de lectura adicional Ayuda para Sitios y servicios de Active Directory: Crear un vnculo de sitio

Qu es el generador de topologa entre sitios?

Puntos clave El KCC de un controlador de dominio en el sitio, se designa en el mismo como el Generador de topologa entre sitios (ISTG). Slo hay un ISTG por sitio, sin importar cuntos dominios o particiones de directorio tiene. ISTG es responsable de calcular la topologa de replicacin ideal para el sitio. Material de lectura adicional Artculo de Microsoft Technet: How the Active Directory Replication Model Works (Cmo funciona el modelo de replicacin de Active Directory)

Cmo funciona la replicacin unidireccional

Puntos clave Debido a que ningn cambio se escribe directamente en el Controlador de dominio de slo lectura (RODC), ningn cambio tiene origen en el RODC. En consecuencia, los controladores de dominio grabables que son socios de replicacin no tienen que extraer cambios del RODC. Esto significa que cualquier cambio o dao que un usuario malintencionado pueda hacer en alguna sucursal, no se puede replicar desde el RODC al bosque. Esto tambin reduce la carga de trabajo de los servidores cabeza de puente del concentrador y el esfuerzo requerido para supervisar la replicacin. Material de lectura adicional Artculo de Microsoft Technet: AD DS: Controladores de dominio de slo lectura

Leccin 3: Configuracin y supervisin de la replicacin de AD DS

Leccin 3:

Configuracin y supervisin de replicacin de servicios de dominio de Active Directory

Una vez que se configuran los sitios y los vnculos de sitio para el entorno de AD DS, se puede configurar la replicacin de AD DS. AD DS en Windows Server 2008 ofrece varias opciones que se pueden usar para administrar el flujo de replicacin entre sitios. Debido a que la replicacin de AD DS es tan importante en el entorno, tambin es necesario saber cmo se la debe supervisar.

Qu es un servidor cabeza de puente?

Puntos clave El servidor cabeza de puente en una topologa de replicacin de AD DS, es el nico controlador de dominio, responsable en cada sitio de intercambiar los datos replicados con otros sitios. El servidor cabeza de puente del sitio original, recoge todos los cambios de replicacin en su sitio y luego los enva al servidor cabeza de puente del sitio receptor, que replica los cambios a todos los controladores de dominio del sitio. De manera predeterminada, el ISTG identifica un controlador de dominio en cada sitio como servidor cabeza de puente para cada vnculo de sitio. Si este servidor cabeza de puente no se encuentra disponible, el ISTG identifica a otro controlador de dominio como el servidor cabeza de puente. Material de lectura adicional Artculo de Microsoft Technet: How the Active Directory Replication Model Works (Cmo funciona el modelo de replicacin de Active Directory)

Qu es un servidor cabeza de puente?

Demostracin: Configuracin de servidores cabeza de puente

Pregunta: La organizacin cuenta con dos sitios y dos dominios en el mismo bosque con controladores de dominios para ambos dominios en ambos sitios. Se configura un controlador de dominio en cada sitio como el servidor cabeza de puente preferido. Tiempo despus se advierte que los controladores de dominio para uno de los dominios no estn replicando a travs del vnculo de sitio. Qu se debe hacer para solucionarlo? Material de lectura adicional Artculo de Microsoft Technet: Administracin de la replicacin entre sitios

Demostracin: Configuracin de la disponibilidad y frecuencia de la replicacin

Preguntas: Se configuran los vnculos de sitio entre Nueva York y Toronto y entre Nueva York y Londres. El sitio Nueva York-Toronto se encuentra disponible desde las 2 a.m. hasta las 5 a.m. EST. El vnculo al sitio Nueva York-Londres se encuentra disponible desde las 8 p.m. hasta las 11 p.m. EST. Se puede crear un nuevo usuario en Toronto. Cundo aparecer el usuario nuevo en AD DS en un controlador de dominio de Londres? La organizacin cuenta con 4 sitios. Todos los sitios se incluyen en el VnculoSitioIPPredeterminado. Se desea modificar el programa de replicacin de todos los sitios para que la replicacin entre sitios ocurra cada 15 minutos. Qu se debe hacer? Material de lectura adicional Ayuda para Sitios y servicios de Active Directory: Configurar la replicacin entre sitios

Qu son los puentes de vnculos de sitio?

Puntos clave

De manera predeterminada, todos los vnculos de sitio de AD DS son transitivos o tienen puentes. Esto significa que si el sitio A tiene un vnculo de sitio en comn con el sitio B, el sitio B tambin cuenta con un sitio en comn con el sitio C y los dos vnculos de sitio tienen puentes entre s. Los controladores de dominio del sitio A pueden luego replicarse directamente con los controladores de dominio del sitio C, aunque no existan vnculos de sitio entre los sitios A y C. Se puede modificar la configuracin predeterminada de los puentes de vnculos de sitios, deshabilitando los puentes de vnculos de sitios y luego aquellos vnculos de sitio que sean transitivos. Material de lectura adicional Artculo de Microsoft Technet: How the Active Directory Replication Model Works (Cmo funciona el modelo de replicacin de Active Directory)

Demostracin: Modificacin de los puentes de vnculos de sitio

Pregunta: Su organizacin cuenta con cinco sitios. Cuatro de los sitios se encuentran conectados con vnculos de red de rea extensa (WAN), con ancho de banda extra, mientras que uno de los sitios se encuentra conectado a los dems sitios por un vnculo WAN con escaso ancho de banda disponible. Se deshabilitan los puentes de vnculos de sitios en la organizacin y luego se detecta que lleva ms tiempo de lo normal el replicar los cambios de AD DS entre sitios. Qu se debe hacer para optimizar la replicacin entre los cuatro sitios con ancho de banda disponible mientras que se reduce el uso de red del sitio con menos ancho de banda disponible? Material de lectura adicional Artculo de Microsoft Technet: Administracin de la replicacin entre sitios

Qu es la memoria cach de pertenencia al grupo universal?

Puntos clave Uno de los problemas que puede requerir atencin al configurar la replicacin de AD DS es si se deben implementar servidores de catlogo global en cada sitio. Debido a que se requieren servidores de catlogo global cuando los usuarios inician sesin en el dominio, el hecho de implementar un servidor de catlogo global en cada sitio optimiza la experiencia del usuario. Sin embargo, implementar un servidor de catlogo global en un sitio genera trfico de replicacin adicional, lo que puede llegar a ser un problema si la red de conexin entre los sitios de AD DS cuenta con un ancho de banda limitado. En estos casos, se pueden implementar controladores de dominio con Windows Server 2008 y as habilitar la cach de pertenencia al grupo universal para el sitio. Material de lectura adicional Artculo de Microsoft Technet: Diseo de la ubicacin del servidor de catlogo global

Demostracin: Configuracin de la memoria cach de pertenencia al grupo universal

Material de lectura adicional Artculo de Microsoft Technet: Cache universal group memberships (Pertenencia al grupo universal de la memoria cach)

Demostracin: Herramientas para supervisar y administrar la replicacin

Preguntas: En qu circunstancias puede que se desee saber cul de los controladores de dominio en un sitio es el ISTG? Qu informacin se encuentra disponible en las herramientas de lnea de comandos, que no se encuentra disponible en las herramientas de la interfaz grfica de usuario (GUI)?

Laboratorio: Configuracin de sitios y replicacin de Active Directory

Laboratorio: Configuracin de sitios y replicacin de Active Directory
Escenario

El Woodgrove Bank cuenta con muchas oficinas en todo el mundo. Para optimizar el trfico de inicio de sesin de los clientes y administrar la replicacin de AD DS, el administrador de la empresa ha creado un nuevo diseo para la configuracin de sitios de AD DS y para configurar la replicacin entre los sitios. Se deben crear sitios de AD DS y configurar la replicacin basada en el diseo del administrador de la empresa, supervisar la replicacin del sitio y garantizar que todos los componentes que se requieren para la replicacin son funcionales. El diseo que se usa actualmente en el Woodgrove Bank, contina siendo el predeterminado, no se le han realizado cambios. Aparte del sitio predeterminado, no se encuentran configurados otros sitios de AD DS ni vnculos a sitios. El administrador de la empresa ha creado el siguiente diseo de sitio: Nueva York tiene una conexin de red de rea extensa (WAN) a una velocidad de 1,544 megabits por segundo (Mbps) con Londres, que tiene el 50% de ancho de banda disponible. Nueva York y Tokio tambin se encuentran conectados por una conexin WAN a una velocidad de 1.544 Mbps, que tiene el 50% de ancho de banda disponible. Cualquier cambio realizado a AD DS en cualquiera de estas tres ubicaciones debe ser replicado a las otras en el trmino de una hora. Miami se encuentra conectado a Nueva York por una conexin WAN a una velocidad de 256 kilobits por segundo (kbps), que tiene menos del 20% de ancho de banda disponible durante el horario de oficina habitual. Los cambios realizados a AD DS en cualquier sitio dentro de la organizacin no deben ser replicados a Miami durante el horario de oficina habitual. El controlador de dominio que se encuentra en Miami, debe recibir las actualizaciones solo desde un controlador de dominio en Nueva York. Los controladores de dominio en Nueva York, Tokio y Londres pueden recibir actualizaciones de cualquier otro controlador de dominio en uno de estos tres sitios. El controlador de dominio en Miami, no est configurado como un servidor de catlogo global debido a cuestiones relacionadas con la replicacin de catlogo global. Para reducir el trfico de red que se requiere para la autenticacin, se debe habilitar la cach de pertenencia al grupo universal en el Sitio-Miami. Se debe configurar cada ubicacin de la compaa como un sitio separado, con el siguiente nombre: Sitio-nombre de la ciudad Los vnculos de sitio se deben nombrar segn el siguiente formato: Nombre de la ciudad-Nombre de la ciudad-Vnculo a sitio. La configuracin de las direcciones de red para cada ubicacin de la compaa se realizar como se detalla a continuacin: Nueva York: [Link]/16 Londres: [Link]/16 Miami: [Link]/16 Tokio: [Link]/16 Nota: Debido a las limitaciones que presenta el laboratorio virtual, se configurarn slo los sitios de las ubicaciones de Nueva York, Londres y Miami. Nota: El siguiente laboratorio requiere que se ejecuten cuatro mquinas virtuales al mismo tiempo. Se recomienda que los equipos de los estudiantes estn configurados con un GB adicional de memoria RAM (para alcanzar un total de 3 GB) y as mejorar el rendimiento de la mquina virtual en el laboratorio.

Ejercicio 1: Configuracin de sitios y subredes de AD DS

Ejercicio 1: Configuracin de sitios y subredes de AD DS
En este ejercicio, se modificar la configuracin existente del sitio, basada en el diseo del administrador de la empresa. Las tareas incluyen la creacin de subredes y sitios nuevos, la creacin de vnculos de sitio y el desplazamiento de los servidores a los sitios adecuados. Las principales tareas se realizarn como se detalla a continuacin: 1. Iniciar las mquinas virtuales y luego iniciar sesin. 2. Comprobar la configuracin y la topologa de replicacin actual del sitio. 3. Crear sitios de AD DS.
Tarea 1: Iniciar las mquinas virtuales y luego iniciar sesin.

1. En la mquina host, haga clic en Inicio, elija Todos los programas, luego a Microsoft Learning y haga clic en 6824A. Se inicia Iniciador de laboratorio. 2. En Iniciador de laboratorio, junto a 6824A-NYC-DC1, haga clic en Iniciar. 3. En Iniciador de laboratorio, junto a 6824A-LON-DC1, haga clic en Iniciar. 4. En Iniciador de laboratorio, junto a 6824A-MIA-RODC, haga clic en Iniciar . 5. En Iniciador de laboratorio, junto a 6824A-NYC-RAS, haga clic en Iniciar . 6. Inicie sesin en NYC-DC1 como Administrador , usando la contrasea Pa$$w0rd. 7. Inicie sesin en LON-DC1 como Administrador , usando la contrasea Pa$$w0rd. 8. Inicie sesin en MIA-RODC como Administrador, usando la contrasea Pa$$w0rd. 9. Inicie sesin en NYC-RAS como Administrador, usando la contrasea Pa$$w0rd. 10. Minimice la ventana Iniciador de laboratorio.
Tarea 2: Comprobar la configuracin y la topologa de replicacin actual del sitio.

1. En NYC-DC1, abra Sitios y servicios de Active Directory y luego vaya a propiedades de NTDS Settings para NYC-DC1. 2. Compruebe que los objetos de conexin estn configurados en NYC-DC1. Confirme que los objetos de conexin se usen para replicar todas las particiones de directorio relevantes. 3. Compruebe que las conexiones estn configuradas para replicar siempre y para comprobar la existencia de actualizaciones disponibles cada hora. 4. Examine los objetos de conexin configurados en MIA-RODC. Compruebe que el RODC slo tenga socios de replicacin entrante y ningn socio de replicacin saliente.
Tarea 3: Crear sitios de AD DS

1. En Sitios y servicios de Active Directory, cambie el Default-First-Site-Name a Sitio-NuevaYork. 2. Cree nuevos sitios llamados Sitio-Miami, Sitio-Londres y Sitio-Tokio. 3. Cree nuevos objetos de subred con las siguientes propiedades: Prefijo: [Link]/16, Sitio: Sitio-Nueva York Prefijo: [Link]/16, Sitio: Sitio-Londres Prefijo: [Link]/16, Sitio: Sitio-Miami Prefijo: [Link]/16, Sitio: Sitio-Tokio

4. Compruebe que las subredes correctas estn asociadas con cada sitio.

Resultado: Al finalizar este ejercicio, sabr configurar sitios y subredes de AD DS y vincular las subredes a los sitios adecuados.

Ejercicio 1: Respuestas claves (pasos detallados)

Ejercicio 2: Configuracin de la replicacin de AD DS

Ejercicio 2: Configuracin de la replicacin de AD DS
En este ejercicio se configurar la replicacin de AD DS entre sitios. Las tareas incluyen la creacin de nuevos vnculos de sitios, la configuracin de puentes de vnculos de sitio y finalmente, el movimiento de los controladores de dominio a los sitios adecuados. Las principales tareas se realizarn como se detalla a continuacin: 1. Crear los objetos de vnculos de sitios. 2. Configurar los puentes de vnculos de sitios. 3. Modificar la configuracin de la direccin IP del controlador de dominio. 4. Desplazar los controladores de dominio hacia los sitios adecuados. 5. Configurar la memoria cach de catlogo global para el Sitio-Miami.
Tarea 1: Crear los objetos de vnculos de sitios

1. En Sitios y servicios de Active Directory, cambie el nombre predeterminado del sitio DEFAULTIPSITELINK a Vnculo-Sitio-NuevaYork-Londres. Configure el vnculo de sitio para incluir slo Sitio-NuevaYork y SitioLondres y replicar cada 30 minutos. 2. Haga clic con el botn secundario en el vnculo de Vnculo-Sitio-NuevaYork-Londres y luego haga clic en Propiedades. 3. Cree un nuevo vnculo a sitio llamado vnculo de Vnculo-Sitio-NuevaYork-Tokio, que incluya Sitio-NuevaYork y Sitio-Tokio y que se replique cada treinta minutos. 4. Cree otro nuevo vnculo de sitio llamado vnculo de Vnculo-Sitio-NuevaYork-Miami, que incluya SitioNuevaYork y Sitio-Miami. Modifique el programa para que el vnculo de sitio no permita la replicacin entre las 7 a.m. y las 7 p.m., de lunes a viernes.
Tarea 2: Configurar puentes de vnculos de sitios

En Sitios y servicios de Active Directory, desactive los puentes de vnculos a sitios para los vnculos de sitios IP. Cree un nuevo puente de vnculos de sitios denominado Puente-Vnculo-Sitio-NuevaYork-Londres-Tokio, que incluya todos los sitios excepto el Sitio-Miami.
Tarea 3: Modificar la configuracin de direccin IP del controlador de dominio

1. En LON-DCI, vaya a propiedades de Conexin de rea local. Cambie la configuracin de la direccin IP para usar la direccin IP [Link] y la puerta de enlace predeterminada [Link]. 2. Asegrese de que se puede rastrear [Link] desde LON- DC1 y fuerce al servidor para que registre su IP en DNS. 3. En MIA-RODC, en la ventana del smbolo del sistema, use el comando Netsh interface ipv4 show interfaces para identificar el valor Idx asignado a la conexin de rea local. 4. Use el comando netsh interface ipv4 set address name="ID" source=static address=[Link] mask=[Link] gateway=[Link] para cambiar la direccin IP por MIA-RODC. 5. Asegrese de que se puede rastrear [Link] desde MIA-RODC y luego fuerce al servidor para que registre su direccin IP en DNS. 6. En NYC-DC1, compruebe que las direcciones IP para LON-DC1 y MIA-RODC hayan sido actualizadas en el DNS. 7. Modifique el registro de delegacin para que EMEA use [Link] como direccin del servidor EMEA DNS.
Tarea 4: Desplazar los controladores de dominio hacia los sitios adecuados

1. En NYC-DC1, en Sitios y servicios de Active Directory, desplace LON-DC1 desde el Sitio-NuevaYork, a Sitio-Londres. 2. Desplace MIA-RODC desde Sitio-Nueva York a Sitio-Miami.
Tarea 5: Configurar la memoria cach de catlogo global para el Sitio-Miami

1. En NYC-DC1, en Sitios y servicios de Active Directory, vaya a Propiedades de NTDS Site Settings para Sitio-Miami. 2. Habilite la Cach de pertenencia al grupo universal y luego configrela para que se actualice desde el SitioNuevaYork. Resultado: Al finalizar este ejercicio, sabr configurar la replicacin de AD DS. Ejercicio 2: Respuestas claves (pasos detallados)

Ejercicio 3: Supervisin de la replicacin de AD DS

Ejercicio 3: Supervisin de la replicacin de AD DS
En este ejercicio se supervisar la replicacin de AD DS entre sitios. Se usarn los comandos DCDiag y NLTest para comprobar la disponibilidad del servidor; y el comando Replmon para supervisar la replicacin entre sitios. Las principales tareas se realizarn como se detalla a continuacin: 1. Comprobar que se haya actualizado la topologa de replicacin. 2. Comprobar que la replicacin funcione entre sitios. 3. Usar el comando DCDiag para comprobar la topologa de replicacin. 4. Usar el comando repadmin para comprobar que la replicacin se haya realizado correctamente. 5. Apagar todas las mquinas virtuales y eliminar todos los cambios.
Tarea 1: Comprobar que se haya actualizado la topologa de replicacin.

En NYC-DC1, en Sitios y servicios de Active Directory, vaya a NTDS Settings para NYC-DC1 y luego fuerce al servidor para que compruebe la topologa de replicacin. Vaya a NTDS Settings para MIA-RODC en el Sitio-Miami y luego furcela para que compruebe la topologa de replicacin. Esta tarea llevar unos minutos para completarse. Vaya a propiedades de NTDS Site Settings para el Sitio-NuevaYork y luego verifique que NYC-DC1 est configurado como Generador de topologas entre sitios. Vaya a NTDS Site Settings para Sitio-Miami y luego compruebe que MIA-RODC no est configurado como ISTG. Debido a que MIA-RODC es un RODC, no puede funcionar como un servidor cabeza de puente o un ISTG.
Tarea 2: Comprobar que la replicacin funcione entre sitios

1. En NYC-DC1, en Sitios y servicios de Active Directory, vaya a NTDS Settings para NYC-DC1. 2. En el panel de detalles, compruebe que se haya creado un objeto de conexin entre NYC-DC1 y LON-DC1 y luego fuerce la replicacin en el objeto de conexin. 3. En LON-DC1, abra Sitios y servicios de Active Directory, vaya al objeto de conexin configurado en LON-DC1 entre LON-DC1 y NYC-DC1 y luego fuerce la replicacin en el objeto de conexin. 4. En NYC-DC1, en Usuarios y equipos de Active Directory, cree en el Contenedor de usuarios, un nuevo usuario con UsuariodePrueba como nombre y nombre de inicio de sesin y use la contrasea Pa$$w0rd. 5. En Sitios y servicios de Active Directory, vaya al objeto de conexin configurado en MIA-RODC entre NYC-DC1 y MIA-RODC y luego fuerce la replicacin en el objeto de conexin. 6. En Usuarios y equipos de Active Directory, cambie el foco a MIA-RODC. [Link]. 7. En el cuadro de dilogo Cambiar el controlador de dominio, haga clic en [Link], luego haga clic en Aceptar y compruebe que la cuenta UsuariodePrueba haya sido replicada a MIA-RODC.
Tarea 3: Usar el comando DCDiag para comprobar la topologa de replicacin

En NYC-DC1, en un smbolo del sistema, escriba DCDiag / test:replications para comprobar que NYC-DC1 pase todas las pruebas de conectividad. Nota: Aparecern errores de replicacin porque NYC-DC2 y TOK-DC1 no se estn ejecutando y se ha intentado realizar la replicacin.
Tarea 4: Usar el comando Repadmin para comprobar que la replicacin se haya realizado correctamente

1. En NYC-DC1, en el smbolo del sistema, escriba repadmin /showrepl y luego compruebe que la replicacin con LON-DC1 se haya realizado correctamente durante la ltima actualizacin de la replicacin. 2. En el smbolo del sistema, escriba repadmin /showrepl [Link] y luego compruebe que todas las particiones de directorio hayan sido actualizadas sin errores durante la ltima actualizacin de la replicacin. 3. En el smbolo del sistema, escriba repadmin /bridgeheads y luego compruebe que NYC-DC1 y LON-DC1 estn configurados como servidores cabeza de puente para su sitio. 4. En el smbolo del sistema, escriba repadmin / replsummary, y luego examine el resumen de replicacin y cierre el smbolo del sistema.
Tarea 5: Apagar todas las mquinas virtuales y eliminar todos los cambios

1. Por cada mquina virtual que se encuentre en funcionamiento, cierre la ventana de Control remoto para mquina virtual. 2. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar . 3. Cierre el Iniciador de laboratorio 6824A. Resultado: Al finalizar este ejercicio, se habr comprobado que la replicacin de AD DS est en funcionamiento. Ejercicio 3: Respuestas claves (pasos detallados)

Revision del laboratorio

Revisin del laboratorio
Revisin del laboratorio Preguntas de revisin 1. Cmo se pueden reducir las posibilidades de que se generen conflictos de replicacin en su organizacin? 2. Se han implementado nueve controladores de dominio dentro del mismo dominio. Cinco de estos controladores de dominio se encuentran en un sitio, mientras que cuatro estn en un sitio distinto. No se ha modificado la frecuencia de replicacin predeterminada para la replicacin dentro del sitio y entre sitios. Se crea una cuenta de usuario en un controlador de dominio. Cul es el tiempo mximo que le llevar a dicha cuenta de usuario replicarse a todos los controladores del dominio? 3. Se agrega un nuevo controlador de dominio a un dominio ya existente en el bosque. Qu particiones de AD DS sern modificadas como consecuencia de esto? 4. La organizacin tiene un dominio con tres sitios: Un sitio para la oficina central y dos sitios para las sucursales. Los controladores de dominio en los sitios de las sucursales se pueden comunicar con los controladores de dominio de la oficina central, pero no pueden comunicarse directamente con los controladores de dominio de la otra sucursal, debido a restricciones de firewall. Cmo se puede configurar la arquitectura de los vnculos de sitios en AD DS para integrar el firewall y garantizar que el Comprobador de coherencia de la informacin (KCC) no cree una conexin en forma automtica entre los sitios de las sucursales? 5. La organizacin tiene una oficina central y 20 sucursales. Cada oficina se encuentra configurada como un sitio separado. Se cuenta con tres controladores de dominio implementados en la oficina central. Uno de los controladores de dominio de la oficina central tiene un procesador ms rpido y una memoria mayor que los otros dos. Se quiere garantizar que la carga de trabajo de la replicacin de AD DS sea asignada al mejor equipo. Qu se debe hacer? Observaciones al momento de configurar Sitios y la replicacin de AD DS Complementar o modificar los siguientes procedimientos recomendados segn las situaciones de trabajo: En una organizacin con un solo sitio, la mayora de las veces se puede aceptar la configuracin predeterminada de replicacin. Aunque se pueden modificar los tiempos de notificacin predeterminados para la replicacin de AD DS, rara vez existe razn alguna para hacerlo. En una organizacin con sitios mltiples se debe planear el diseo del sitio para optimizar el uso de la WAN, minimizando el trfico de replicacin de Active Directory y de inicio de sesin de los clientes. Usar los servidores cabeza de puente preferidos slo si se desea que algunos controladores de dominio del sitio no sean servidores cabeza de puente. Algunos controladores de dominio pueden no ser lo suficientemente potentes como para replicarse en forma confiable entre sitios. De lo contrario, se debe permitir que el generador de topologa entre sitios seleccione automticamente servidores cabeza de puente. La configuracin del sitio y las ubicaciones de los controladores de dominio dentro de los sitios, puede ser modificada luego de su instalacin. Si se detecta que la replicacin de AD DS resulta ineficiente, o la organizacin crece, es muy fcil modificar el proceso de replicacin de AD DS, agregando o quitando sitios, o modificando la configuracin de los vnculos de sitio. El trfico de replicacin de AD DS entre sitios se comprime. Esto significa que, excepto en las grandes organizaciones, el trfico de replicacin no consumir una gran cantidad de ancho de banda entre sitios.
Herramientas

Usar las siguientes herramientas cuando se configuran los Sitios y replicacin de AD DS:

Herramienta

Usar para

Dnde encontrarla

Administrador del Servidor

Obtener acceso a las Herramientas de administracin de AD DS en una nica consola.

Haga clic en Inicio, luego vaya a Herramientas administrativas y haga clic en Administrador del servidor. Haga clic en Inicio, luego vaya a Herramientas administrativas y haga clic en Usuarios y equipos de Active Directory.

Sitios y servicios de Crear y configurar sitios, subredes, Active Directory desplazar controladores de dominio entre sitios y forzar la replicacin. Repadmin

Recopilar datos sobre la topologa de replicacin actual y su estado y crear nuevos Instalada de manera predeterminada y se puede obtener acceso desde un smbolo del sistema. objetos de replicacin. Recopilar datos sobre los controladores de Instalada de manera predeterminada y se puede dominio, incluyendo asociados de obtener acceso desde un smbolo del sistema. replicacin y estado.

DCDiag

Modulo 5 : Creacin y configuracin de las directivas de grupo

Mdulo 5

Creacin y configuracin de las directivas de grupo

Los administradores enfrentan desafos cada vez ms complejos al administrar la infraestructura de la Tecnologa de la informacin (TI). Deben ofrecer y mantener configuraciones de escritorio personalizadas para una mayor variedad de empleados; como usuarios mviles, trabajadores de la informacin u otros asignados a tareas estrictamente definidas, como ingreso de datos. La Directiva de grupo y la infraestructura de Servicios de dominio de Active Directory (AD DS) de Windows Server2008 permiten a los administradores de TI automatizar la administracin de usuarios y equipos, simplificando as las tareas administrativas y reduciendo los costos de TI. Gracias a la Directiva de grupo y a AD DS, los administradores pueden implementar configuraciones de seguridad y aplicar directivas de TI eficazmente y distribuir software de manera constante a travs de un determinado sitio, dominio o rango de unidades organizativas (OU).

Leccin 1: Descripcin general de la Directiva de grupo Leccin 2: Configuracin del mbito de la Directiva de grupo Leccin 3: Evaluacin de la aplicacin de objetos de Directiva de grupo Leccin 4: Administracin de objetos de directiva de grupo Leccin 5: Delegacin del control administrativo de Directiva de grupo Laboratorio: Creacin y configuracin de objetos de Directiva de grupo

Leccin 1: Descripcin general de la Directiva de grupo

Leccin 1:
Descripcin general de las directivas de grupo

Esta leccin describe cmo usar la Directiva de grupo para simplificar la administracin de equipos y usuarios en un entorno de Directorio activo. Aprender cmo se estructuran y aplican los Objetos de directiva de grupo (GPO) y algunas de las excepciones para la aplicacin de los GPO. Asimismo, detalla las caractersticas de la Directiva de grupo que estn incluidas con Windows Server 2008, que tambin facilitarn la administracin de equipos y usuarios.

Qu son las directivas de seguridad?

Puntos clave

La Directiva de grupo es una tecnologa de Microsoft que admite la administracin de equipos y usuarios del tipo uno a varios en un entorno de Active Directory. Al editar la configuracin de la Directiva de grupo y orientar un Objeto de directiva de grupo hacia los usuarios y equipos deseados, puede administrar valores de configuracin especficos de manera centralizada. As, es posible administrar prcticamente miles de equipos o usuarios cambiando slo un GPO. Un Objeto de directiva de grupo es el conjunto de valores que se aplican a los usuarios y equipos seleccionados. La Directiva de grupo puede controlar muchos aspectos del entorno de un objeto de destino, incluyendo el registro, la seguridad del sistema de archivos NTFS, las directivas de auditora y seguridad, la instalacin y restriccin de software, el entorno de escritorio, los scripts de inicio y fin de sesin, etc. Es posible asociar un GPO a mltiples contenedores en AD DS mediante la vinculacin. Del mismo modo, es posible vincular mltiples GPO a un contenedor. Pregunta: Cundo sera til la Directiva de grupo local en un entorno de dominio? Material de lectura adicional Artculo de Microsoft Technet: Directiva de grupo de Windows Server

Configuracin de Directiva de grupo

Puntos clave

La Directiva de grupo tiene miles de valores configurables (alrededor de 2.400). Dichos valores pueden influir en casi todas las reas del entorno de computacin. No es posible aplicar todos los valores a todas las versiones de sistemas operativos Windows. Por ejemplo, muchos de los nuevos valores del sistema operativo Windows XP Professional, Service Pack (SP) 2, como las directivas de restriccin de software, slo se aplicaban a ese sistema operativo. Asimismo, muchos de los cientos de valores nuevos slo se aplican al sistema operativo WindowsVista y a Windows Server 2008. Si a un equipo se le aplica un valor que no puede procesar, simplemente lo ignora. Pregunta: Cul de las nuevas caractersticas le resultar ms til en su entorno? Material de lectura adicional Artculo de Microsoft Technet: Resumen de la configuracin de la Directiva de grupo nueva o ampliada Artculo de Microsoft Technet: Novedades sobre Directivas de grupo en Windows Vista y Windows Server 2008

Cmo se aplican las directivas de grupo

Puntos clave Los clientes inician la aplicacin de la Directiva de grupo solicitando los GPO desde AD DS. Cuando se aplica una Directiva de grupo a un usuario o equipo, el componente cliente interpreta la directiva y realiza los cambios de entorno correspondientes. Dichos componentes se denominan Extensiones de cliente de directivas de grupo. A medida que se procesan los GPO, el proceso de Winlogon enva la lista de los GPO a procesar a todas las Extensiones de cliente de directivas de grupo. Entonces, la extensin usa la lista para procesar la directiva correcta cuando corresponda. Pregunta: Cules seran algunas de las ventajas y desventajas de reducir el intervalo de actualizacin? Material de lectura adicional Artculo de Microsoft Technet: Directiva de grupo de Windows Server

Excepciones al procesamiento de Directiva de grupo

Puntos clave Existen diversos factores que pueden alterar el procesamiento normal de la Directiva de grupo; como por ejemplo el uso de una conexin lenta. Adems, dependiendo de los diversos tipos de conexiones o sistemas operativos, vara la administracin del procesamiento de Directiva de grupo. Pregunta: En qu aspecto el Reconocimiento de ubicacin de red (NLA) es superior al Protocolo de mensaje de control de Internet (ICMP) para la correcta aplicacin de la Directiva de grupo? Material de lectura adicional Controlar las Extensiones de cliente mediante la Directiva de grupo

Componentes de Directiva de grupo

Puntos clave Es posible usar las plantillas de Directiva de grupo para crear y establecer valores de Directiva de grupo, almacenados por los GPO. Los GPO se almacenan a su vez en el Contenedor de volumen de sistema (SYSVOL) en AD DS. El contenedor de SYSVOL funciona como repositorio central de los GPO. De este modo, una directiva podra estar relacionada con mltiples contenedores de Active Directory mediante la vinculacin. Del mismo modo, varias directivas podran vincularse a un contenedor. La Directiva de grupo cuenta con tres componentes principales: Plantillas de Directiva de grupo Contenedor de Directiva de grupo Objetos de directiva de grupo

Qu son los archivos ADM y ADMX?

Puntos clave Archivos ADM Tradicionalmente, los archivos ADM se usan para definir los valores que puede configurar el administrador a travs de la Directiva de grupo. Todos los sistemas operativos y los service pack Windows consecutivos incluyen una versin ms actualizada de dichos archivos. Los archivos ADM usan su propio lenguaje de marcado. Por este motivo, es difcil personalizar archivos ADM. Las plantillas de ADM se encuentran en la carpeta %SystemRoot%\Inf. Archivos ADMX Windows Vista y Windows Server 2008 presentan un nuevo formato para mostrar valores de directivas basadas en el registro. Los valores de la directiva basada en el registro se definen usando un formato de archivo XML basado en los estndares, denominado archivos ADMX. Estos nuevos archivos reemplazan los archivos ADM. Las herramientas de Directiva de grupo de Windows Vista y Server 2008 continuarn reconociendo los archivos ADM personalizados que poseen en su mbito anterior, pero omitirn todo archivo ADM que haya sido suplantado por archivos ADMX. Pregunta: Cmo podra discernir si un GPO se ha creado o editado usando archivos ADM o ADMX? Material de lectura adicional Artculo de Microsoft Technet: Gua paso a paso para la administracin de archivos ADMX de directiva de grupo Soporte tcnico de Microsoft: Ubicacin de los archivos ADM (Plantilla administrativa) en Windows

Qu es el almacn central?

Puntos clave Para empresas basadas en el dominio, los administradores pueden crear una ubicacin de almacn central de archivos ADMX a la que puede obtener acceso cualquiera que tenga permiso para crear o editar Objetos de directiva de grupo. El editor de GPO de Windows Vista y Windows Server 2008 lee y muestra automticamente la configuracin de la directiva de Plantillas administrativas de archivos ADMX que el almacn central almacena en la memoria cach y omite los que estn almacenados localmente. Si el controlador de dominio no se encuentra disponible, se usa el almacn central. Debe crearse el almacn central y actualizarse manualmente en un controlador de dominio. El uso de archivos ADMX depender del sistema operativo del equipo en el que se est creando o editando el GPO. Por lo tanto, el controlador de dominio puede ser un servidor con Windows 2000, Windows Server2003 o Windows Server 2008. El Servicio de replicacin de archivos (FRS) replicar el controlador del dominio a otros controladores de ese dominio. Pregunta: Cul sera la ventaja de crear el almacn central en el emulador PDC? Material de lectura adicional Soporte tcnico de Microsoft: Cmo crear un almacn central para plantillas administrativas de Directiva de grupo en Windows Vista

Demostracin: Configuracin de objetos de directiva de grupo

Pregunta: Cuando se abre la GPMC en un equipo con Windows XP, no se ve la nueva configuracin de Windows Vista en el Editor de objetos de directiva de grupo. Por qu?

Leccin 2: Configuracin del mbito de la Directiva de grupo

Leccin 2:

Configuracin del mbito de la Directiva de grupo

Existen diversas tcnicas en la Directiva de grupo que permiten a los administradores manipular el modo de aplicacin de la Directiva de grupo. Es posible controlar el orden de procesamiento de directivas predeterminado mediante la aplicacin de: bloqueo de la herencia, filtros de seguridad, filtros del Instrumental de administracin de Windows (WMI), o usando la caracterstica de bucle invertido. En esta leccin se describen estas tcnicas.

Orden de procesamiento de directiva de grupo

Puntos clave No todos los GPO que se aplican a un usuario o equipo tienen la misma precedencia. Los GPO se aplican en un determinado orden. Dicho orden implica que los primeros valores que se procesan pueden sobrescribirse con valores que se procesan luego. Por ejemplo, una directiva aplicada a nivel de la OU para esa OU en particular puede revertir una directiva que restringe el acceso al Panel de control a nivel del dominio. Pregunta: Su organizacin tiene diversos dominios en mltiples sitios. Se desea aplicar una Directiva de grupo a todos los usuarios de dos dominios diferentes. Cul es la mejor manera de lograrlo? Material de lectura adicional Artculo de Microsoft Technet: Group Policy processing and precedence (Procesamiento y precedencia de la Directiva de grupo) (Procesamiento y precedencia de la Directiva de grupo)

Qu son las directivas de grupo local mltiples?

Puntos clave

En los sistemas operativos de Microsoft anteriores al Windows Vista, slo era posible establecer una configuracin en la Directiva de grupo local. Dicha configuracin se aplicaba a todos los usuarios que iniciaban sesin desde el equipo local. Si bien esto no ha cambiado, Windows Vista y Windows Server 2008 tienen una caracterstica adicional. Con Windows Vista y Windows Server 2008, ahora los usuarios locales pueden establecer diversos valores de usuario. No obstante, contina habiendo slo una configuracin de equipo disponible, que afecta a todos los usuarios. Pregunta: Cundo seran tiles los Objetos de directiva de grupo local mltiples en un entorno de dominio? Material de lectura adicional Artculo de Microsoft Technet: Step-by-Step Guide to Managing Multiple Local Group Policy Objects (Gua paso a paso para la administracin de Objetos de directiva de grupo local mltiples)

Opciones para modificar el procesamiento de la directiva de grupo

Puntos clave

Puede haber ocasiones en las que el funcionamiento de la Directiva de grupo no sea el deseado. Por ejemplo, puede resultar necesario que determinados usuarios o grupos estn exentos de la configuracin restrictiva o que un GPO tuviera que aplicarse slo a equipos con determinadas caractersticas de hardware o software. De manera predeterminada, todos los valores de la Directiva de grupo se aplican al grupo de Usuarios autenticados de un determinado contenedor. Sin embargo, es posible modificar dicho comportamiento mediante diversos mtodos. Pregunta: Ha creado una directiva de restriccin de escritorio y la ha vinculado a la Unidad organizativa de finanzas. La Unidad organizativa de finanzas tiene varias unidades organizativas secundarias que poseen GPO independientes que revocan algunas de las restricciones de su escritorio. Cmo se asegurara de que todos los usuarios del Departamento de finanzas recibieran su directiva de escritorio? Material de lectura adicional Artculo de Microsoft Technet: Controlar el mbito de los Objetos de directiva de grupo usando la GPMC

Demostracin: Configurar vnculos de objetos de directiva de grupo

Pregunta: Verdadero o falso: si se vincula un GPO a mltiples contenedores, la modificacin de la configuracin de uno de esos vnculos slo afectar ese contenedor.

Demostracin: Configurar la herencia de directivas de grupo

Pregunta: Su dominio tiene dos directivas de nivel de dominio: GPO1 y GPO2. Debe asegurarse de que todas las unidades organizativas reciban el GPO 1; pero dos de ellas no pueden verse afectadas por el GPO2. Cmo se puede lograr esto?

Demostracin: Filtracin de objetos de directiva de grupo usando grupos de seguridad

Pregunta: Desea garantizar que una directiva especfica vinculada a una unidad organizativa slo repercutir sobre los miembros del grupo global Administrador. Cmo se lograra esto?

Demostracin: Filtrar objetos de directivas de grupo usando filtros de WMI

Pregunta: Necesita implementar una aplicacin de software que requiere que los equipos tengan ms de 1 GB de RAM. Cul es la mejor manera de lograrlo?

Cmo funciona el procesamiento de bucle invertido?

Puntos clave La configuracin de la directiva del usuario suele derivar exclusivamente de los GPO asociados a la cuenta del usuario, segn la ubicacin de su AD DS. No obstante, el procesamiento de bucle invertido indica al sistema que debe aplicar un conjunto de valores del usuario alternativo al equipo para cualquier usuario que inicie sesin en un equipo afectado por dicha directiva. El procesamiento de bucle invertido est pensado para equipos de uso especial en los que se debe modificar la directiva de uso segn el equipo, como es el caso de los equipos de lugares pblicos o aulas. Al aplicar bucle invertido, se vern afectados todos los usuarios, excepto los locales. El bucle invertido funciona usando los dos modos que se presentan a continuacin: Modo de fusin Modo de reemplazo Material de lectura adicional Artculo de Microsoft Technet: El procesamiento de bucle invertido con fusin o reemplazo Artculo de Microsoft Technet: Procesamiento de bucle invertido de Directiva de grupo

Discusin: Configuracin del mbito de procesamiento de directiva de grupo

Escenario Use el siguiente escenario para la discusin. Estructura fsica El Woodgrove Bank posee un nico dominio que abarca dos sitios: la oficina central y Toronto. El sitio Toronto est conectado al sitio de la oficina central a travs de un vnculo de alta velocidad. Dentro de la oficina central, hay una sucursal en Winnipeg. Esta oficina est conectada a la oficina central a travs de un vnculo lento. En la oficina de Winnipeg hay cinco usuarios. La oficina de Winnipeg no cuenta con un controlador de dominio sino con un servidor SQL server. Esta organizacin abarca equipos con Windows XP Professional y Windows Vista. Requisitos Todos los equipos del dominio que tienen instalado el Windows XP Professional contarn con una pequea aplicacin de software distribuida a travs de la Directiva de grupo. Los usuarios del dominio no deberan tener acceso a las propiedades de pantalla del escritorio. El grupo Administradores estar exento de esta restriccin. Tanto a los usuarios de Winnipeg como a los de la sucursal de Toronto se les aplicarn ms restricciones de escritorio. Ambas sucursales contarn con un equipo quiosco en el lobby para acceso pblico a Internet. Es necesario bloquear este equipo para que el usuario no pueda modificar la configuracin. Las cuentas de sus equipos se ubican en las unidades organizativas de sus respectivas sucursales. Las cuentas de los equipos de todos los servidores, a excepcin de los controladores de dominio, se ubicarn en la unidad organizativa del servidor o en una unidad organizativa anidada dentro de la unidad organizativa del servidor. Se debe aplicar la configuracin de Seguridad de lnea de base a todos los servidores. Se debe aplicar la configuracin de Seguridad de lnea de base a todos los servidores SQL server. Pregunta: Cmo construira un esquema de Directiva de grupo para cumplir con los requisitos?

Leccin 3: Evaluacin de la aplicacin de objetos de Directiva de grupo

Leccin 3:

Evaluacin de la aplicacin de objetos de Directiva de grupo

Los administradores de sistema necesitan saber de qu modo la configuracin de la Directiva de grupo afecta los equipos y usuarios de un entorno administrado. Esta informacin es esencial cuando se planea la Directiva de grupo para una red y cuando se depuran Objetos de directiva de grupo existentes. Obtener la informacin puede ser una tarea compleja si se tiene en cuenta la gran cantidad de posibles combinaciones de sitios, dominios y unidades organizativas, y los numerosos tipos de configuraciones de Directiva de grupo que puede haber. Los filtros de los grupos de seguridad y la herencia, el bloqueo y la implementacin de GPO complican an ms la tarea. La herramienta de la lnea de comandos Resultados de directiva de grupo ([Link]) y la GPMC ofrecen informes para simplificar dichas tareas.

Qu es el informe de directiva de grupo?

Puntos clave El informe de Directiva de grupo es una caracterstica de la Directiva de grupo que facilita la implementacin y la solucin de problemas. Dos herramientas principales para la solucin de problemas son la herramienta de la lnea de comandos [Link] y el asistente para Resultados de directiva de grupo de la GPMC. La caracterstica de Resultados de directiva de grupo permite a los administradores determinar el conjunto de directivas resultante aplicado a un determinado equipo y/o usuario que ha iniciado sesin en ese equipo. Si bien estas herramientas son similares, cada una de ellas brinda distinta informacin. Pregunta: Desea saber qu controlador de dominio ofreci Directiva de grupo a un cliente. Qu utilidad usara para averiguarlo? Material de lectura adicional Recursos de Microsoft: Gpresult Artculo de Microsoft Technet: Resultados de directiva de grupo (Administrar Directivas de grupo con la Consola de administracin de Directivas de grupo)

Qu es la modelacin de directivas de grupo?

Puntos clave Otro mtodo para evaluar Directivas de grupo es usar el Asistente para Modelacin de directivas de grupo en la GPMC para modelar cambios del entorno antes de hacerlos efectivos. El Asistente para Modelacin de directivas de grupo calcula el efecto neto de los GPO. El Asistente para Modelacin de directiva de grupo tambin simula, por ejemplo, la pertenencia al grupo de seguridad, la evaluacin del filtro de WMI y las consecuencias de mover los objetos de un usuario o equipo a otra unidad organizativa o sitio. Tambin es posible especificar la deteccin de vnculo lento, el procesamiento de bucle invertido, o ambos usando el Asistente para Modelacin de directivas de grupo. De hecho, el proceso de Modelacin de directiva de grupo se ejecuta en un controlador de dominio en su dominio de Active Directory. Como el asistente nunca consulta el equipo cliente, no puede considerar las directivas locales. Pregunta: Qu simulaciones se pueden realizar con el Asistente para Modelacin de directivas de grupo? Elija todas las que correspondan. 1. Procesamiento de bucle invertido 2. Mover un usuario a otro dominio del mismo bosque. 3. Filtro de grupo de seguridad 4. Deteccin de vnculo lento 5. Filtro de WMI 6. Todas las anteriores Material de lectura adicional Artculo de Microsoft Technet: Usar Modelacin de directivas de grupo y Resultados de directivas de grupo para evaluar los valores de la Directiva de grupo

Demostracin: Cmo evaluar la aplicacin de la directiva de grupo

Pregunta: Un usuario informa que no puede obtener acceso al Panel de control. Otros usuarios del departamento pueden obtener acceso al Panel de control. Qu herramientas usara para solucionar el problema?

Leccin 4: Administracin de objetos de directiva de grupo

Leccin 4:

Administracin de objetos de Directiva de grupo

La GPMC brinda mecanismos para realizar copias de seguridad, restaurar, migrar y copiar los GPO existentes. Es de vital importancia para conservar las instalaciones de su Directiva de grupo en caso de error o desastre. Ayuda a evitar la recreacin manual de los GPO perdidos o daados y a tener que realizar la planificacin, evaluacin e instalacin de las fases nuevamente. Parte de su plan de operaciones de Directiva de grupo actual debe incluir copias de seguridad regulares de todos los GPO. La GPMC tambin permite copiar e importar Objetos de directiva de grupo tanto del mismo dominio como entre dominios.

Tareas de administracin de GPO

Puntos clave Al igual que con los datos crticos y los recursos relacionados con Active Directory, se deben realizar copias de seguridad de los GPO para proteger la integridad del AD DS y los GPO. La GPMC ofrece las opciones de copia de seguridad y restauracin bsicas, pero tambin brinda control adicional sobre los GPO para fines administrativos. Pregunta: Se realizan copias de seguridad regulares de los GPO. Un administrador cambi varios valores del GPO incorrecto inadvertidamente. Cul es la manera ms rpida de resolver el problema? Material de lectura adicional Biblioteca de Windows Server: Copia de seguridad, restauracin, migracin y copia de los GPO. Artculo de Microsoft Technet: Importar usando la GPMC

Qu es un GPO de inicio?
Qu es un GPO de inicio?

Puntos clave Los GPO de inicio almacenan un grupo de valores de la Directiva de la plantilla administrativa de un solo objeto. Los GPO de inicio slo contienen Plantillas administrativas. Es posible importar y exportar los GPO de inicio para distribuirlos a otras reas de la empresa. Al crear un nuevo GPO desde un GPO de inicio, el nuevo GPO posee todos los valores de la Plantilla administrativa que el GPO de inicio defini. De este modo, los GPO de inicio funcionan como plantillas para crear GPO; lo que ayuda a obtener consistencia en entornos distribuidos. Es posible exportar los GPO de inicio individuales a archivos .Cab para facilitar la distribucin. Luego, es posible volver a importar estos archivos a la GPMC La GPMC almacena los GPO de inicio en una carpeta denominada GPO de inicio, ubicada en SYSVOL. Material de lectura adicional Temas de ayuda: Trabajar con GPO de inicio

Demostracin: Cmo copiar un GPO

Pregunta: Cul es la ventaja de copiar un GPO y vincularlo a una unidad organizativa sobre vincular el GPO original a mltiples unidades organizativas?

Demostracin: Realizacin de copias de seguridad y restauracin de GPO

Pregunta: Qu permisos se necesitan para realizar una copia de seguridad de un GPO?

Demostracin: Importacin de un GPO

Pregunta: Cul es el propsito de una tabla de migracin?

Migracin de objetos de directiva de grupo

Puntos clave El Migrador ADMX permite convertir plantillas de ADM personalizadas a plantillas ADMX. Tambin se crea el archivo ADML asociado. Los archivos convertidos se guardan en la carpeta de documentos del usuario de manera predeterminada. Una vez creados los nuevos archivos, se debe copiar el archivo ADMX en la carpeta Definiciones de directiva o en otro almacn central, y copiar el archivo ADML en la subcarpeta correspondiente. Entonces, las nuevas Plantillas administrativas comienzan a estar disponibles en la GPMC. Material de lectura adicional Sitio web de Microsoft: Migrador ADMX

Leccin 5: Delegacin del control administrativo de Directiva de grupo

Leccin 5:

Delegacin del control administrativo de directivas de grupo

En un mbito distribuido, es habitual encontrar diversos grupos delegados a la realizacin de diferentes tareas administrativas. La Administracin de directivas de grupo es una de las tareas administrativas que se pueden delegar.

Opciones para delegar el control de los GPO

Puntos clave

La delegacin permite la distribucin de la carga de trabajo administrativo a travs de la empresa. Un grupo podra encargarse de la creacin y edicin de los GPO, mientras otro grupo realiza los informes y anlisis. Un grupo independiente podra encargarse de los filtros de WMI. Es posible delegar de manera independiente las siguientes tareas de Directiva de grupo: Crear los GPO Editar los GPO Administrar vnculos de Directiva de grupo para un sitio, dominio o unidad organizativa Realizar anlisis de Modelacin de directiva de grupo en un determinado dominio o unidad organizativa Leer los datos de Resultados de directivas de grupo para objetos en un determinado dominio o unidad organizativa Crear filtros de WMI en un dominio Pregunta: Se realizan copias de seguridad regulares de los GPO. Un administrador cambi varios valores del GPO incorrecto inadvertidamente. Cul es la manera ms rpida de resolver el problema? Material de lectura adicional Artculo de Microsoft Technet: Delegar la Directiva de grupo

Demostracin: Cmo delegar el control administrativo de los GPO

Pregunta: Un usuario que se encuentra en un dominio diferente del bosque necesita un permiso para crear Objetos de directiva de grupo (GPO) en su dominio. Cul es la mejor manera de lograrlo?

Laboratorio: Creacin y configuracin de objetos de Directiva de grupo

Laboratorio: Creacin y configuracin GPO

Escenario El Woodgrove Bank ha decidido implementar la Directiva de grupo para administrar los escritorios de los usuarios y configurar la seguridad de los equipos. La organizacin ya ha implementado una configuracin de unidades organizativas que incluye unidades organizativas de mximo nivel agrupadas por ubicacin, con unidades organizativas adicionales dentro de cada ubicacin para los distintos departamentos. Las cuentas de usuario se encuentran dentro del mismo contenedor que las cuentas del equipo de la estacin de trabajo. Las cuentas del equipo del servidor se encuentran distribuidas entre diversas unidades organizativas. El administrador de la empresa ha creado un plan de implementacin de GPO. Se le ha solicitado que cree GPO para que se puedan aplicar determinadas directivas a todos los objetos de dominio. Algunas directivas son obligatorias. Tambin desea crear valores de directiva que se apliquen slo a subconjuntos de objetos de dominio y desea que las directivas de la configuracin de los equipos y de los usuarios sean independientes. Debe delegar la administracin de GPO a los administradores dentro de cada empresa. Nota: Algunas de las tareas de este laboratorio estn diseadas para ilustrar las tcnicas de administracin y configuracin de GPO y puede que no siempre sigan los procedimientos recomendados.
Requisitos de Directiva de grupo

Los usuarios del dominio no tendrn acceso al men Ejecutar . La directiva se aplicar a todos los usuarios, excepto a los de la unidad organizativa Admins TI. Los ejecutivos no tendrn acceso a la configuracin de pantalla de escritorio. Los usuarios de las sucursales de NYC, Miami y Toronto no tendrn acceso al Panel de control. Todos los administradores de sucursales estarn exentos de esta restriccin. Se aplicar a todos los equipos del dominio una directiva de Seguridad de lnea de base, obligatoria, que no mostrar el nombre del ltimo usuario que ha iniciado sesin. A los equipos con Windows Vista o Windows XP se les aplicar una configuracin adicional para que esperen la red en el inicio. Los usuarios del grupo de administradores tendrn la URL de soporte tcnico de Microsoft en Favoritos. En los equipos quiosco de las sucursales se habilitar el procesamiento de bucle invertido.

Ejercicio 1: Creacin y configuracin de objetos de directiva de grupo

Ejercicio 1: Creacin y configuracin de objetos de directiva de grupo
Crear y vincular los GPO que especifique el diseo del administrador de la empresa. Las tareas incluyen modificar la directiva de domino predeterminada y crear directivas vinculadas a unidades organizativas y sitios especficos. Las principales tareas se realizarn como se detalla a continuacin: 1. Encender e iniciar la sesin en NYC-DC1. 2. Crear los GPO. 3. Configurar los GPO 4. Vincular los GPO.
Tarea 1: Encender e iniciar la sesin en NYC-DC1

En la mquina host, haga clic en Inicio, elija Todos los programas, seleccione Microsoft Learning y luego, haga clic en 6824A. Se inicia Iniciador de laboratorio. En Iniciador de laboratorio, junto a 6824A-NYC-DC1, haga clic en Inicio. Inicie sesin en NYC- DC1 como Administrador usando la contrasea Pa$$w0rd. Minimice la ventana Iniciador de laboratorio.
Tarea 2: Crear los GPO

Use la GPMC para hacer lo siguiente: Crear un GPO llamado Restringir panel de control. Crear un GPO llamado Restringir pantalla del escritorio. Crear un GPO llamado Restringir comando de ejecucin. Crear un GPO llamado Seguridad de lnea de base. Crear un GPO llamado Seguridad de Vista y XP Crear un GPO llamado Admin Favoritos. Crear un GPO llamado Seguridad de equipo quiosco
Tarea 3: Configurar los GPO

1. Edite el GPO Restringir comando ejecutar para impedir el acceso al men Ejecutar. 2. Edite el GPO Seguridad de lnea de base de manera tal que no muestre el nombre del ltimo usuario que ha iniciado sesin. 3. Edite el GPO Seguridad de Vista y XP para que siempre espere que la red reinicie los equipos. 4. Edite el GPO Admin Favoritos de manera tal que incluya la URL de soporte tcnico de Microsoft ([Link] en los Favoritos de Internet. 5. Edite el GPO Restringir panel de control para evitar el acceso de los usuarios al Panel de control. 6. Edite el GPO Restringir pantalla de escritorio para evitar el acceso a la configuracin de pantalla de escritorio. 7. Edite el GPO Seguridad de equipo quiosco de manera tal que use el procesamiento de bucle invertido y oculte e inhabilite todos los elementos del escritorio al usuario que ha iniciado sesin. Nota: Algunos de los pasos de esta tarea, estn dispuestos en otro orden en la gua de laboratorio, ambos son

correctos, solo se encuentran en un orden diferente.

Tarea 4: Vincular los GPO

Use la GPMC para hacer lo siguiente: Vincular el GPO Restringir comando ejecutar al contenedor de dominio. Vincular el GPO Seguridad de lnea de base al contenedor de dominio. Vincular el GPO Seguridad de Vista y XP al contenedor de dominio. Vincular el GPO Seguridad del equipo quiosco al contenedor de dominio. Vincular el GPO Admin Favoritos a la unidad organizativa Admin. Vincular el GPO Restringir panel de control a las unidades organizativas de Miami, NYC y Toronto. Vincular el GPO Restringir pantalla del escritorio a la unidad organizativa Ejecutivos. Resultado: Al finalizar este ejercicio, habr creado y configurado Objetos de directiva de grupo. Ejercicio 1: Respuestas claves (pasos detallados)

Ejercicio 2: Administracin del mbito de aplicacin de GPO

Ejercicio 2: Administracin del mbito de aplicacin de GPO
En este ejercicio, se configurar el mbito de la configuracin de GPO basada en el diseo del administrador de la empresa. Las tareas incluyen deshabilitar partes de los GPO, bloquear e implementar herencia y aplicar filtros en base a los grupos de seguridad y a los filtros de WMI. Las principales tareas se realizarn como se detalla a continuacin: 1. Configurar la administracin de directivas de grupo para el contenedor de dominio. 2. Configurar la administracin de Directivas de grupo para la unidad organizativa Admins TI 3. Configurar la administracin de Directivas de grupo para las unidades organizativas de las sucursales. 4. Crear y aplicar un filtro de WMI para el GPO Seguridad de Vista y XP.
Tarea 1: Configurar la administracin de directivas de grupo para el contenedor de dominio

1. Configure el vnculo Seguridad de lnea de base para que est en modo Exigido y deshabilitar la directiva para el Usuario. 2. Configure Seguridad de Vista y XP para que est en modo Exigido. 3. Use el filtro de pertenencia al grupo de seguridad para configurar el GPO Seguridad del equipo quiosco de manera tal que se aplique slo al grupo global Equipos quiosco.
Tarea 2: Configurar la administracin de Directivas de grupo para la unidad organizativa Admins TI

Bloquee la herencia en la unidad organizativa Admins TI de manera tal que los usuarios de Admins TI estn exentos del GPO Restringir comando ejecutar .
Tarea 3: Configurar la administracin de Directivas de grupo para las unidades organizativas de las sucursales

Use el filtro de pertenencia al grupo de seguridad para configurar el GPO Restringir panel de control de manera tal que deniegue el permiso Aplicar directiva de grupo a los siguientes grupos: Mia_GerentesSucursalGG NYC_GerentesSucursalGG Tor_GerentesSucursalGG Resultado: Al finalizar este ejercicio, habr configurado el mbito de la configuracin de los GPO. Ejercicio 2: Respuestas claves (pasos detallados)

Ejercicio 3: Comprobacin de la aplicacin de GPO

Ejercicio 3: Comprobacin de la aplicacin de GPO
En este ejercicio se comprobar la aplicacin de los GPO para garantizar que los GPO se apliquen como se especifica en el diseo. Los estudiantes iniciarn sesin como usuarios especficos y tambin usarn la Modelacin de directivas de grupo y el Conjunto de directivas resultante (RSoP) para comprobar que los GPO se estn aplicando correctamente. Las principales tareas se realizarn como se detalla a continuacin: 1. Iniciar NYC-CL1. 2. Comprobar que un usuario de la sucursal de Miami est recibiendo la directiva correcta. 3. Comprobar que un administrador de la sucursal de Miami est recibiendo la directiva correcta. 4. Comprobar que un usuario de la unidad organizativa Admins TI est recibiendo la directiva correcta. 5. Comprobar que un usuario de la unidad organizativa ejecutiva est recibiendo la directiva correcta. 6. Comprobar que no aparezca el nombre de usuario. 7. Usar la modelacin de Directiva de grupo para comprobar la configuracin del equipo quiosco.
Tarea 1: Iniciar NYC-CL1 Tarea 2: Comprobar que un usuario de la sucursal de Miami est recibiendo la directiva correcta

1. Inicie sesin en NYC-CL1 como Anton, usando la contrasea Pa$$w0rd. 2. Asegrese de que no haya vnculo al men Ejecutar en la carpeta Accesorios en el men Inicio. 3. Asegrese de que no haya vnculo al Panel de control en el men Inicio. 4. Cierre sesin.
Tarea 3: Comprobar que un administrador de la sucursal de Miami est recibiendo la directiva correcta

1. Inicie sesin en NYC-CL1 como Roya, usando la contrasea Pa$$w0rd. 2. Asegrese de que no haya vnculo al men Ejecutar en la carpeta Accesorios del men Inicio. 3. Asegrese de que aparezca un vnculo a Panel de control en el men Inicio. 4. Cierre sesin.
Tarea 4: Comprobar que un usuario de la unidad organizativa Admins TI est recibiendo la directiva correcta

1. Inicie sesin en NYC-CL1 como Betsy, usando la contrasea Pa$$w0rd. 2. Asegrese de que un vnculo al men Ejecutar aparezca en la carpeta Accesorios en el men Inicio. 3. Asegrese de que aparezca un vnculo a Panel de control en el men Inicio. 4. Inicie Explorador de Internet, abra Favoritos y asegrese de que aparezca el vnculo a Soporte tcnico. 5. Cierre sesin.
Tarea 5: Comprobar que un usuario de la unidad organizativa Executivos est recibiendo la directiva correcta

1. Inicie sesin en NYC-CL1 como Chase, usando la contrasea Pa$$w0rd. 2. Asegrese de que no haya vnculo al men Ejecutar en la carpeta Accesorios en el men Inicio. 3. Asegrese de que aparezca un vnculo a Panel de control en el men Inicio.

4. Asegrese de que no haya acceso a la configuracin de pantalla de escritorio. Pista: Al intentar obtener acceso a la configuracin de pantalla, recibir un mensaje que informa que la funcin ha sido deshabilitada. 5. Cierre sesin.
Tarea 6: Comprobar que no aparezca el nombre de usuario.

Compruebe que no aparezca el nombre del ltimo usuario que inici sesin.
Tarea 7: Usar la modelacin de Directiva de grupo para comprobar la configuracin del equipo quiosco

1. Inicie sesin en NYC-DC1 como Administrador , usando la contrasea Pa$$w0rd. 2. Inicie la GPMC, haga clic con el botn secundario en la carpeta Modelado de directivas de grupo, haga clic en el Asistente de modelado de directivas de grupo y luego haga clic en Siguiente dos veces. 3. En la pantalla de Seleccin de usuario y equipo, haga clic en Equipo, escriba Woodgrovebank\NYC-CL1 y haga clic en Siguiente tres veces. 4. En la pantalla de Grupos de seguridad del equipo, haga clic en Agregar. 5. En el cuadro de dilogo Seleccionar grupos, escriba Equipos quiosco y luego haga clic en Siguiente. 6. En la pantalla de Filtros WMI para equipos, haga clic en Siguiente dos veces, haga clic en Finalizar y luego visualice el informe. Resultado: Al finalizar este ejercicio, habr comprobado y verificado una aplicacin de GPO. Ejercicio 3: Respuestas claves (pasos detallados)

Ejercicio 4: Administracin de GPO

Ejercicio 4: Administracin de GPO
En este ejercicio, se usar la GPMC para hacer copias de seguridad, restaurar e importar Objetos de directiva de grupo. Las principales tareas se realizarn como se detalla a continuacin: 1. Hacer una copia de seguridad de una directiva individual. 2. Hacer copia de seguridad de todos los GPO. 3. Eliminar y restaurar un GPO individual. 4. Importar un GPO.
Tarea 1: Hacer una copia de seguridad de una directiva individual

1. En la GPMC, abra la carpeta Carpeta de directiva de grupo. 2. Haga clic con el botn secundario en la directiva Restringir panel de control y luego haga clic en Copia de Seguridad. 3. Vaya hasta D:\6824\Copia de Seguridad GPO. 4. Haga clic en Hacer Copia de Seguridad y luego haga clic en Aceptar despus de que la copia de seguridad se haya realizado correctamente.
Tarea 2: Hacer copia de seguridad de todos los GPO

1. Haga clic con el botn secundario en la carpeta Carpeta de directivas de grupo y luego haga clic en Hacer Copias de seguridad de todos. 2. Asegrese de que la ubicacin de la copia de seguridad sea D:\6824\Copias de Seguridad GPO. Confirme la eliminacin.
Tarea 3: Eliminar y restaurar un GPO individual

1. Haga clic con el botn secundario en la directiva Admin Favoritos y luego haga clic en Borrar Haga clic en S y luego haga clic en Aceptar cuando la eliminacin se haya realizado correctamente. 2. Haga clic con el botn secundario en la carpeta Carpeta de directivas de grupo y luego haga clic en Administrar copias de seguridad. 3. Restaure el GPO Admin Favoritos. 4. Confirme que la directiva Admin Favoritos aparece en la carpeta Objetos de directivas de grupo.
Tarea 4: Importar un GPO

1. Cree un nuevo GPO denominado Importar a la carpeta de directivas de grupo. 2. Haga clic con el botn secundario en el GPO Importar y luego haga clic en Importar configuracin. 3. En el Asistente para Importar configuracin, haga clic en Siguiente. 4. En la ventana Hacer Copia de seguridad del GPO, haga clic en Siguiente. 5. Asegrese de que la ubicacin de la carpeta Copia de seguridad sea D:\6824\Copias de Seguridad GPO. 6. En la pantalla GPOde origen, haga clic en Restringir panel de control y luego haga clic en Siguiente 7. Cierre Importar configuracin del asistente. 8. Haga clic en el Importar GPO, haga clic en la ficha Configuraciones y luego asegrese de que el valor Prohibir acceso al panel de control est en posicin Habilitado.

Resultado: Al finalizar este ejercicio, habr hecho copias de seguridad, restaurado e importado Objetos de directiva de grupo. Ejercicio 4: Respuestas claves (pasos detallados)

Ejercicio 5: Delegacin del control administrativo de los GPO

Ejercicio 5: Delegacin del control administrativo de los GPO
En este ejercicio, delegar el control administrativo de los GPO basado en el diseo del administrador de la empresa. Las tareas incluyen configurar permisos para crear, editar y vincular Objetos de directiva de grupo. Luego se comprobar la configuracin de permisos. Las principales tareas se realizarn como se detalla a continuacin: 1. Otorgar a Betsy el derecho de crear Objetos de directiva de grupo en el dominio. 2. Delegar a Betsy el derecho de editar el Importar GPO. 3. Delegar a Betsy el derecho de vincular Objetos de directiva de grupo a la unidad organizativa Ejecutivos. 4. Permitir el inicio de sesin de los usuarios de dominio en los controladores de dominio. 5. Comprobar la delegacin. 6. Cerrar todas las mquinas virtuales y descartar los discos para deshacer.
Tarea 1: Otorgar a Betsy el derecho de crear Objetos de directiva de grupo en el dominio

1. Seleccione la carpeta Objetos de directivas de grupo, haga clic en la ficha de Delegacin y luego haga clic en Agregar 2. En el cuadro de dilogo Seleccionar usuarios, escriba Betsy en el campo Nombre del objeto y luego haga clic en Aceptar.
Tarea 2: Delegar a Betsy el derecho de editar el GPO Importar

1. En la carpeta Objetos de directivas de grupo, seleccione la GPO Importar , haga clic en la ficha Delegacin y luego haga clic en Agregar 2. En el cuadro de dilogo Seleccionar usuarios, escriba Betsy en el campo y luego haga clic en Aceptar . 3. En el cuadro de dilogo Agregar grupo o usuario, seleccione Editar configuracin en la lista desplegable y luego haga clic en Aceptar .
Tarea 3: Delegar a Betsy el derecho de vincular Objetos de directiva de grupo a la unidad organizativa Ejecutivos

1. Seleccione la unidad organizativa Ejecutivos, haga clic en la ficha Delegacin y luego haga clic en Agregar. 2. En el cuadro de dilogo Seleccionar usuarios, escriba Betsy en el campo Nombre del objeto y luego haga clic en Aceptar . 3. En el cuadro de dilogo Agregar grupo o usuario, seleccione Slo este contenedor y haga clic en Aceptar .
Tarea 4: Permitir el inicio de sesin de los Usuarios de dominio en los controladores de dominio

Nota: Este paso se incluye en el laboratorio para permitirle comprobar los permisos delegados. Para obtener resultados ptimos, debe instalar las herramientas de administracin en una estacin de trabajo de Windows en lugar de permitir a los Usuarios de dominio iniciar sesin en los controladores de dominio. 1. En NYC-DC1, inicie Administracin de directiva de grupo y luego edite la Default Domain Controllers Policy. 2. En la ventana Editor de administracin de directiva de grupo, ingrese en la carpeta Asignacin de derechos del usuario. 3. Haga doble clic en Permitir inicio de sesin localmente. En el cuadro de dilogo Propiedades de Permitir inicio de sesin localmente, haga clic en Agregar grupo o usuario. 4. Conceda al grupo Usuarios de dominio el derecho de iniciar la sesin local.

5. Abra un smbolo del sistema, escriba gpupdate /force y luego presione Enter.
Tarea 5: Comprobar la delegacin

1. Inicie sesin en NYC-CL1 como Betsy. 2. Abra una Consola de Administracin de directiva de grupo. 3. Haga clic con el botn secundario en la carpeta Objetos de directiva de grupo y luego haga clic en Nuevo. 4. Cree una nueva directiva denominada Prueba. Esta operacin se completar correctamente. 5. Haga clic con el botn secundario en el GPO Importar y luego haga clic en Editar Esta operacin se completar correctamente. 6. Haga clic con el botn secundario en la unidad organizativa Ejecutivos y vincule a sta el GPO Prueba. Esta operacin se completar correctamente. 7. Haga clic con el botn secundario en la directiva de Admin Favoritos e intente editarla. No es posible realizar esta operacin. 8. Cierre la GPMC.
Tarea 6: Cerrar todas las mquinas virtuales y descartar los discos para deshacer

1. Por cada mquina virtual que se encuentre en funcionamiento, cierre la ventana Control remoto para mquina virtual. 2. En el cuadro Cierre, seleccione Apagar el equipo y descartar los cambios y despus haga clic en Aceptar . 3. Cierre el Iniciador de laboratorio 6824A. Resultado: Al finalizar este ejercicio, habr hecho copias de seguridad, restaurado e importado Objetos de directiva de grupo. Ejercicio 5: Respuestas claves (pasos detallados)

Revision y conclusiones del modulo

Revisin y conclusiones del mdulo

Observaciones Tenga en cuenta las siguientes observaciones al crear y configurar la Directiva de grupo: Mltiples objetos de directiva de grupo local Los archivos ADMX y ADML reemplazan los archivos ADM Mtodos para controlar la directiva de grupo, la herencia, los filtros y la implementacin Herramientas e informes de la Directiva de grupo Preguntas de revisin 1. Desea forzar la aplicacin de determinados valores de Directiva de grupo a travs de un vnculo lento. Qu se puede hacer? 2. Debe asegurarse de que se aplique una directiva de nivel de dominio; pero el grupo global Administrators debe estar excluido de dicha directiva. Cmo se lograra esto? 3. Desea que se habiliten determinadas plantillas administrativas a todos los GPO que contienen valores de usuario. Debe ser posible enviar dichas directivas a otros administradores de la empresa. Cul es el mejor mtodo? 4. Desea controlar el acceso a los dispositivos de almacenamiento extrables en todas las estaciones de trabajo cliente a travs de la Directiva de grupo. Es posible usar la Directiva de grupo para lograrlo?

Modulo 6 : Configuracin de entornos de usuario usando la directiva de grupo

Mdulo 6

Configuracin de entornos de usuario usando la directiva de grupo

Este mdulo es una introduccin a la tarea de configurar el entorno de usuario usando la Directiva de grupo. Especficamente, lo que este mdulo describe son las destrezas y el conocimiento necesarios para usar la Directiva de grupo para configurar la redireccin de carpetas y tambin para saber cmo usar scripts. Tambin describe de qu modo las plantillas administrativas afectan Windows Vista y Windows Server 2008 y cmo implementar software usando la Directiva de grupo.

Leccin 1: Establecimiento de la configuracin de la Directiva de grupo

Leccin 2: Configuracin de los scripts y la redireccin de carpetas usando la Directiva de grupo

Leccin 3: Configuracin de plantillas administrativas Leccin 4: Configuracin de las preferencias de la Directiva de grupo Leccin 5: Implementacin de software usando la Directiva de grupo Laboratorio: Configuracin de entornos de usuario usando la Directiva de grupo

Leccin 1: Establecimiento de la configuracin de la Directiva de grupo

Leccin 1:

Establecimiento de la configuracin de la directiva de grupo

La Directiva de grupo puede ofrecer distintos tipos de configuracin. En el caso de algunas configuraciones, es simplemente una cuestin de activarlas mientras que en otros casos son ms complejas de configurar. Esta leccin describe cmo establecer las diversas configuraciones de la Directiva de grupo.

Opciones para establecer la configuracin de la directiva de grupo

Puntos clave Para que la configuracin de una Directiva de grupo produzca efecto alguno, se la debe establecer. La mayora de las configuraciones de la Directiva de grupo cuenta con tres estados. stos son: Habilitada Deshabilitada Sin configurar Tambin se deben establecer los valores para algunas de las configuraciones de la Directiva de grupo. Por ejemplo, se deben configurar las necesidades y valores de la pertenencia restringida a grupos, para los grupos y usuarios. Pregunta: Una directiva en el nivel de dominio restringe el acceso al Panel de control. Se desea que los usuarios de la unidad organizativa (OU) Administradores tengan acceso al Panel de control, pero no se desea bloquear la herencia. Cmo se puede lograr esto? Material de lectura adicional Artculo de Microsoft Technet: How Core Group Policy Works (Cmo funciona

Demostracin: Establecimiento de la configuracin de la Directiva de grupo usando el Editor de directiva de grupo

Pregunta: Cmo se puede impedir que una directiva de nivel inferior invierta la configuracin de una directiva de nivel superior?

Leccin 2: Configuracin de los scripts y la redireccin de carpetas usando la Directiva de grupo

Leccin 2:

Configuracin de scripts y la redireccin de carpetas usando directivas de grupo

Windows Server 2008 permite usar la Directiva de grupo para distribuir scripts a los usuarios y a los equipos. Tambin se pueden redirigir carpetas que se encuentran en el perfil del usuario, desde el disco duro local del usuario a un servidor central.

Opciones de configuracin para la redireccin de carpetas

Pregunta: Los usuarios de un mismo departamento suelen iniciar sesin en equipos diferentes. Necesitan tener acceso a la carpeta Mis documentos. Tambin necesitan que los datos sean privados. Qu configuracin de redireccin de carpetas elegira? Material de lectura adicional Artculo de Microsoft Technet: Recomendaciones para la Redireccin de carpetas

Qu son los scripts de directiva de grupo?

Puntos clave Los scripts de la Directiva de grupo se pueden usar para realizar una gran cantidad de tareas. Puede que se desee realizar tareas cada vez que se inicia o apaga el equipo o cuando los usuarios cierran o inician sesin. Por ejemplo, se pueden usar scripts para limpiar los escritorios cuando los usuarios cierran sesin y apagan sus equipos, o eliminar el contenido de directorios temporales o limpiar el archivo de paginacin para que el entorno sea ms seguro. Pregunta: Se mantienen scripts de inicio de sesin en una carpeta compartida en la red. Cmo podemos asegurarnos de que esos scripts estarn siempre disponibles para los usuarios, en todas las ubicaciones?. Material de lectura adicional Artculo de Microsoft Technet: Los dos aspectos del procesamiento de extensin de la secuencia de comandos de Directiva de grupo Artculo de Microsoft Technet: Los dos aspectos del procesamiento de extensin de la secuencia de comandos de Directiva de grupo (Parte 2) Soporte tcnico de Microsoft: Descripcin general de los scripts para inicio de sesin, cierre de sesin, inicio y apagado, en Windows 2000. Los scripts de la Directiva de grupo se pueden usar para realizar una gran cantidad de tareas. Puede que se desee realizar tareas cada vez que se inicia o apaga el equipo o cuando los usuarios cierran o inician sesin. Por ejemplo, se pueden usar scripts para limpiar los escritorios cuando los usuarios cierran sesin y apagan sus equipos, o eliminar el contenido de directorios temporales o limpiar el archivo de paginacin para que el entorno sea ms seguro. Pregunta: Se mantienen scripts de inicio de sesin en una carpeta compartida en la red. Cmo podemos asegurarnos de que esos scripts estarn siempre disponibles para los usuarios, en todas las ubicaciones? Material de lectura adicional Artculo de Microsoft Technet: Los dos aspectos del procesamiento de extensin de la secuencia de comandos de Directiva de grupo Artculo de Microsoft Technet: Los dos aspectos del procesamiento de extensin de la secuencia de comandos de Directiva de grupo (Parte 2) Soporte tcnico de Microsoft: Descripcin general de los scripts para inicio de sesin, cierre de sesin, inicio y apagado, en Windows 2000.

Demostracin: Configuracin de scripts usando Directiva de grupo

Pregunta: Qu otro mtodo puede usarse para asignar scripts de inicio de sesin a los usuarios?

Qu es la redireccin de carpetas?
Qu es la redireccin de carpetas?

Puntos clave Cuando se redirigen carpetas se cambia la ubicacin de almacenamiento de la carpeta, desde el disco duro local del equipo del usuario a una carpeta compartida en un servidor de archivos en la red. Luego de redirigir una carpeta a un servidor de archivos, al usuario an le aparece como si sta estuviera almacenada en el disco duro local. La redireccin de carpetas hace que las tareas de administracin y realizacin de copias de seguridad de datos sean ms fciles. Al redirigir carpetas, se puede garantizar el acceso de los usuarios a los datos, sin importar desde qu equipos inician sesin. Pregunta: Escriba algunas desventajas de la redireccin de carpetas. Material de lectura adicional Artculo de Microsoft Technet: La caracterstica Redireccin de carpetas en Windows MSDN: IE7 en Vista: Redireccin de carpetas a Favoritos en una misma mquina Descargas de Microsoft: Administrar la gua para la implementacin de datos de usuarios mviles

Opciones de configuracin para la redireccin de carpetas

Puntos clave Existen tres tipos de configuracin disponibles para la redireccin de carpetas: ninguna, bsica y avanzada. La Redireccin bsica de carpetas apunta a usuarios que deban redirigir carpetas a un rea comn y a usuarios que necesitan que sus datos sean privados. La Redireccin avanzada permite especificar diferentes ubicaciones de red para diferentes grupos de seguridad de Active Directory. Pregunta: Los usuarios de un mismo departamento suelen iniciar sesin en equipos diferentes. Necesitan tener acceso a la carpeta Mis documentos. Tambin necesitan que los datos sean privados. Qu configuracin de redireccin de carpetas elegira? Material de lectura adicional Artculo de Microsoft Technet: Recomendaciones para la Redireccin de carpetas

Opciones para brindar seguridad a las carpetas redirigidas

Puntos clave Mientras que debe crear, en forma manual, una carpeta de red compartida en la cual almacenar las carpetas redirigidas, la redireccin de carpetas puede crear las carpetas redirigidas del usuario por usted. Cuando se usa esta opcin, los permisos apropiados se establecen en forma automtica. Si se crean carpetas manualmente, se deben conocer los permisos apropiados. Pregunta: Qu pasos se podran seguir para proteger los datos mientras se encuentran en trnsito entre el cliente y el servidor? Material de lectura adicional Soporte tcnico de Microsoft: Caracterstica Redireccin de carpetas en Windows Biblioteca de Windows Server:Consideraciones de seguridad para configurar la redireccin de carpetas

Demostracin: Configuracin de la redireccin de carpetas

Pregunta: Los usuarios de un mismo departamento desean tener acceso a los Favoritos de Internet de los dems. Qu opciones de redireccin de carpetas elegira?

Leccin 3: Configuracin de plantillas administrativas

Leccin 3:

Configuracin de Plantillas administrativas

Los archivos de plantillas administrativas proveen la mayor parte de la configuracin de directivas disponible, que est diseada para modificar claves especficas del registro. Esto se conoce como directiva basada en el registro. En muchas aplicaciones, el uso de las directivas basadas en el registro que proveen los archivos de plantillas administrativas, es la mejor manera de ofrecer compatibilidad para la administracin centralizada de los valores de directivas y la ms sencilla. En esta leccin se describe cmo configurar plantillas administrativas.

Qu son las Plantillas administrativas?

Puntos clave Las Plantillas administrativas permiten tener el control del entorno del sistema operativo y la experiencia del usuario. Existen dos tipos de plantillas administrativas: una para los usuarios y una para los equipos. Las Plantillas administrativas son el principal medio para establecer la configuracin del registro del equipo cliente por medio de la Directiva de grupo. Las Plantillas administrativas son un repositorio de los cambios basados en el registro. Al usar las secciones de Plantillas administrativas de GPO, se puede implementar una gran cantidad de modificaciones tanto al equipo (el subrbol HKEY_MQUINA-LOCAL del registro) como al usuario (el subrbol HKEY_USUARIO_ACTUAL del registro) del registro. Pregunta: Qu secciones de las Plantillas administrativas resultarn ms tiles en su entorno? Material de lectura adicional Artculo de Microsoft Technet: Usar archivos de Plantillas administrativas con Directiva de grupo basada en el Registro. Artculo de Microsoft Technet: Referencia tcnica de la extensin de las Plantillas administrativas

Demostracin: Configuracin de Plantillas administrativas

Pregunta: Se debe garantizar que Windows Messenger no se pueda ejecutar en un equipo en particular. Cmo podran usarse las plantillas administrativas para implementar esto?

Modificacin de Plantillas administrativas

Puntos clave Debido a que los archivos ADMX estn basados en XML, se puede usar cualquier editor de textos para editar o crear nuevos archivos ADMX. Sin embargo, tambin existen programas compatibles con XML (como Microsoft Visual Studio) que los administradores o programadores pueden usar para crear o modificar archivos ADMX. Una vez que se cuenta con un archivo ADMX vlido, slo se debe ubicarlo en la carpeta Definiciones de directivas o en el almacn central, si alguno de los dos existe. Material de lectura adicional Artculo de Microsoft Technet: Crear un archivo personalizado con base ADMX Descargas de Microsoft: Muestra de archivos ADMX de Directiva de grupo

Demostracin: Agregado de Plantillas administrativas para aplicaciones de Office

Pregunta: Pueden usarse an archivos ADM personalizados para entregar la configuracin de Directiva de grupo en Windows Server 2008?

Discusin: Opciones para el uso de Plantillas administrativas

Leccin 4: Configuracin de las preferencias de la Directiva de grupo

Leccin 4:

Configuracin de las preferencias de la Directiva de grupo

Muchos valores comunes que afectan al entorno de usuario y de equipo pueden no ser entregados por medio de la Directiva de grupo, por ejemplo, las unidades asignadas. Estos valores, por lo general, eran entregados por medio de scripts de inicio de sesin o soluciones de digitalizacin. Windows Server 2008 incluye las nuevas Preferencias de la directiva de grupo, integradas a la Consola de administracin de directivas de grupo (GPMC). Adems, los administradores pueden configurar las preferencias, instalando las Herramientas de administracin de servidor remoto (RSAT) en un equipo con Windows Vista Service Pack 1 (SP1). Esto permite que muchos valores comunes sean entregados por medio de la Directiva de grupo.

Qu son las preferencias de la Directiva de grupo?

Puntos clave Las extensiones de preferencia de la Directiva de grupo son ms de veinte extensiones de la Directiva de grupo que expanden el intervalo de valores configurables dentro de un GPO. La mayor diferencia entre los valores de directivas y los valores de preferencia, es que los valores de preferencia no son impuestos. Esto significa que el usuario final puede modificar cualquier valor de preferencia que se aplica por medio de la Directiva de grupo, sin embargo, la configuracin de las directivas impide que los usuarios las modifiquen.

Diferencia entre la configuracin de la Directiva de grupo y las preferencias

Puntos clave La diferencia clave entre las preferencias y la configuracin de la Directiva de grupo es la obligatoriedad.

Caractersticas de las preferencias de la Directiva de grupo

Puntos clave La mayora de las extensiones de preferencia de la Directiva de grupo son compatibles con las siguientes acciones para cada elemento de preferencia. Crear. Crear un nuevo elemento en el equipo de destino. Eliminar. Eliminar un elemento existente en el equipo de destino. Reemplazar. Eliminar y crear un elemento en el equipo de destino. El resultado es que las preferencias de la Directiva de grupo reemplazan toda la configuracin existente y los archivos que se relacionan con el elemento de preferencia. Actualizar. Modificar un elemento existente en el equipo de destino.

Implementacin de las preferencias de la Directiva de grupo

Puntos clave Las preferencias de la Directiva de grupo no requieren que se instale servicio o servidor alguno. Windows Server 2008 incluye las preferencias de la Directiva de grupo de manera predeterminada, como parte de la Consola de administracin de directivas de grupo (GPMC). Los administradores pueden configurar e implementar las preferencias de la Directiva de grupo en un entorno de Windows Server 2003, instalando las Herramientas de administracin de servidor remoto (RSAT) en un equipo con Windows Vista con SP1.

Demostracin: Implementacin de las preferencias de la Directiva de grupo

Pregunta: Se ha implementado un cierto nmero de preferencias de la Directiva de grupo. Los usuarios informan que no pueden modificar algunos de esos valores. Cul podra ser el problema?

Opciones para modificar la distribucin de software

La implementacin de software en la Directiva de grupo incluye las opciones para configurar el software instalado. Se pueden categorizar los programas que son publicados en el Panel de control y asociar las extensiones de los nombres de archivos con las aplicaciones. Tambin se pueden agregar modificaciones al software implementado. Material de lectura adicional Artculo de Microsoft Technet: Especificar categoras para la administracin de aplicaciones Artculo de Microsoft Technet: Procedimientos recomendados para la Instalacin de software de directiva de grupo, especificar opciones de instalacin automtica basada en la seccin de extensin del nombre del archivo Artculo de Microsoft Technet: Agregar y eliminar modificaciones de un paquete de aplicaciones

Demostracin: Modificacin de la distribucin de software

Pregunta: Se quiere implementar una utilidad administrativa para los miembros del grupo de seguridad Administradores de dominio. Estas utilidades deben estar disponibles en cualquier equipo en que un administrador inicie sesin, pero slo deben instalarse cuando sea necesario. Cul es el mejor mtodo para lograrlo?

Realizacin del mantenimiento de software usando la Directiva de grupo

Puntos clave A veces un paquete de software necesitar ser actualizado a una nueva versin. La ficha Actualizaciones permite actualizar un paquete usando el GPO. Tambin se puede re-implementar un paquete si el archivo original de Instalador de Windows ha sido modificado. Se pueden eliminar paquetes de software si fueron distribuidos originariamente usando la Directiva de grupo. La eliminacin puede ser obligatoria u opcional. Pregunta: La organizacin se est actualizando a una nueva versin de un paquete de software. Algunos usuarios de la organizacin necesitan la versin anterior. Cmo se implementara la actualizacin? Material de lectura adicional Artculo de Microsoft Technet: Establecer las predeterminaciones de la Instalacin de software de la directiva de grupo

Discusin: Evaluacin del uso de la Directiva de grupo para implementar software

Laboratorio: Configuracin de entornos de usuario usando la Directiva de grupo

Escenario El Woodgrove Bank ha decidido implementar la Directiva de grupo para administrar los escritorios de los usuarios. La organizacin ya ha implementado una configuracin de unidad organizativa (OU) que incluye unidades organizativas de mximo nivel agrupadas por ubicacin, con unidades organizativas adicionales dentro de cada ubicacin para los distintos departamentos. Las cuentas de usuario se encuentran ubicadas dentro del mismo contenedor que las cuentas del equipo de la estacin de trabajo. Las cuentas del equipo servidor se encuentran distribuidas entre diversas unidades organizativas. El administrador de la empresa ha creado un diseo de GPO que ser usado para administrar el entorno de escritorio de usuario. Se le ha solicitado que configure los Objetos de la directiva de grupo para que se apliquen valores especficos a los escritorios y equipos de los usuarios. Nota: Algunas de las tareas de este laboratorio estn diseadas para ilustrar las tcnicas de administracin y configuracin de GPO, pero puede que no siempre sigan los procedimientos recomendados.

Ejercicio 1: Configuracin de scripts y la redireccin de carpetas

Ejercicio 1: Configuracin de scripts y la redireccin de carpetas
Escenario Se le ha encargado la tarea de crear un script que asignar una unidad de red a la carpeta compartida denominada Datos en NYC-DC1. Luego usar la Directiva de grupo para asignar el script a todos los usuarios en las unidades organizativas Toronto, Miami y NYC. El script debe ser almacenado en una ubicacin altamente disponible. Tambin establecer permisos para compartir y asegurar una carpeta en NYC-DC1. La carpeta de Documentos ser redirigida all para todos los miembros de la unidad organizativa ejecutiva. Las principales tareas para este ejercicio son: 1. Iniciar las mquinas virtuales y luego iniciar sesin. 2. Crear un script de inicio de sesin para asignar la carpeta compartida Datas. 3. Usar la Directiva de grupo para copiar el script a los recursos compartidos NetLogon y luego asignar el script a las unidades organizativas apropiadas. 4. Compartir y asegurar una carpeta para el grupo Ejecutivos. 5. Redirigir la carpeta Documentos para el grupo Ejecutivos.
Tarea 1: Iniciar las mquinas virtuales y luego iniciar sesin.

1. En la mquina host, haga clic en Inicio, elija Todos los programas, seleccione Microsoft Learning y luego, haga clic en 6824A. Se inicia Iniciador de laboratorio. 2. En Iniciador de laboratorio, junto a 6824A-NYC-DC1, haga clic en Iniciar. 3. Inicie sesin en NYC-DC1 como Administrador , usando la contrasea Pa$$w0rd. 4. Minimice la ventana Iniciador de laboratorio.
Tarea 2: Crear un script de inicio de sesin para asignar la carpeta compartida Datos.

1. Inicie Bloc de [Link] 2. En Bloc de notas, escriba el comando Net Use J: \\NYC-DC1\Datos 3. Cierre y guarde el archivo como C:\[Link]. 4. Asegrese de que el campo de tipo Guardar como diga Todos los archivos.
Tarea 3: Usar la Directiva de grupo para copiar el script a los recursos compartidos NetLogon y luego asignar el script a las unidades organizativas apropiadas.

1. Abra la ventana Explorador de Windows y copie C:\[Link] al portapapeles y luego cierre la ventana Explorador de Windows. 2. Inicie la GPMC y luego cree una nueva Directiva de grupo denominada Script de inicio de sesin. 3. Edite la directiva expandiendo la Configuracin del usuario y Configuracin de Windows y luego haciendo clic en Scripts (Inicio de sesin o cierre de sesin). 4. Abra Propiedades del script de inicio de sesin del GPO, haga clic en Mostrar archivos, haga clic con el botn secundario y clic en Pegar para copiar el script desde el portapapeles a la carpeta de scripts, luego cierre el Explorador. 5. En el cuadro de dilogo Propiedades de inicio de sesin, haga clic en Agregar . 6. En el cuadro de dilogo Agregar un script haga clic en Buscar. 7. En el cuadro de dilogo Buscar , seleccione el archivo [Link].

8. Cierre Editor de administracin de directiva de grupo. 9. Establezca un vnculo entre la Directiva script de inicio de sesin y las unidades organizativas de Miami, NYC y Toronto.
Tarea 4: Compartir y asegurar una carpeta para el grupo Ejecutivos.

1. En el Windows Explorer, abra Propiedades de la carpeta D:\6824\EjecDatos. 2. Haga clic en la ficha Compartir y luego en Uso compartido avanzado. 3. Seleccione la casilla Compartir esta carpeta y luego haga clic en Permisos. 4. Eliminar el grupo Todos. 5. Agregar Ejecutivos_WoodgroveGG y luego concdales Control total. 6. Haga clic en la ficha Seguridad y luego en Avanzado. 7. En la ficha Permisos, haga clic en Editar , desactive la casilla junto a Incluir permisos heredables del primario de este objeto y luego copie los permisos. 8. Elimine todos los usuarios y grupos excepto Dueo creador y Sistema. 9. Agregue los Ejecutivos_WoodgroveGG y luego asigne los permisos Listar carpetas/Leer datos y Crear carpetas/anexar datos, Slo a esta carpeta. 10. Cierre las propiedades y luego cierre el Explorador de Windows.
Tarea 5: Redirigir la carpeta Documentos al grupo Ejecutivos.

1. Cree un nuevo GPO denominado Redireccionamiento ejecutivo. 2. Edite la directiva: Expanda Configuracin de usuario, Directivas, Configuracin de Windows y Redireccin de carpetas, haga clic con el botn secundario en Documentos y luego haga clic en Propiedades. 3. En la ficha Destino, establezca la configuracin para que sea: Bsico: Redirigir la carpeta de todos a la misma ubicacin. 4. Deje la ubicacin de la carpeta de destino con la configuracin predeterminada y luego escriba: \\NYCDC1\Ejec Datos en el campo Ruta de raz. 5. Establezca un vnculo entre la directiva y la unidad organizativa Ejecutivos. Resultado: Al finalizar este ejercicio, habr configurado la redireccin de scripts y carpetas. Ejercicio 1: Respuestas claves (pasos detallados)

Ejercicio 2: Configuracin de plantillas administrativas

Ejercicio 2: Configuracin de plantillas administrativas
Escenario Se le ha solicitado que cree y asigne Plantillas administrativas de Directiva de grupo para controlar el entorno de equipos y usuarios. Todos los equipos tendrn aplicada la siguiente configuracin: Permitir la administracin remota entrante. Deteccin de vnculo lento configurado a 800 kbps. Los equipos de las unidades organizativas Miami, Toronto y NYC, impedirn la instalacin de dispositivos extrables. Los equipos de la unidad organizativa Ejecutiva tendrn cifrados los archivos sin conexin. Todos los usuarios de dominio tendrn aplicada la siguiente configuracin: Las herramientas para editar el registro estarn prohibidas. Se quitar el reloj de la barra de tareas. Adems, los usuarios de las unidades organizativas Miami, Toronto y NYC tendrn aplicada la siguiente configuracin: Los perfiles estarn limitados a 1 gigabyte (GB) de tamao. La Barra lateral de Windows estar desactivada. Las principales tareas para este ejercicio son: 1. Modificar las Directivas de dominio predeterminadas para que contengan la configuracin de todos los equipos. 2. Crear y asignar un GPO para impedir la instalacin de dispositivos extrables en los equipos de las sucursales. 3. Crear y asignar un GPO para cifrar los archivos sin conexin en los equipos ejecutivos. 4. Crear y asignar un GPO en el nivel de dominio para todos los usuarios de dominio. 5. Crear y asignar un GPO para limitar el tamao del perfil y desactivar la Barra lateral de Windows para los usuarios de las sucursales.
Tarea 1: Modificar las Directivas de dominio predeterminadas para que contengan la configuracin de todos los equipos.

1. En la GMPC, edite la Directiva de dominio predeterminado: expanda Configuracin del equipo, expanda Directivas, luego Plantillas administrativas, Red, Conexiones de red, Firewall de Windows y luego Perfil del dominio. En el panel de detalles, haga doble clic en Firewall de Windows: Permitir la excepcin de administracin remota de entrada. 2. Habilite la directiva para la subred local en Permitir mensajes entrantes no solicitados de estas direcciones IP: 3. Expanda Configuracin del equipo, luego expanda Plantillas administrativas, Sistema y Directivas de grupo. 4. Habilite Deteccin de vnculo de baja velocidad de la Directiva de grupo para que sea a 800kbps.
Tarea 2: Crear y asignar un GPO para impedir la instalacin de dispositivos extrables en los equipos de las sucursales.

1. Cree un nuevo GPO denominado Impedir dispositivos extrables . 2. Edite el GPO expandiendo Configuracin del equipo, luego Directivas, Plantillas administrativas, Sistema, Instalacin de dispositivos y luego Restricciones de la instalacin de dispositivos. 3. Habilite la configuracin Impedir la instalacin de dispositivos extrables. 4. Establezca un vnculo entre la directiva Impedir dispositivos extrables y las unidades organizativas Miami, NYC y Toronto.

Tarea 3: Crear y asignar un GPO para cifrar los archivos sin conexin en los equipos ejecutivos.

1. Cree un nuevo GPO denominado Cifrado de archivos sin conexin. 2. Edite la directiva expandiendo Configuracin del equipo, luego Directivas, Plantillas administrativas, Red y por ltimo Archivos sin conexin. 3. Habilite el Cifrado de la memoria cach de archivos sin conexin. 4. Establezca un vnculo entre el GPO y la unidad organizativa Ejecutivos.
Tarea 4: Crear y asignar un GPO en el nivel de dominio para todos los usuarios de dominio.

1. Cree un Nuevo GPO denominado Directiva para todos los usuarios. 2. Expanda Configuracin del usuario, luego Directivas, Plantillas administrativas y, por ltimo, Sistema. 3. Habilite la configuracin Impedir acceso a herramientas de edicin del registro. 4. Haga clic en el men Inicio y Barra de tareas. 5. Habilite Quitar el reloj del rea de notificacin del sistema. 6. Establezca un vnculo entre el GPO y el domino [Link].
Tarea 5: Crear y asignar una directiva para limitar el tamao del perfil y desactivar la Barra lateral de Windows para los usuarios de las sucursales.

1. Cree un nuevo GPO denominado Directivas para los usuarios de sucursales. 2. Edite el GPO expandiendo Configuracin del usuario, luego Directivas, Plantillas administrativas, Sistema y por ltimo Perfiles del usuario. 3. Habilite el Lmite de tamao para el perfil a un valor de 1000000. 4. Expanda Configuracin del usuario, luego expanda Directivas, Plantillas administrativas, Componentes de Windows y luego Windows Sidebar . 5. Habilite la configuracin Windows Sidebar . 6. Establezca un vnculo entre el GPO denominado Directivas para usuarios de sucursales y las unidades organizativas de Miami, NYC y Toronto. Resultado: Al finalizar este ejercicio, habr configurado Plantillas administrativas. Ejercicio 2: Respuestas claves (pasos detallados)

Ejercicio 3: Configuracin de preferencias

Ejercicio 3: Configuracin de preferencias
Escenario Se le ha solicitado que cree y asigne Preferencias de directiva de grupo para controlar el entorno de equipos y usuarios. Agregue un acceso directo a Bloc de [Link] al escritorio NYC-DC1. Cree una carpeta nueva denominada Informes en la unidad C: de todos los equipos que se estn ejecutando. Configure el men Inicio para equipos con Windows Vista. Las principales tareas para este ejercicio son: 1. Agregar un acceso directo a Bloc de [Link] al escritorio NYC-DC1. 2. Crear una carpeta nueva denominada Informes en la unidad C: de todos los equipos con Windows Server 2008. 3. Configurar el men Inicio para equipos con Windows Vista.
Tarea 1: Agregar un acceso directo a Bloc de [Link] al escritorio NYC-DC1.

1. En la GMPC, edite las Preferencias de directivas de dominio predeterminado: 2. Edite las preferencias de Configuracin de Windows para crear un acceso directo denominado Bloc de notas, con los siguientes parmetros: 3. Ubicacin: Todos los usuarios\ Escritorio 4. Ruta de destino: C:\Windows\Sistema32\Bloc de [Link] 5. En la ficha Comn, configure el nivel del elemento que tiene como destino el nombre de equipo NYC-DC1.
Tarea 2: Crear una carpeta nueva denominada Informes en la unidad C: de todos los equipos con Windows Server 2008

1. En la Configuracin del equipo, Preferencias de la configuracin de Windows, cree una nueva carpeta. 2. Configure la ruta para que sea: C:\Informes. 3. En la ficha Comn, configure el nivel del elemento que tiene como destino el Sistema operativo Windows Server 2008.
Tarea 3: Configurar el men Inicio para los equipos con Windows Vista.

1. Expanda Configuracin del usuario, luego Preferencias y luego Configuracin del panel de control y cree un nuevo objeto de men Inicio para Windows Vista. 2. Configure el men Inicio para que elimine la carpeta Juegos y para que agregue las herramientas administrativas del sistema al men Todos los programas. Resultado: Al finalizar este ejercicio, habr configurado las Preferencias. Ejercicio 3: Respuestas claves (pasos detallados)

Ejercicio 4: Comprobacin de la aplicacin de GPO

Ejercicio 4: Comprobacin de la aplicacin de GPO
Escenario Inicie sesin como diversos usuarios de dominio para comprobar la aplicacin de Directiva de grupo. Use el Conjunto resultante de directivas (RSoP) de la directiva de grupo para comprobar que los GPO se estn aplicando correctamente. Las principales tareas para este ejercicio son: 1. Comprobar que las preferencias hayan sido aplicadas. 2. Iniciar la mquina virtual 6824A-NYC-CL1 y luego iniciar sesin como Woodgrovebank\Administrador y observar la configuracin aplicada. 3. Iniciar sesin como usuario en la unidad organizativa Ejecutivos y observar la configuracin aplicada. 4. Iniciar sesin como usuario de una sucursal y observar la configuracin aplicada. 5. Usar la GPMC en NCY-DC1 para la revisar los resultados de la Directiva de grupo. 6. Cerrar todas las mquinas virtuales y descartar los discos para deshacer.
Tarea 1: Comprobar que las preferencias hayan sido aplicadas.

1. Cierre sesin en NYC-DC1 y luego, inicie sesin como Administrador usando la contrasea Pa$$w0rd. 2. En el escritorio, compruebe que se ha creado un acceso directo para el Bloc de notas. 3. Compruebe que se haya creado una carpeta denominada Informes en la unidad C:. 4. Compruebe que las Herramientas administrativas aparezcan en el men Inicio y que la carpeta Juegos no se muestre.
Tarea 2: Iniciar la mquina virtual 6824A-NYC-CL1 y luego, iniciar sesin como Woodgrovebank\Administrador y observar la configuracin aplicada.

1. Abra el Cliente de control remoto para servidor virtual y luego haga doble clic en 6824A-NYC-CL1. 2. Inicie sesin en NYC-CL1 como Administrador , usando la contrasea Pa$$w0rd. Cierre sesin y luego inicie sesin como Administrador. Nota: Se requieren dos inicios de sesin debido a las credenciales almacenadas en una memoria cach. 3. Asegrese de que el Reloj no se muestre en el rea de notificacin. 4. Haga clic con el botn secundario en la Barra de tareas, luego en Propiedades y por ltimo haga clic en la ficha del rea de notificacin. Compruebe que no tiene habilitada la opcin Mostrar reloj y luego haga clic en Aceptar. 5. Cierre sesin en NYC-CL1.
Tarea 3: Iniciar sesin como usuario en la unidad organizativa Ejecutivos y observar la configuracin aplicada.

1. Inicie sesin en NYC-CL1 como Tony, usando la contrasea Pa$$w0rd. Asegrese de que el Reloj no se muestre en el rea de notificacin. 2. Haga clic en Inicio, haga clic con el botn secundario en la carpeta Documentos y luego en Propiedades. Asegrese de que la ubicacin sea \\nyd-dc1\execdata\tony. 3. Haga clic en Inicio, escriba Regedt32 en el cuadro de bsqueda y luego presione ENTER. Asegrese de que se ha deshabilitado la Modificacin del registro. 4. Asegrese de que no se muestre la Barra lateral de Windows.

5. Cierre sesin en NYC-CL1.

Tarea 4: Iniciar sesin como usuario en una sucursal y observar la configuracin aplicada.

1. Inicie sesin en NYC-CL1 como Roya, usando la contrasea Pa$$w0rd. Asegrese de que el Reloj no se muestre en el rea de notificacin. 2. Haga clic en Inicio, haga clic con el botn secundario en la carpeta Documentos y luego en Propiedades. Asegrese de que la ubicacin sea C:\Usuarios\Roya. 3. Haga clic en Inicio, escriba Regedt32 en el cuadro de bsqueda y luego presione ENTER. Asegrese de que se ha deshabilitado la Modificacin del registro. 4. Asegrese de que no se muestre la Barra lateral de Windows. 5. Haga clic en Inicio y luego abra Equipo. Asegrese de que la unidad J: se encuentre asignada para Compartir datos. 6. Cierre sesin en NYC-CL1.
Tarea 5: Usar la GPMC en NCY-DC1 para revisar los resultados de la Directiva de grupo.

1. Restaure la GPMC en NYC-DC1. 2. Haga clic con el botn secundario en Resultados de directivas de grupo y luego haga clic en el Asistente para los resultados de directivas de grupo. 3. Seleccione el equipo Woodgrovebank\NYC-CL1. 4. Seleccione Woodgrovebank\Tony como usuario. 5. En la pantalla Resumen, haga clic en Siguiente y luego en Finalizar . 6. En el Resumen del informe de los resultados de directivas de grupo, expanda la seccin Objetos de directiva de grupo. 7. Haga clic en la ficha Configuracin y luego expanda Plantillas administrativas. 8. Cierre la GPMC.
Tarea 6: Cerrar todas las mquinas virtuales y descartar los discos para deshacer

1. Por cada mquina virtual que se encuentre en funcionamiento, cierre la ventana de Control remoto de la mquina virtual. 2. En el cuadro Cerrar , seleccione Cerrar el equipo y descartar los cambios y despus haga clic en Aceptar. 3. Cierre el Iniciador de laboratorio 6824A. Resultado: Al finalizar este ejercicio, habr comprobado una aplicacin de GPO. Ejercicio 4: Respuestas claves (pasos detallados)

Revision y conclusiones del modulo

Revisin y conclusiones del mdulo

Observaciones Cuando se configuran entornos de usuario usando la Directiva de grupo, se debe considerar lo siguiente: La Configuracin de directivas habilitada, impone una configuracin. La Configuracin de directivas deshabilitada, revierte una configuracin. La Configuracin de directivas que no se encuentra establecida no es afectada por la Directiva de grupo. Los scripts pueden ser aplicados al usuario o equipo por medio de la Directiva de grupo. Los scripts pueden ser escritos en mltiples lenguajes. Almacenar los scripts usando los recursos compartidos NetLogon hace que estn altamente disponibles. Algunas carpetas pueden ser redirigidas desde el perfil de los usuarios a una carpeta compartida en la red. Distintos grupos de seguridad pueden ser redirigidos a diferentes ubicaciones de red. Las Plantillas administrativas aplican configuraciones modificando el registro para el usuario y el equipo. Los archivos ADMX se pueden personalizar. Se puede distribuir software va Directiva de grupo por medio de archivos .MSI. Se puede publicar software a usuarios o asignarlos a usuarios o equipos. El software asignado a los usuarios son especficos para esos usuarios. El software asignado a los equipos se encuentra disponible para todos los usuarios de ese equipo. El software puede ser modificado y mantenido por medio de la Directiva de grupo. El software puede ser eliminado por medio de la Directiva de grupo. Preguntas de revisin 1. Se le ha asignado un script de inicio de sesin en una unidad organizativa por medio de la Directiva de grupo. El script se encuentra ubicado en una carpeta de red compartida denominada Scripts. Algunos usuarios de la unidad organizativa reciben el script y otros no. Cul puede ser la causa de esto?

2. Qu pasos se podran seguir para evitar que vuelva a ocurrir este tipo de problemas? 3. Tiene dos scripts de inicio de sesin asignado a los usuarios. script1 y script2. El Script2 depende de la correcta complecin del script1. Los usuarios informan que el script2 nunca se ejecuta. Cul es el problema y cmo lo resolvera?

Modulo 7 : Implementacin de la seguridad usando Directiva de grupo

Mdulo 7

Implementacin de la seguridad usando Directiva de grupo

No contar con las directivas de seguridad adecuadas puede traer muchos riesgos para una organizacin. Una directiva de seguridad diseada de manera apropiada ayuda a proteger la inversin de una organizacin en lo que se refiere a la informacin corporativa y los recursos internos, como por ejemplo hardware y software. Sin embargo, contar solamente con una directiva de seguridad no es suficiente. Se debe implementar la directiva para que sea efectiva. Se puede aprovechar Directiva de grupo para estandarizar la seguridad y de este modo controlar el entorno.

Leccin 1: Configuracin de directivas de seguridad Leccin 2: Implementacin de directivas de contrasea de personalizacin avanzada Leccin 3: Restriccin de pertenencia a grupos y acceso a software Leccin 4: Administracin de la seguridad usando plantillas de seguridad Laboratorio: Implementacin de la seguridad usando la Directiva de grupo

Leccin 1: Configuracin de directivas de seguridad

Leccin 1:

Configuracin de directivas de seguridad

Directiva de grupo brinda una configuracin que se puede usar para implementar la seguridad en su organizacin. Por ejemplo, se puede usar la configuracin de Directiva de grupo para brindar mayor seguridad a las contraseas, al inicio y a los permisos para los servicios del sistema. Esta leccin describe la informacin y las destrezas necesarias para configurar las directivas de seguridad.

Qu son las directivas de seguridad?

Puntos clave Las directivas de seguridad son reglas para proteger los recursos en los equipos y las redes. Directiva de grupo permite configurar varias de dichas reglas como valores de Directiva de grupo. Por ejemplo, se pueden configurar directivas de contrasea como parte de Directiva de grupo. Directiva de grupo cuenta con una amplia seccin de seguridad para configurar la seguridad tanto de los usuarios como de los equipos. De esta manera, se puede implementar la seguridad de manera constante en todas las unidades organizativas (OU) en Servicios de dominio de Active Directory (AD DS), definiendo la configuracin de seguridad en un Objeto de directiva de grupo que est asociado a un sitio, dominio o unidad organizativa. Material de lectura adicional Artculo de Microsoft Technet: Configuracin de seguridad Artculo de Microsoft Technet: Group Policy Security Settings (Configuracin de seguridad de Directiva de grupo)

Qu es Directiva de seguridad de dominio predeterminada?

Puntos clave La directiva de dominio predeterminada est vinculada al dominio y por lo tanto influye en todos los objetos del dominio a menos que un GPO que se ha aplicado en un nivel inferior bloquee o invalide los valores antes mencionados. Esta directiva cuenta con muy pocos valores configurados de manera predeterminada. Aunque Directiva predeterminada de dominio cuenta con todos los valores y capacidades de cualquier GPO, se recomienda usar dicha directiva solamente para entregar Directivas de cuenta. Se debe crear otros GPO para entregar una configuracin diferente. Material de lectura adicional Artculo de Microsoft Technet: Gua de seguridad de Windows Server 2003, Captulo 3: Directiva de dominio

Qu son las directivas de cuenta?

Puntos clave Las directivas de cuenta protegen las cuentas y los datos de su organizacin mitigando la amenaza de que las contraseas de las cuentas puedan ser descifradas por fuerza bruta. En los sistemas operativos de Windows y en muchos otros, el mtodo ms comn para autenticar la identidad de un usuario se basa en usar una contrasea secreta. Una mayor seguridad para su entorno de red exige que todos los usuarios usen contraseas seguras. La configuracin de la directiva de contrasea controla la complejidad y la duracin de las contraseas. Se puede establecer la configuracin de la directiva de contrasea a travs de Directiva de grupo. Material de lectura adicional Artculo de Microsoft Technet: Account Passwords and Policies (Directivas y contraseas de cuenta)

Qu son las directivas locales?

Puntos clave Cada uno de los equipos con Windows2000 Server o posterior cuentan exactamente con un Objeto de directiva de grupo local (LGPO). En este objeto, los valores de Directiva de grupo se almacenan en equipos individuales, sin importar si forman parte de un entorno de Active Directory. El LGPO se almacena en una carpeta oculta denominada %windir%\sistema32\Directiva de grupo. Esta carpeta no existir hasta que se haya configurado un LGPO.

Qu son las Directivas de seguridad de red?

Puntos clave Automatizar los valores de configuracin de un equipo cliente es un paso fundamental para reducir el costo de implementacin de la seguridad de redes y reducir los problemas de compatibilidad que resultan de los valores configurados incorrectamente. Con Windows Server 2003, se poda automatizar la configuracin inalmbrica del cliente usando la configuracin de Directivas de red inalmbrica en Directiva de grupo. Windows Server 2008 y Windows Vista incluyen nuevas caractersticas para las directivas de red y Directiva de grupo es compatible con la configuracin de autenticacin 802.1X para conexiones almbricas e inalmbricas. Material de lectura adicional: Artculo de Microsoft Technet: Joining a Windows Vista Wired Client to a Domain (Unir un cliente almbrico de Windows Vista a un dominio) Artculo de Microsoft Technet: Captulo 6: Diseo de la seguridad para LAN inalmbrica mediante 802.1X Artculo de Microsoft Technet: Configuracin de la Directiva de grupo inalmbrica para Windows Vista Artculo de Microsoft Technet: Definir directivas de red inalmbrica basadas en Active Directory

Firewall de Windows con seguridad avanzada

Puntos clave Windows Vista y Windows Server 2008 incluyen una nueva y mejorada versin del Firewall de Windows. El nuevo Firewall de Windows es un firewall basado en host con estado que permite o bloquea el trfico de red segn su configuracin. Material de lectura adicional Artculo de Microsoft Technet: The New Windows Firewall in Windows Vista and Windows Longhorn (Nuevo Firewall de Windows en Windows Vista y Windows Longhorn)

Demostracin: Descripcin general de la configuracin de seguridad adicional

Pregunta: Es necesario garantizar que no se permita la ejecucin de servicio particular en cualquiera de los servidores de red. Cmo se lograra esto?

Demostracin: Qu es Directiva de seguridad de controlador de dominio predeterminada?

Pregunta: Cul es el intervalo de actualizacin predeterminado de Directiva de grupo para los controladores de dominio?

Leccin 2: Implementacin de directivas de contrasea de personalizacin avanzada

Leccin 2:

Implementacin de directivas de contrasea de personalizacin avanzada

En Windows Server 2008, usando directivas de contrasea de personalizacin avanzada se pueden permitir diferentes requisitos de contrasea y directivas de bloqueo de cuenta para diversos usuarios o grupos de Active Directory. Esta leccin describe la informacin y las destrezas para implementar directivas de contrasea de personalizacin avanzada.

Qu son las directivas de contrasea de personalizacin avanzada?

Puntos clave En versiones anteriores de AD DS, se poda aplicar solamente una directiva de contrasea y de bloqueo de cuenta a todos los usuarios del dominio. Las directivas de contrasea de personalizacin avanzada permiten contar con requisitos de contrasea y directivas de bloqueo de cuenta diferentes para diversos usuarios o grupos de Active Directory. Esto es conveniente cuando se desea que conjuntos diferentes de usuarios cuenten con requisitos de contrasea distintos, pero no se desean dominios individuales. Por ejemplo, es posible que el grupo Admins de Dominio necesite requisitos de contrasea estrictos a los que no deben estar sujetos los usuarios comunes. En caso de no implementar contraseas de personalizacin avanzada, las directivas de cuenta de dominio predeterminadas normales se aplicarn a todos los usuarios. Pregunta: Cmo usara contraseas de personalizacin avanzada en su entorno? Material de lectura adicional Artculo de Microsoft Technet: AD DS: Fine-Grained Password Policies (AD DS: Directivas de contrasea de personalizacin avanzada)

Cmo se implementan las directivas de contrasea de personalizacin avanzada

Puntos clave Para almacenar directivas de contrasea de personalizacin avanzada, Windows Server 2008 incluye dos nuevas clases de objetos en el esquema de Active Directory. Estos son: Contenedor de configuraciones de contrasea (PSC) Objeto de configuracin de contraseas (PSO) La clase del objeto del PSC se crea de manera predeterminada en el Contenedor del sistema en el dominio, que almacena los PSO del dominio. No se puede cambiar el nombre, mover o eliminar este contenedor. Pregunta: Cmo se podra ver el Contenedor de configuraciones de contrasea en Usuarios y equipos de Active Directory? Material de lectura adicional Artculo de Microsoft Technet: AD DS: Fine-Grained Password Policies (AD DS: Directivas de contrasea de personalizacin avanzada)

Implementacin de directivas de contrasea de personalizacin avanzada

Puntos clave Existen tres pasos principales necesarios para la implementacin de contraseas de personalizacin avanzada: Crear grupos necesarios y agregar usuarios apropiados. Crear los PSO para todas las directivas de contrasea definidas. Aplicar los PSO para los usuarios apropiados o grupos de seguridad global. Pregunta: En su organizacin, un grupo de usuarios trabaja regularmente con archivos confidenciales. Es necesario garantizar que todos estos usuarios tengan implementadas directivas de cuenta estrictas. Las cuentas de usuario estn distribuidas en mltiples unidades organizativas. Cmo lograra esto con el menor esfuerzo administrativo posible? Material de lectura adicional Artculo de Microsoft Technet: Step by Step Guide for Fine-Grained Password and Account Lockout Policy Configuration (Gua paso a paso para la configuracin de contraseas de personalizacin avanzada y directivas de bloqueo de cuenta)

Demostracin: Implementacin de directivas de contrasea de personalizacin avanzada

Pregunta: Qu utilidades estn disponibles para administrar los PSO? Elija todas las que correspondan. Edicin de ADSI GPMC CSVDE LDIFDE NTDSUtil Usuarios y equipos de Active Directory

Leccin 3: Restriccin de pertenencia a grupos y acceso a software

Leccin 3:

Restriccin de pertenencia a grupos y acceso a software

En un entorno de red extenso, uno de los desafos de la seguridad de red es el de controlar la pertenencia a los grupos integrados en el directorio y en las estaciones de trabajo. Otra cuestin es evitar el acceso a software no autorizado en las estaciones de trabajo.

Qu es la pertenencia a grupos restringidos?

Puntos clave En algunos casos, es posible que desee controlar la pertenencia a ciertos grupos en un dominio para evitar que se agreguen otras cuentas de usuario a esos grupos, como por ejemplo al grupo de administradores locales. Se puede usar la Directiva de grupos restringidos para controlar la pertenencia a grupos. Use la directiva para especificar qu miembros se ubican en un grupo. Si se define una Directiva de grupos restringidos y se actualiza Directiva de grupo, se eliminar cualquier miembro actual de un grupo que no se encuentre en la lista de miembros de la Directiva de grupos restringidos. Pueden incluirse los miembros predeterminados, como por ejemplo los administradores de dominio. A pesar de que se pueden controlar los grupos de dominio asignando directivas de grupos restringidos a los controladores de dominio, se debe utilizar en primer lugar dicha configuracin para establecer la pertenencia a grupos fundamentales, como por ejemplo Enterprise Admins y Schema Admins. Adems puede usar esta configuracin para controlar la pertenencia a los grupos locales integrados en estaciones de trabajo y servidores miembro. Por ejemplo, se puede colocar el grupo Helpdesk en el grupo local Administradores en todas las estaciones de trabajo. No se pueden especificar los usuarios locales en un GPO de dominio. Se eliminarn todos los usuarios locales que actualmente formen parte de un grupo local controlado por la directiva. La nica excepcin es que la cuenta local Administradores siempre se encontrar en el grupo local Administradores. Pregunta: Su empresa cuenta con cinco servidores web ubicados fsicamente en toda Amrica del Norte. Las cuentas de equipo del servidor web se encuentran ubicadas en una nica unidad organizativa. Desea otorgarles a todos los usuarios en el grupo global denominado Web_Backup el derecho para hacer copias de seguridad y restaurar servidores web. Cmo se podra usar Directiva de grupo para lograrlo? Material de lectura adicional Artculo de Microsoft Technet: Grupos restringidos Artculo de Microsoft Technet: Group Policy Security Settings (Configuracin de seguridad de Directiva de grupo)

Demostracin: Configuracin de la pertenencia a grupos restringidos

Pregunta: Se cre una Directiva de grupo que agrega el grupo Helpdesk al grupo local Administradores y se vincul la directiva con una unidad organizativa. En esta instancia, Administradores de dominio ya no cuentan con autoridad administrativa sobre los equipos en dicha unidad organizativa. Cul es el problema ms frecuente y cmo se resolvera?

Qu es la directiva de restriccin de software?

Puntos clave Quizs se desee restringir el acceso a software para evitar que los usuarios ejecuten determinadas aplicaciones o tipos de aplicaciones, como por ejemplo VBscripts. La directiva de restriccin de software brinda a los administradores un mecanismo controlado por directivas para identificar software y controlar su capacidad para ejecutarse en un equipo cliente. Pregunta: Cuenta con una cierta cantidad de equipos en un grupo de trabajo. Necesita restringir el acceso a una determinada aplicacin para que solamente se les permita a los miembros del grupo Administradores iniciar la aplicacin. Cmo se lograra esto? Material de lectura adicional Artculo de Microsoft Technet: Uso de directivas de restriccin de software para proteger contra software no autorizado

Opciones para configurar directivas de restriccin de software

Puntos clave Las directivas de restriccin de software usan reglas para determinar si se permite ejecutar una aplicacin. Cuando se crea una regla, en primer lugar se identifica la aplicacin. Luego se la debe identificar como una excepcin para el valor predeterminado de la directiva, ya sea No restringido o No permitido. El motor de aplicacin consulta las reglas en la directiva de restriccin de software antes de permitir que se ejecute un programa. Pregunta: Necesita restringir el acceso a una aplicacin en particular sin importar en qu ubicacin del directorio se ha instalado. Qu tipo de regla debera usar? Material de lectura adicional Artculo de Microsoft Technet: Uso de directivas de restriccin de software para proteger contra software no autorizado

Demostracin: Configuracin de Directivas de restriccin de software

Pregunta: Desea garantizar que se permitan ejecutar solamente los scripts de Visual Basic firmados digitalmente. Qu tipo de regla debera usar?

Leccin 4: Administracin de la seguridad usando plantillas de seguridad

Leccin 4:

Administracin de la seguridad usando plantillas de seguridad

Una directiva de seguridad es un grupo de valores de seguridad que influye en la seguridad del equipo. Se puede usar una directiva de seguridad para establecer directivas locales y de cuenta en su equipo local y en Active Directory. Se pueden crear plantillas de seguridad a modo de ayuda para crear directivas de seguridad y cumplir con las necesidades de seguridad de la empresa. Pueden usarse dichas plantillas para configurar los valores de seguridad asignados a los equipos, ya sea manualmente o a travs de Directiva de grupo.

Qu son las plantillas de seguridad?

Puntos clave Una plantilla de seguridad es un grupo de valores de seguridad configurados. Se pueden usar plantillas de seguridad predefinidas como base para crear directivas de seguridad que pueden personalizarse a fin de satisfacer sus necesidades o crear nuevas plantillas. Para crear o personalizar plantillas, debe usar el complemento Plantillas de seguridad. Despus de crear una nueva plantilla o personalizar una plantilla de seguridad predefinida, puede usarla para configurar la seguridad en un equipo individual o en numerosos equipos. Estas plantillas contienen una configuracin de seguridad para todas las reas de seguridad. Material de lectura adicional Artculo de Microsoft Technet: Plantillas de seguridad

Demostracin sobre la aplicacin de plantillas de seguridad

Pregunta: Cuenta con mltiples servidores de base de datos ubicados en diferentes unidades organizativas. Cul es la manera ms simple de aplicar una configuracin de seguridad consistente con todos los servidores de base de datos?

Qu es el Asistente para configuracin de seguridad?

Puntos clave El Asistente para configuracin de seguridad (SCW) es una herramienta para minimizar la superficie de ataque que fue introducido con Windows Server 2003 con Service Pack 1 (SP1). SCW sirve de ayuda para los administradores a la hora de crear directivas de seguridad y determina la funcionalidad mnima requerida para una o varias funciones del servidor y luego deshabilita la funcionalidad que no se requiere. SCW sirve de gua para el proceso de crear, editar, aplicar o revertir una directiva de seguridad basada en las funciones seleccionadas del servidor. Las directivas de seguridad que se crean con SCW son archivos XML que, una vez aplicados, configuran servicios, seguridad de red, valores de registro especficos, directivas de auditora y si corresponde, Servicios de Internet Servidor de informacin (IIS). Pregunta: Qu tipos de funciones del servidor existen en su organizacin? Material de lectura adicional Artculo de Microsoft Technet: Plantillas de seguridad Artculo de Microsoft Technet: Asistente para configuracin de seguridad para Windows Server 2003

Demostracin: Configuracin de la seguridad del servidor usando el Asistente para configuracin de seguridad
Demostracin: Configuracin de la seguridad del servidor usando el Asistente para configuracin de seguridad

Pregunta: Cul es la ventaja principal del SCW?

Opciones para integrar el Asistente para configuracin de seguridad y las Plantillas de seguridad
Opciones para integrar el Asistente para configuracin de seguridad y las Plantillas de seguridad

Puntos clave Las directivas de seguridad que se crean con el SCW pueden tambin incluir plantillas de seguridad personalizadas. Algunos de los valores que se pueden configurar usando el SCW se superponen en parte con los valores que se configuran usando solamente las plantillas de seguridad. Ningn conjunto de cambios de valores incluye por completo al otro. Por ejemplo, el SCW incluye los valores de IIS que no estn incluidos en una plantilla de seguridad. Por el contrario, las plantillas de seguridad pueden incluir tales elementos como Directivas de restriccin de software, que no pueden configurarse mediante el SCW. Material de lectura adicional Artculo de Microsoft Technet: Security Configuration Wizard Overview (Descripcin general del Asistente para configuracin de seguridad) Artculo de Microsoft Technet: Security Watch: The Security Configuration Wizard (Inspeccin de seguridad: asistente para configuracin de seguridad)

Demostracin: Importacin de Directivas de configuracin de seguridad a Plantillas de seguridad

Pregunta: Se necesita abrir un puerto en los equipos cliente de Windows Vista para una aplicacin personalizada. Debera usar el SCW o crear una plantilla de seguridad y usar un GPO?

Laboratorio: Implementacin de la seguridad usando la Directiva de grupo

Laboratorio: Implementacin de la seguridad usando Directiva de grupo

Escenario Woodgrove Bank ha decidido implementar Directiva de grupo para configurar la seguridad de los usuarios y equipos en la organizacin. La compaa actualiz recientemente todas las estaciones de trabajo a Windows Vista y a todos los servidores a Windows Server 2008. La organizacin desea utilizar Directiva de grupo para implementar la configuracin de seguridad para las estaciones de trabajo, los servidores y los usuarios. El administrador de la empresa cre un diseo que incluye modificaciones realizadas a la directiva predeterminada de seguridad de dominio y GPO adicionales para configurar la seguridad. La compaa desea contar con la flexibilidad para asignar diferentes directivas de contrasea para usuarios especficos. Tambin desea automatizar la configuracin de los valores de seguridad al mximo. Nota: Algunas de las tareas de este laboratorio estn diseadas para ilustrar las tcnicas de administracin y configuracin de GPO y puede que no siempre sigan los procedimientos recomendados.

Ejercicio 1: Configuracin de la directiva de cuenta y de seguridad

Ejercicio 1: Configuracin de la directiva de cuenta y de seguridad
Se le ha asignado la tarea de implementar una directiva de cuenta de dominio segn los siguientes criterios: Las contraseas de dominio constarn de ocho caracteres. Se implementarn contraseas seguras. Las contraseas se cambiarn exactamente cada veinte das. Las cuentas se bloquearn durante 30 minutos despus de cinco intentos de inicio de sesin invlidos. Se configurar tambin una directiva local en el cliente de Windows Vista que habilita la cuenta local Administrador y prohbe el acceso al men Ejecutar para los No administradores. Luego se crear una directiva de red inalmbrica para Windows Vista que genera un perfil para la red inalmbrica corporativa. Este perfil definir 802.1x como el mtodo de autenticacin. Dicha directiva tambin denegar el acceso a una red inalmbrica denominada Investigar. Finalmente, configurar una directiva para evitar que el servicio Registro remoto se ejecute en un controlador de dominio. Las principales tareas para este ejercicio se realizarn como se detalla a continuacin: 1. Iniciar la mquina virtual e iniciar la sesin como Administrador . 2. Crear una directiva de cuenta para el dominio. 3. Establecer la configuracin de directiva local para un cliente de Windows Vista. 4. Crear un GPO de red inalmbrica para los clientes de Windows Vista. 5. Configurar un GPO que prohba un servicio en todos los controladores de dominio.
Tarea 1: Iniciar la mquina virtual e iniciar la sesin como Administrador

1. En la mquina host, haga clic en Inicio, elija Todos los programas, seleccione Microsoft Learning y luego haga clic en 6824A. Se inicia Iniciador de laboratorio. 2. En Iniciador de laboratorio, junto a 6824A-NYC-DC1, haga clic en Iniciar. 3. Inicie sesin en NYC-DC1 como Administrador , usando la contrasea Pa$$w0rd. 4. Minimice la ventana Iniciador de laboratorio.
Tarea 2: Crear una directiva de cuenta para el dominio

1. Inicie consola de Administracin de directivas de grupo. 2. Edite Directivas de cuenta en Default Domain Policy segn los siguientes valores: Directiva de contraseas: Contraseas de dominio: Debe contar con al menos 8 caracteres Contraseas seguras (cumplir requisitos de seguridad): Habilitada Vigencia mnima de la contrasea: 19 das Vigencia mxima de la contrasea: 20 das Directiva de bloqueo de cuenta: Umbral de bloqueo de cuenta: 5 intentos de inicio de sesin invlidos Duracin del bloqueo de cuenta: 30 minutos

Contador de bloqueo: restablecer despus de 30 minutos

Tarea 3: Establecer la configuracin de directiva local para un cliente de Windows Vista

1. Inicie NYC-CL1 e inicie la sesin como WoodgroveBank\Administrador con la contrasea Pa$$w0rd. 2. Cree un nueva MMC y luego agregue el complemento para Editor de objetos de directiva de grupos para el equipo local. 3. Abra Configuracin del equipo, luego Configuracin de Windows, abra Configuracin de seguridad, luego Directivas locales, abra Opciones de seguridad y luego habilite el valor Cuentas: estado de la cuenta de administrador . 4. Agregue el complemento Editor de objetos de directiva de grupo a la MMC nuevamente y haga clic en Examinar. 5. Haga clic en la ficha Usuarios, seleccione el grupo No administradores, haga clic en Aceptar y luego en Finalizar. 6. En Directiva Equipo local\ No administradores, abra Configuracin de usuario, Plantillas administrativas, haga clic en la carpeta Men inicio y barra de tareas y luego habilite el valor Quitar el men Ejecutar del men inicio. 7. Cierre la MMC sin guardar los cambios.
Tarea 4: Crear un GPO de red inalmbrica para los clientes de Windows Vista

1. En la GPMC, cree un nuevo GPO denominado Vista Inalmbrico. 2. Edite el GPO haciendo clic con el botn secundario en Directivas de red inalmbrica (IEEE 802.11) y luego en Crear una nueva directiva de Windows Vista. 3. En el cuadro de dilogo Propiedades de nueva directiva de red inalmbrica Vista, haga clic en Agregar y luego en Infraestructura. 4. Cree un nuevo perfil denominado Corporativo y luego en el campo Nombre(s) de red (SSID), escriba Corp. 5. Haga clic en la ficha Seguridad, cambie mtodo de Autenticacin a Abierto con 802.1X y luego haga clic en Aceptar. 6. Haga clic en la ficha Permisos de red y luego en Agregar . 7. Escriba Examinar en el campo Nombre de red (SSID): y establezca el Permiso en Denegar. Haga clic en Aceptar dos veces. 8. Cierre Editor de administracin de directiva de grupo y luego deje abierta la GPMC.
Tarea 5: Configurar una directiva que prohba un servicio en todos los controladores de dominio

1. Edite lo siguiente para deshabilitar el servicio Registro remoto: Default Domain Policy, Configuracin de equipo, Directivas, Configuracin de Windows, Configuracin de seguridad y Servicios del sistema. 2. Cierre Editor de administracin de directiva de grupo y deje abierta la GPMC. Resultado: Al finalizar este ejercicio, se habrn establecido las configuraciones de las directivas de cuenta y de seguridad. Ejercicio 1: Respuestas claves (pasos detallados)

Ejercicio 2: Implementacin de directivas de contrasea de personalizacin avanzada

Ejercicio 2: Implementacin de directivas de contrasea de personalizacin avanzada
La directiva de seguridad corporativa indica que todos los miembros del grupo IT Administrativo contarn con directivas de contrasea estrictas. Las contraseas debern cumplir con los siguientes criterios: Se recordarn 30 contraseas en el historial de contraseas. Las contraseas de dominio constarn de 10 caracteres. Se implementarn contraseas seguras. Las contraseas no se almacenarn con cifrado reversible. Las contraseas se cambiarn exactamente cada siete das. Las cuentas se bloquearn durante 30 minutos despus de tres intentos de inicio de sesin invlidos. Se crear una directiva de contrasea de personalizacin avanzada para implementar dichas directivas en el grupo global Admins TI. Las principales tareas se realizarn como se detalla a continuacin: 1. Crear un PSO usando Edicin de ADSI. 2. Asignar el PSO Admin TI al grupo global Admins TI.
Tarea 1: Crear un PSO usando Edicin de ADSI

1. En el men Ejecutar , escriba [Link] y luego presione ENTRAR. 2. Haga clic con el botn secundario en Editor ADSI, elija Conectar a y luego haga clic en Aceptar para confirmar los valores predeterminados. 3. Busque DC=woodgrovebank, DC=com, CN= System, CN=Password Setting Container, haga clic con el botn secundario en CN= Password Setting Container y luego cree un nuevo objeto. 4. En el cuadro de dilogo Crear Objeto, haga clic en msDS- PasswordSettings y luego en Siguiente. 5. En la casilla Valor , escriba AdminTI. 6. En el valor msDS- PasswordSettingsPrecedence, escriba 10. 7. En el valor msDS- PasswordReversibleEncryptionEnabled, escriba FALSE. 8. En el valor msDS- PasswordHistoryLength, escriba 30. 9. En el valor msDS-PasswordComplexityEnabled, escriba True. 10. En el valor msDS- MinimumPasswordLength, escriba 10. 11. En el valor msDS-MinimumPasswordAge, escriba -5184000000000. 12. En el valor msDS- MaximumPasswordAge, escriba -6040000000000. 13. En el valor msDS- LockoutThreshold, escriba 3. 14. En el valor msDS-LockoutObservationWindow, escriba -18000000000. 15. En el valor msDS- LockoutDuration, escriba -18000000000 y luego haga clic en Finalizar . 16. Cierre la MMC ADSI Editar sin guardar los cambios.
Tarea 2: Asignar el PSO AdminTI al grupo global AdminsTI

1. Abra Usuarios y equipos de Active Directory.

2. Haga clic en Ver y luego en Caractersticas avanzadas . 3. Expanda [Link], luego System y finalmente haga clic en Password Settings Container . 4. En el panel de detalles, haga clic con el botn secundario en el PSO Admin TI y luego haga clic en Propiedades. 5. Haga clic en la ficha Editor de atributos, desplcese hacia abajo, seleccione el atributo msDSPSOAppliesTo y luego haga clic en Editar . 6. Agregue el grupo AdminsTI_WoodgroveGG. 7. Cierre Usuarios y equipos de Active Directory. Resultado: Al finalizar este ejercicio, se habrn implementado las directivas de contrasea de personalizacin avanzada. Ejercicio 2: Respuestas claves (pasos detallados)

Ejercicio 3: Configuracin de las directivas de grupos restringidos y restriccin de software

Ejercicio 3: Configuracin de las directivas de grupos restringidos y restriccin de software
Es necesario garantizar que el grupo global Admins TI est incluido en el grupo local Administradores para todos los equipos de la organizacin. Se considera que los controladores de dominio son de alta seguridad y no se permitir que Explorador de Internet se ejecute en los controladores de dominio. Tambin evitar que los scripts de Visual Basic (VBS) se ejecuten en la unidad C: de los controladores de dominio. Las principales tareas se realizarn como se detalla a continuacin: 1. Configurar grupos restringidos para el grupo de administradores locales. 2. Crear un GPO que prohba que Explorador de Internet y los scripts de VBS se ejecuten en los controladores de dominio.
Tarea 1: Configurar grupos restringidos para el grupo de administradores locales

1. Si se requiere, abra la GPMC, abra la carpeta Objetos de directiva de grupo y luego edite Default Domain Policy. 2. Vaya a Configuracin de equipo, expanda Directivas, luego Configuracin de Windows, expanda Configuracin de seguridad, haga clic con el botn secundario en Grupos restringidos y luego haga clic en Agregar grupo. 3. Agregue el grupo Administradores y luego haga clic en Aceptar. 4. En el cuadro de dilogo Administradores Propiedades, agregue los siguientes grupos: Woodgrovebank\AdminsTI_WoodgroveGG Woodgrovebank\ Admins. del Dominio 5. Cierre Editor de administracin de directiva de grupo.
Tarea 2: Prohibir que se ejecute Explorador de Internet y los scripts de VBS en los controladores de dominio

1. Edite Default Domain Controllers Policy. 2. Vaya a Configuracin de Windows, expanda Configuracin de seguridad, haga clic con el botn secundario en Directivas de restriccin de software y luego haga clic en Nueva directiva de restriccin de nuevo software. 3. Haga clic con el botn secundario en Reglas adicionales y luego haga clic en Regla de nuevo hash. 4. Examine y busque C:\Archivos de programa\ Internet Explorer\[Link] y luego haga clic en Abrir . Asegrese de que Nivel seguridad est en No permitido. 5. Haga clic con el botn secundario en Reglas adicionales y luego haga clic en Regla de nueva ruta. 6. En el campo Ruta de acceso, escriba *.vbs y luego haga clic en Aceptar . 7. Cierre Editor de administracin de directiva de grupo. Resultado: Al finalizar este ejercicio, se habrn configurado las directivas de grupos restringidos y de restriccin de software. Ejercicio 3: Respuestas claves (pasos detallados)

Ejercicio 4: Configuracin de las plantillas de seguridad

Ejercicio 4: Configuracin de las plantillas de seguridad
Se crear una plantilla de seguridad para los servidores de archivos y de impresin que cambiarn el nombre de la cuenta Administrador y que no muestra el ltimo nombre de usuario que inici sesin. Luego se usar el Asistente para configuracin de seguridad para crear una directiva de seguridad que protege el servidor de archivos y de impresin e incluye la plantilla de seguridad. Se usar la interfaz de SCW para aplicar la directiva en el servidor de archivos y de impresin NYC-SVR1. Finalmente, convertir la directiva en un GPO denominado SeguridadFP. Las principales tareas para este ejercicio se realizarn como se detalla a continuacin: 1. Crear una plantilla de seguridad para los servidores de archivos y de impresin. 2. Iniciar NYC-SVR1, unirse al dominio y deshabilitar Firewall de Windows. 3. Ejecutar Asistente de configuracin de seguridad e importar la plantilla SeguridadFP. 4. Transformar la DirectivaFP en un GPO.
Tarea 1: Crear una plantilla de seguridad para los servidores de archivos y de impresin

1. Cree una nueva MMC, luego agregue el complemento para Plantillas de seguridad. 2. Expanda Plantillas de seguridad, haga clic con el botn secundario en C:\Users\Administrador\Documents \Security\Templates y luego haga clic en Nueva plantilla. 3. Escriba el nombre SeguridadFP para la plantilla. 4. Busque Directivas locales y luego Opciones de seguridad. Defina Cuentas: cambiar el nombre de la cuenta de administrador con el valor AdminFP. 5. Establezca Inicio de sesin interactiva: No mostrar el ltimo nombre de usuario en Habilitada. 6. En el panel de la carpeta, haga clic con el botn secundario en SeguridadFP y luego haga clic en Guardar. 7. Cierre la MMC sin guardar los cambios.
Tarea 2: Iniciar NYC-SVR1, unirse al dominio y deshabilitar el Firewall de Windows

1. Inicie NYC-SVR1 e inicie la sesin como AdminLocal, usando la contrasea Pa$$w0rd. 2. Una NYC-SVR1 al dominio [Link]. 3. Reinicie el equipo e inicie sesin como Administrador. 4. Deshabilite Firewall de Windows. Nota: Este paso se lleva a cabo para simplificar las tareas del laboratorio; no es un procedimiento recomendado.
Tarea 3: Ejecutar el Asistente para configuracin de seguridad e importar la plantilla SeguridadFP

1. En NYC-DC1, inicie Asistente para configuracin de seguridad. 2. En la pgina Bienvenida, haga clic en Siguiente. 3. En la pantalla Accin de configuracin, haga clic en Siguiente. 4. En la pantalla Seleccionar servidor , escriba [Link] y luego haga clic en Siguiente. 5. Despus de que se procesan las bases de datos de la configuracin de seguridad, haga clic en Siguiente. 6. En la pantalla Configuracin de servicio basado en funciones, haga clic en Siguiente. 7. En la pantalla Seleccionar funciones del servidor, desactive la casilla junto a Servidor DNS. 8. Seleccione la casilla junto a Servidor de archivos.

9. Seleccione la casilla junto a Servidor de impresin y luego haga clic en Siguiente. 10. En la pantalla Seleccionar caractersticas de cliente, haga clic en Siguiente. 11. En la pantalla Seleccionar opciones de administracin y otras, haga clic en Siguiente. 12. En la pantalla Seleccionar servicios adicionales, haga clic en Siguiente. 13. En la pantalla Tratamiento de servicios sin especificar , contine haciendo clic en Siguiente hasta llegar a la pantalla Nombre de archivo de directiva de seguridad. 14. En la pantalla Nombre de archivo de directiva de seguridad, escriba DirectivaFP al final de la ruta C:\Windows\security\msscw\Policies\. 15. Haga clic en Incluir plantillas de seguridad y luego en Agregar . 16. Agregue la directiva Documentos\security\Templates\SeguridadFP. 17. En la pantalla Aplicar directiva de seguridad, haga clic en Aplicar ahora y luego en Siguiente. 18. En la pantalla Aplicar directiva de seguridad, haga clic en Siguiente y luego en Finalizar .
Tarea 4: Transformar la DirectivaFP en un GPO

1. En NYC-DC1, inicie la Lnea de comandos y escriba scwcmd transform/p: C:\Windows\security\msscw \Policies\[Link] /g:FileServerSecurity. 2. Abra la GPMC de ser necesario y luego abra la carpeta Objetos de directiva de grupo. Haga doble clic en SeguridadArchivoServidor GPO y luego examine la configuracin. 3. Cierre la GPMC y cierre sesin en NYC-DC1. Resultado: Al finalizar este ejercicio, habr configurado plantillas de seguridad. Ejercicio 4: Respuestas claves (pasos detallados)

Ejercicio 5: Comprobacin de la configuracin de seguridad

Ejercicio 5: Comprobacin de la configuracin de seguridad
Iniciar sesin como diversos usuarios para probar los resultados de Directiva de grupo. Las principales tareas para este ejercicio se realizarn como se detalla a continuacin: Iniciar sesin como Administrador Local del equipo con Windows Vista y comprobar la pertenencia al grupo de administradores locales. Iniciar sesin en el equipo con Windows Vista como un usuario comn y probar la directiva de cuenta. Iniciar sesin en el controlador de dominio como el administrador de dominio y probar las restricciones de software y los servicios. Usar la modelacin de directivas de grupo para probar la configuracin en el servidor de archivos y de impresin. Cerrar todas las mquinas virtuales y descartar los discos para deshacer.
Tarea 1: Iniciar sesin como Administrador Local del equipo con Windows Vista y comprobar la pertenencia al grupo de administradores locales

1. Inicie sesin en NYC-CLI como NYC-CL1\administrador usando la contrasea Pa$$w0rd. 2. Inicie Comando Preguntar y ejecute el comando GPupdate /force. 3. Asegrese de que el men Ejecutar aparezca en la carpeta Accesorios en el men Inicio. 4. Abra Panel de control, haga clic en Cuentas de usuario, haga clic en Administrar cuentas de usuario, luego en la ficha Opciones avanzadas, haga clic en Opciones avanzadas, luego en Grupos, abra el grupo Administradores y luego asegrese de que los grupos globales Admins. del dominio e AdminsTI_WoodgroveGG estn presentes. 5. Reinicie NYC-CL1.
Tarea 2: Iniciar sesin en el equipo con Windows Vista como un usuario comn y probar la directiva

1. Inicie sesin en NYC- CL1 como Woodgrovebank\Roya usando la contrasea Pa$$w0rd. 2. Asegrese de que el men Ejecutar no aparezca en la carpeta Accesorios del men Inicio. 3. Presione Alt derecho + Suprimir y luego haga clic en Cambiar una contrasea. 4. En el campo Contrasea anterior , escriba Pa$$w0rd. 5. En los campos Nueva contrasea y Confirmar contrasea, escriba w0rdPa$$. No se podr actualizar la contrasea ya que no ha expirado la duracin mnima de la contrasea. 6. Cierre sesin en NYC-CL1.
Tarea 3: Iniciar sesin en el controlador de dominio como el administrador de dominio y probar las restricciones de software y servicios

1. Inicie sesin en NYC-DC1 como Administrador , usando la contrasea Pa$$w0rd. 2. Inicie Smbolo del sistema y luego ejecute el comando GPupdate /force. 3. Intente iniciar Explorador de Internet, lea el mensaje de error y luego haga clic en Aceptar . 4. Busque D:\6824\Allfiles\mod07\LabFiles, haga doble clic en [Link], lea el mensaje de error y luego haga clic en Aceptar . 5. Abra la MMC Servicios en Herramientas administrativas. Deslcese hacia abajo hasta el servicio Registro remoto y asegrese de que est establecido en Deshabilitado.

Tarea 4: Usar el Modelado de directivas de grupo para probar la configuracin en el servidor de archivos y de impresin

1. Abra la GPMC y luego inicie Asistente de Modelado de directivas de grupo. 2. Aceptar todos los valores predeterminados excepto los de la ventana Seleccionar usuario y equipo. 3. Haga clic en Equipo y luego escriba Woodgrovebank\NYC-SVR1. 4. Una vez que finaliza el asistente, observe la configuracin de la directiva.
Tarea 5: Cerrar todas las mquinas virtuales y descartar los discos para deshacer

1. Por cada mquina virtual que est ejecutndose, cierre la ventana Control remoto para mquina virtual. 2. En el cuadro Cerrar , seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar . 3. Cierre el Iniciador de laboratorio 6824A. Resultado: Al finalizar este ejercicio, habr comprobado la configuracin de seguridad. Ejercicio 5: Respuestas claves (pasos detallados)

Revisin del laboratorio

Observaciones para implementar la seguridad usando Directiva de grupo Tenga en cuenta lo siguiente al implementar la seguridad usando Directiva de grupo. Las directivas de seguridad son reglas que protegen los recursos en equipos y redes y pueden implementarse usando Directiva de grupo. La Directiva de dominio predeterminada y la Directiva predeterminada de los controladores de dominio se crean de manera predeterminada. Las directivas de cuenta deben implementarse en el nivel de dominio. Todas las directivas de nivel de dominio pueden entregar directivas de cuenta. Los clientes reciben directivas de cuenta desde los controladores de dominio. Por lo general, las directivas locales afectan a todos los usuarios del equipo local, incluyendo los usuarios de dominio. Las directivas de seguridad de red pueden controlar la configuracin inalmbrica para Windows XP y versiones posteriores. Las directivas de seguridad de red pueden controlar la configuracin almbrica para Windows Vista y versiones posteriores. El Firewall de Windows es compatible con reglas de salida. El reconocimiento de la red puede determinar automticamente su perfil de firewall. Hoy en da, la configuracin de firewall y la configuracin de IPsec estn integradas. Las contraseas de personalizacin avanzada permiten que diferentes usuarios o grupos globales cuenten con diversas directivas de cuenta. Las directivas de personalizacin avanzada no se entregan a travs de Directiva de grupo. Se deben crear directivas de personalizacin avanzada usando Edicin de ADSI o LDIFDE. Tanto la pertenencia a grupos locales como a grupos de dominio pueden controlarse a travs de Directiva de grupo. El acceso a software puede controlarse mediante Directiva de grupo.

Los administradores locales pueden estar exentos de las restricciones de software. Existen cuatro tipos de reglas para controlar el acceso a software. Las plantillas de seguridad pueden usarse para brindar un conjunto consistente de configuraciones de seguridad. El Asistente para configuracin de seguridad puede usarse a modo de ayuda para crear directivas de seguridad. Las preferencias pueden reemplazar muchas de las funciones de los scripts de inicio de sesin. Las preferencias se aplican una vez, pero no son obligatorias y los usuarios pueden modificarlas. Las preferencias pueden establecerse para ser actualizadas con la misma regularidad que Directiva de grupo. Las preferencias pueden tener objetos como destino. Preguntas de revisin 1. Desea implementar una directiva de restriccin de software en un nuevo tipo de archivo ejecutable. Qu debe hacer antes de poder crear una regla para dicho cdigo ejecutable? 2. Qu valor se debe configurar para garantizar que los usuarios slo cuenten con tres intentos de inicio de sesin invlidos? 3. Desea brindar una configuracin de seguridad consistente para todos los equipos cliente en la organizacin. Las cuentas de equipo estn distribuidas en mltiples unidades organizativas. Cul es la mejor manera de brindarlo? 4. Un administrador de su organizacin ha modificado accidentalmente la Directiva predeterminada de controladores de dominio. Se necesita restaurar la directiva a su configuracin predeterminada original. Cmo se lograra esto?

Modulo 8 : Implementacin de un plan de supervisin de Servicios de dominio de Active Directory

Mdulo 8

Implementacin de un plan de supervisin de Servicios de dominio de Active Directory

Para controlar y administrar el sistema operativo de una organizacin, es importante comprender las herramientas que pueden usarse para supervisar el mantenimiento del sistema. Al usar herramientas como Visor de eventos, Monitor de confiabilidad y rendimiento y las directivas de auditora podr anticiparse a los problemas y administrar los eventos de cada da. Leccin 1: Supervisin de AD DS usando Visor de eventos Leccin 2: Supervisin de los Servidores de dominio de Active Directory usando el Monitor de confiabilidad y rendimiento Leccin 3: Configuracin de la auditora de AD DS Laboratorio: Supervisin de AD DS

Leccin 1: Supervisin de AD DS usando Visor de eventos

Leccin 1:

Supervisar Servicios de dominio de Active Directory usando Visor de eventos

La supervisin del rendimiento del servidor es una parte importante del mantenimiento y la administracin de un sistema operativo. Visor de eventos es una aplicacin que le permite examinar, administrar y supervisar los eventos registrados en los registros de eventos.

Caractersticas de Visor de eventos

Puntos clave Visor de eventos es uno de los primeros lugares a los que debe recurrir para solucionar problemas de Microsoft Windows. Se incorporaron una serie de nuevas caractersticas en Visor de eventos para Windows Vista y Windows Server2008. Visor de eventos se ha vuelto a escribir por completo con una nueva interfaz de usuario que facilita el filtrado y la ordenacin de eventos, adems de controlar qu eventos se registran. Tambin es posible realizar ciertas tareas bsicas de diagnstico desde Visor de eventos. Visor de eventos, adems, brinda varios nuevos archivos de registros. Material de lectura adicional Artculo de Microsoft Technet: Visor de eventos Artculo de Microsoft Technet: Online Event Information (Informacin de eventos en lnea)

Demostracin: Descripcin general de Visor de eventos

Pregunta: Existe un problema con Directiva de grupo. Qu registro debe consultar para conocer los eventos detallados de Directiva de grupo?

Registros de AD DS
Registros de AD DS

Puntos clave Los Registros de aplicaciones y del sistema an brindan informacin general y eventos de registro de varias reas, aunque Visor de eventos tambin ofrece en la actualidad una amplia gama de registros de aplicaciones y servicios. Estos registros pueden brindar informacin detallada sobre Servicios de dominio de Active Directory (AD DS) y otros servicios como Directiva de grupos, los archivos sin conexin, el cliente de Windows Update, entre varios otros.

Qu son las Vistas personalizadas?

Puntos clave Las Vistas personalizadas son filtros que reciben un nombre y se guardan. Despus de crear y guardar una vista personalizada, podr volver a usarla sin crear nuevamente su filtro subyacente. Para volver a usar una vista personalizada, navegue hasta la categora Vistas personalizadas en el rbol de consola y seleccione el nombre de la vista personalizada. Al seleccionar la vista personalizada, se aplica el filtro subyacente y se muestran los resultados. Es posible importar y exportar las vistas personalizadas, lo que le permitir compartirlas entre los usuarios y equipos. Material de lectura adicional Artculo de Microsoft Technet: Crear una Vista personalizada

Qu son las suscripciones?

Puntos clave Visor de eventos le permite ver los eventos en un nico equipo remoto. Sin embargo, la solucin de un problema puede requerir el anlisis de un conjunto de eventos almacenados en varios registros de diferentes equipos. Visor de eventos permite recopilar las copias de eventos desde varios equipos remotos y almacenarlas localmente. Para especificar los eventos que se desean recopilar, debe crear una suscripcin de eventos. Una vez que la suscripcin est activa y se recopilan los eventos, es posible ver y controlar los eventos reenviados como lo hara con cualquier evento almacenado localmente. Pregunta: Cundo sera ms til aplicar las suscripciones en su organizacin? Material de lectura adicional Artculo de Microsoft Technet: Event Subscriptions (Suscripciones de eventos) Artculo de Microsoft Technet: Configurar Equipos para reenviar y recopilar eventos

Demostracin: Configuracin de Vistas personalizadas y Suscripciones

Pregunta: Desea supervisar un grupo determinado de eventos a travs de mltiples servidores web. Cul es la mejor manera de lograrlo?

Leccin 2: Supervisin de los Servidores de dominio de Active Directory usando el Monitor de confiabilidad y rendimiento
Leccin 2:

Supervisin de Servidores de dominio de Active Directory usando Monitor de confiabilidad y rendimiento

Por lo general, el rendimiento es la medida de velocidad con la que un equipo finaliza las tareas del sistema y las aplicaciones. Es posible usar la supervisin de rendimiento para realizar un seguimiento de ciertos procesos y mostrar los resultados. Tambin se puede usar la supervisin de rendimiento a modo de ayuda para optimizar la planeacin, rastrear procesos que necesitan optimizarse y comprender las cargas de trabajo y sus efectos en el uso de recursos a fin de identificar los cuellos de botella. El rendimiento total del sistema debe estar limitado por la velocidad de acceso a los discos duros fsicos, la cantidad de memoria disponible, la velocidad del procesador o la capacidad de transferencia de las interfaces de red.

Caractersticas de Monitor de confiabilidad y rendimiento

Puntos clave Monitor de confiabilidad y rendimiento de Windows le permite realizar un seguimiento del impacto de rendimiento de las aplicaciones y los servicios, adems de generar alertas o acciones cuando se exceden los umbrales definidos por el usuario para un rendimiento ptimo. Monitor de confiabilidad y rendimiento de Windows presenta las caractersticas que se describen a continuacin. Vista de recursos Monitor de confiabilidad Conjuntos de recopiladores de datos Realizar un seguimiento del rendimiento de aplicaciones y servicios Asistentes y plantillas para crear registros Generar alertas y acciones al alcanzar los umbrales Generar informes Acceso a Monitor de confiabilidad y rendimiento Material de lectura adicional Artculo de Microsoft Technet: Monitor de confiabilidad y rendimiento de Windows

Demostracin: Descripcin general de Monitor de confiabilidad y rendimiento

Pregunta: Dnde puede encontrar informacin en tiempo real sobre la actividad de la red?

Supervisin de AD DS usando Monitor de rendimiento

Puntos clave Supervisar el servicio distribuido de AD DS y los servicios que lo respaldan ayuda a mantener la consistencia de los datos del directorio y el nivel necesario del servicio en todo el bosque. Se pueden supervisar indicadores importantes para descubrir y resolver problemas menores antes de que se conviertan en potenciales interrupciones prolongadas del servicio. Adems de los contadores de la lnea de base normales que supervisa para todos los servidores, hay objetos y decenas de contadores que son especficos para AD DS. Material de lectura adicional Artculo de Microsoft Technet: Monitoring Active Directory (Supervisin de Active Directory)

Qu es una Lnea de base de Active Directory?

Puntos clave Una lnea de base del equipo es una medida del comportamiento especificado de los recursos durante la actividad normal, que indica cmo funciona el recurso o una coleccin de recursos del sistema. Luego, esta informacin se compara con la actividad posterior a fin de supervisar el uso y la respuesta del sistema frente a las condiciones aleatorias. Material de lectura adicional Artculo de Microsoft Technet: Deploying Active Directory for Branch Office Environments, Chapter 9 - Post Deployment Monitoring of Domain Controllers (Implementar Active Directory para entornos de sucursales, Captulo 9: Supervisin posterior a la implementacin de controladores de dominio)

Supervisin de la disponibilidad del servicio con Monitor de confiabilidad

Puntos clave La confiabilidad de un sistema es la medida que analiza la frecuencia con la que el sistema se aparta del comportamiento configurado y esperado. Monitor de confiabilidad calcula el ndice de estabilidad del sistema, que refleja si los problemas inesperados redujeron la confiabilidad del sistema. Un grfico del ndice de estabilidad a travs del tiempo identifica con rapidez las fechas en las que comenzaron a ocurrir problemas. Pregunta: Desea consultar un registro histrico de software que ha sido agregado o eliminado del equipo. Dnde buscara esa informacin? Material de lectura adicional Artculo de Microsoft Technet: Gua paso a paso de supervisin del rendimiento y la confiabilidad de Windows Vista

Supervisin de Servicios de dominio de Active Directory usando los Conjuntos de recopiladores de datos
Supervisin de Servicios de dominio de Active Directory usando los Conjuntos de recopiladores de datos

Puntos clave Una nueva caracterstica incluida en Monitor de confiabilidad y rendimiento de Windows es el Conjunto de recopiladores de datos, que agrupa a los recopiladores de datos en elementos reutilizables que se ajustan a diversos escenarios de supervisin de rendimiento. Pregunta: Desea crear una alerta que le notifique cuando el espacio disponible en disco sea reducido. Cmo la creara? Material de lectura adicional Artculo de Microsoft Technet: Creacin de conjuntos de recopiladores de datos

Demostracin: Supervisin de AD DS
Demostracin: Supervisin de AD DS

Pregunta: Cul es la manera ms fcil de registrar el mismo conjunto de datos en varios equipos?

Leccin 3: Configuracin de la auditora de AD DS

Leccin 3:

Configuracin de la Auditora de Servicios de dominio de Active Directory

En los entornos seguros es necesario supervisar AD DS de modo activo. Como parte de la estrategia de seguridad global, se debe determinar el nivel de auditora adecuado para el entorno. La auditora debe identificar las acciones, ya sean correctas o no, que han modificado o intentado modificar los objetos de Active Directory.

Qu es la Auditora de AD DS?
Qu es la Auditora de AD DS?

Puntos clave Un registro de auditora registra una entrada cada vez que los usuarios realizan determinadas acciones. Por ejemplo, la modificacin de un objeto o una directiva puede generar una entrada de auditora que muestre la accin realizada, la cuenta de usuario asociada y la fecha y hora de la accin. Es posible auditar tanto los intentos satisfactorios como no satisfactorios de realizar acciones. Antes de implementar la directiva de auditora, debe determinar qu categoras de eventos desea editar. La configuracin de auditora que seleccione para las categoras de eventos definir su directiva de auditora. En los servidores miembros y las estaciones de trabajo que se unen a un dominio, la configuracin de auditora para las categoras de eventos no est definida de manera predeterminada. En los controladores de dominio, algunas tareas de auditora se activan de manera predeterminada. Material de lectura adicional Artculo de Microsoft Technet: Windows Server "Longhorn" Beta 3 Auditing AD DS Changes Step-by-Step Guide (Gua paso a paso de cambios de auditora de AD DS Longhorn Beta 3 de Windows Server) Soporte tcnico de Microsoft: Cmo usar la Directiva de grupo para establecer la configuracin de auditora de seguridad en detalle para los equipos con Windows Vista y Windows Server 2008 en un dominio de Windows Server 2008, en un dominio de Windows Server 2003 y en un dominio de Windows 2000 Artculo de Microsoft Technet: Conjunto de Auditpol

Demostracin: Configuracin de Directiva de auditora

Pregunta: Qu registros muestran los resultados de la auditora?

Tipos de eventos para auditar

Puntos clave Aunque la categora Acceso del servicio de directorio an ofrece informacin acerca de todos los eventos del directorio y est habilitada de manera predeterminada, puede obtenerse informacin ms detallada en las subcategoras. Pregunta: Desea realizar un seguimiento de los detalles relacionados con las modificaciones realizadas a los objetos de Active Directory para una unidad organizativa (OU) determinada y las unidades organizativas secundarias. Qu entrada de control de acceso (ACE) deber configurar para capturar esa informacin? Material de lectura adicional Artculo de Microsoft Technet: Gua paso a paso sobre la auditora de cambios en AD DS en Windows Server 2008

Demostracin: Configuracin de la Auditora de AD DS

Pregunta: Cmo habilitara el seguimiento de los eventos de error para la subcategora de cambio de servicio de directorio?

Laboratorio: Supervisin de AD DS

Escenario Woodgrove Bank ha finalizado la instalacin de AD DS. Como administrador de AD DS, debe supervisar la disponibilidad y el rendimiento de AD DS. El administrador del servidor brind un plan de supervisin que incluye la disponibilidad y el rendimiento del servicio, adems de los componentes de supervisin del registro de eventos. Al usar Supervisin de confiabilidad y rendimiento, Visor de eventos y otras herramientas, supervisar los controladores de dominio de AD DS.

Ejercicio 1: Supervisin de AD DS usando Visor de eventos

Ejercicio 1: Supervisin de AD DS usando Visor de eventos
Como administrador de red, desea recopilar informacin de Visor de eventos del servicio de directorio de todos los controladores de dominio. Crear una vista personalizada para capturar los eventos Error crtico, Error y Advertencia para AD DS y el servidor DNS. Luego, exportar la vista a una carpeta de red compartida e importar la vista personalizada a NYC-DC2. Adems, desea supervisar cundo los servicios se detienen y comienzan en NYC-DC2. Crear una suscripcin para reenviar el evento 7036 de NYC-DC2 a NYC-DC1 y luego comprobar el resultado. Finalmente, adjuntar una tarea a un registro del programa de instalacin de Windows para recibir una notificacin cada vez que se genera un evento en el registro de instalacin en NYC-DC1 a fin de que pueda realizar un seguimiento de las instalaciones de la aplicacin. Adems, adjuntar una tarea al evento 7036 que le informar sobre los problemas existentes con los servicios. Las principales tareas para este ejercicio se realizarn como se detalla a continuacin: 1. Iniciar las mquinas virtuales y luego iniciar sesin. 2. Crear una vista personalizada para capturar los eventos relevantes. 3. Exportar una vista personalizada. 4. Importar una vista personalizada. 5. Configurar equipos para reenviar y recopilar eventos. 6. Crear una suscripcin para reenviar eventos de NYC-DC2 a NYC-DC1. 7. Adjuntar una tarea a un registro de eventos y a un evento.
Tarea 1: Iniciar las mquinas virtuales y luego iniciar sesin

1. En la mquina host, haga clic en Inicio, elija Todos los programas, seleccione Microsoft Learning y luego haga clic en 6824A. Se inicia Iniciador de laboratorio. 2. En Iniciador de laboratorio, junto a 6824A-NYC-DC1, haga clic en Iniciar. 3. En Iniciador de laboratorio, junto a 6824A-NYC-DC2, haga clic en Iniciar. 4. Inicie sesin en NYC- DC1 como Administrador usando la contrasea Pa$$w0rd. 5. Inicie sesin en NYC-DC2 como Administrador usando la contrasea Pa$$w0rd. 6. Minimice la ventana Iniciador de laboratorio.
Tarea 2: Crear una vista personalizada para capturar los eventos relevantes

1. En NYC-DC1, inicie la sesin como Administrador usando la contrasea Pa$$w0rd. 2. Inicie Visor de eventos desde la carpeta Herramientas administrativas. 3. Haga clic con el botn secundario en Personalizar vistas y luego haga clic en Crear vista personalizada . 4. Seleccione la casilla junto a Crtico, Advertencia y Error . 5. Haga clic en la flecha desplegable junto a Registros de eventos, expanda Aplicacin y registros de servicios, seleccione Servicio de directorio y Servidor DNS y luego haga clic en Aceptar . 6. Denomine la vista personalizada Servicio de directorio.
Tarea 3: Exportar una vista personalizada

1. Haga clic con el botn secundario en la vista personalizada Servicio de directorio y luego haga clic en Exportar vista personalizada . 2. Guarde la vista exportada como C:\Datos\ Active Directory.

Tarea 4: Hacer clic con el botn secundario en Vistas personalizadas y luego hacer clic en Crear una vista personalizada

1. Inicie sesin en NYC-DC2 como Administrador usando la contrasea Pa$$w0rd. 2. Inicie Visor de eventos desde la carpeta Herramientas administrativas. 3. Haga clic con el botn secundario en Vistas personalizadas y luego haga clic en Importar vista personalizada. 4. Importe la vista personalizada desde \\NYC-DC1\Datos\Active [Link].
Tarea 5: Configurar equipos para reenviar y recopilar eventos

1. En NYC-DC1 (el equipo recopilador), abra Lnea de comandos, escriba wecutil qc e Y y luego presione ENTER para realizar los cambios. 2. Cierre el smbolo del sistema. 3. Cambie a NYC-DC2 (el equipo de origen). 4. Abra Lnea de comandos, escriba winrm configrpida e Y y luego presione ENTER para realizar los cambios. 5. Cierre el smbolo del sistema.
Tarea 6: Crear una suscripcin para reenviar eventos de NYC-DC2 a NYC-DC1

1. En NYC-DC1, en Visor de eventos, haga clic con el botn secundario en Subscripciones y luego haga clic en Crear Subscripcin. 2. Escriba el nombre de la suscripcin Servicio de eventos, haga clic en Colector Iniciado y luego haga clic en Seleccionar equipos. 3. Haga clic en Agregar dominio de equipos y luego agregue NYC-DC2. 4. Haga clic en Seleccionar eventos y luego seleccione los eventos Informacin. 5. Haga clic en la flecha desplegable junto a Registros de eventos, expanda Registros de Windows y luego seleccione el registro Sistema. 6. En el campo ID del evento, escriba 7036 y luego haga clic en Aceptar . 7. Haga clic en Avanzado, luego en Usuario especfico y finalmente en Usuario y contrasea . 8. Asegrese de que el nombre de usuario sea Woodgrovebank\Administrador y luego escriba la contrasea Pa$$w0rd. 9. Haga clic en Minimizar latencia y luego en Aceptar dos veces. Haga clic en S en caso de que aparezcan los mensajes de Visor de eventos. 10. En el panel de la carpeta, haga clic en la carpeta Subscripciones y asegrese de que el estado de la suscripcin Eventos de servicio sea Activo. 11. En NYC-DC2, abra Smbolo del sistema. 12. En Smbolo del sistema, escriba net stop dns y luego presione ENTER. 13. Escriba Inicio net de DNS y luego presione ENTER. 14. En NYC-DC1, haga clic en el registro Eventos reenviados. Examine los eventos de informacin. Nota: Es posible que los eventos reales demoren unos minutos en aparecer en el registro Eventos reenviados. Inicie y detenga el servicio DNS nuevamente si resulta necesario.
Tarea 7: Adjuntar una tarea a un registro de eventos y a un evento

1. En NYC-DC1, expanda Registros de Windows, haga clic con el botn secundario en el registro Instalacin y luego haga clic en Adjuntar una tarea a este registro.

2. En Crear un asistente bsico de tarea, haga clic en Siguiente. 3. En la ventana Cuando se registra un evento especfico, haga clic en Siguiente. 4. En la ventana Accin, haga clic en Enviar un e-mail y luego en Siguiente. 5. En la ventana Enviar un e-mail, escriba Visor de eventos en el campo De. 6. Escriba Administrador@[Link] en el campo A. 7. Escriba Instalacin de la aplicacin en el campo Asunto. 8. Escriba [Link] en el campo Servidor SMTP, haga clic en Siguiente y luego en Finalizar. Haga clic en Aceptar . 9. Haga clic en el registro Eventos reenviados para abrirlo. 10. Haga clic con el botn secundario en uno de los eventos 7036 y luego haga clic en Adjuntar tarea a este evento. 11. En la pantalla Crear una tarea bsica, haga clic en Siguiente. 12. En la pantalla Cuando se registra un evento especfico, haga clic en Siguiente. 13. En la pantalla Accin, haga clic en Mostrar un mensaje y luego en Siguiente. 14. En la pantalla Mostrar un mensaje, escriba Evento de servicio en el campo Ttulo, escriba Servicio detenido o iniciado en el campo Mensaje, haga clic en Siguiente, luego en Finalizar y finalmente haga clic en Aceptar para reconocer el mensaje de Visor de eventos. 15. Cambie a NYC-DC2 y repita los pasos para detener e iniciar el servicio DNS. 16. Cuando aparece el cuadro de mensaje mostrando el mensaje, haga clic en Aceptar para reconocer el mensaje. Nota: Es posible que el cuadro de mensaje est oculto detrs de la ventana Visor de eventos. Bsquelo en la Barra de tareas. 17. Cierre todas las ventanas. Resultado: Al finalizar este ejercicio, habr supervisado AD DS usando Visor de eventos. Ejercicio 1: Respuestas claves (pasos detallados)

Ejercicio 2: Supervisin de AD DS usando el Monitor de confiabilidad y rendimiento

Ejercicio 2: Supervisin de AD DS usando el Monitor de confiabilidad y rendimiento
Como administrador de red, podr configurar Monitor de confiabilidad y rendimiento para supervisar algunos de los contadores de servicio del directorio. Adems, crear Conjuntos de recopiladores de datos, supervisar el rendimiento del servidor usando Monitor de rendimiento y configurar una alerta que se activar cuando el espacio disponible en disco sea reducido. Las principales tareas para estos ejercicios son: 1. Configurar Monitor de confiabilidad y rendimiento para supervisar AD DS. 2. Crear un conjunto de recopiladores de datos.
Tarea 1: Configurar Monitor de confiabilidad y rendimiento para supervisar AD DS

1. En NYC-DC1, abra el Monitor de rendimiento y confiabilidad en Herramientas administrativas y luego haga clic en Monitor de rendimiento. 2. Haga clic en el signo verde Ms de la barra de herramientas para agregar objetos y contadores. 3. En el cuadro de dilogo Agregar contadores, expanda el objeto Servicios de directorio y luego agregue el contador DRA Total de bytes de entrada/sec. 4. Repita el paso anterior para agregar los siguientes contadores: 5. Bytes Totales DRA de salida/seg. 6. DS Subprocesos en uso 7. DS Directory lee/seg. 8. DS Directory escribe/seg. 9. Expanda Estadsticas de seguridad para todo el sistema y luego agregue el contador de Autenticaciones Kerberos. 10. Expanda DNS y luego agregue el contador UDP Query received.
Tarea 2: Crear un conjunto de recopiladores de datos

1. En el panel de la carpeta, haga clic con el botn secundario en Monitor de rendimiento, haga clic en Nuevo y luego en Conjunto de Recopiladores de datos 2. Asigne el nombre Active Directory al conjunto de recopiladores de datos. 3. Deje el directorio Raz como la ruta predeterminada y luego haga clic en Finalizar . 4. Expanda Conjunto de Recopiladores de datos, luego expanda Definido por el Usuario, haga clic con el botn secundario en Active Directory y luego presione Iniciar. 5. Expanda Informes, luego Definido por el Usuario, despus Active Directory y, finalmente, haga clic en Monitor de registro del [Link]. El estado del informe muestra que el registro est recopilando datos. 6. Haga clic con el botn secundario en el conjunto de recopiladores de datos de Active Directory y luego haga clic en Detener . 7. Haga clic en Monitor de registro del [Link]. El grfico del registro se muestra en el panel de detalles. Resultado: Al finalizar este ejercicio, habr supervisado AD DS usando Monitor de confiabilidad y rendimiento. Ejercicio 2: Respuestas claves (pasos detallados)

Ejercicio 3: Configuracin de la auditora de AD DS

Ejercicio 3: Configuracin de la auditora de AD DS
Como administrador de red, se le asign la tarea de implementar una directiva de auditora para realizar un seguimiento de los eventos especficos que suceden en AD DS. Primero, deber analizar el estado actual de la directiva de auditora. Luego, deber configurar la auditora a fin de realizar un seguimiento de las modificaciones correctas o incorrectas que se realizaron a los objetos de Active Directory, incluyendo los valores de atributos nuevos y anteriores. Finalmente, probar la directiva. Las principales tareas para este ejercicio se realizarn como se detalla a continuacin: 1. Examinar el estado actual de la directiva de auditora. 2. Habilitar el Acceso del servicio de directorio de auditora en los controladores de dominio. 3. Configurar la SACL para el dominio. 4. Probar la directiva. 5. Cerrar todas las mquinas virtuales y descartar los discos para deshacer.
Tarea 1: Examinar el estado actual de la directiva de auditora

1. En NYC-DC1, abra Smbolo del sistema. 2. En la ventana del smbolo del sistema, escriba [Link] /get /category:* y luego presione ENTER. Analice la configuracin predeterminada de la directiva de auditora. 3. Minimice el smbolo del sistema.
Tarea 2: Habilitar el Acceso del servicio de directorio de auditora en los controladores de dominio

1. En NYC-DC1, abra Administracin de directiva de grupo. 2. Abra la carpeta Objetos de directivas de grupo y luego edite la Directiva de controladores de dominio predeterminado. 3. Expanda Configuracin del equipo, luego Configuracin de Windows, despus Configuracin de seguridad, expanda Directivas locales y luego haga clic en Directiva de auditora. Tenga en cuenta que todos los valores de la directiva estn configurados como No esta definido. 4. Haga doble clic en Auditar el acceso al servicio de directorio, defina la configuracin de la directiva para xito y error y luego haga clic en Aceptar . 5. Cierre el Editor de administracin de directivas de grupo y luego cierre la consola Administracin de directiva de grupo. 6. Restaure Smbolo del sistema y luego escriba gpupdate 7. Una vez finalizada la actualizacin, vuelva a ejecutar el comando [Link] /get /category* y luego examine la configuracin predeterminada de la directiva de auditora. 8. Cierre el smbolo del sistema.
Tarea 3: Configurar la SACL para el dominio

1. Abra Usuarios y equipos de Active Directory. 2. Haga clic en el men Ver y luego en Caractersticas avanzadas . 3. Haga clic con el botn secundario en el objeto [Link] dominio y luego haga clic en Propiedades. 4. En el cuadro de dilogo Propiedades, haga clic en la ficha Seguridad, luego en Oopciones Avanzadas, haga clic en la ficha Auditoria y luego en Agregar .

5. En el cuadro de dilogo Seleccionar usuarios, escriba Todos y luego haga clic en Aceptar . 6. En el cuadro de dilogo Entrada de auditora para Woodgrovebank, seleccione la casilla para auditar xito y error al escribir todas las propiedades y luego haga clic en Aceptar dos veces.
Tarea 4: Probar la directiva

1. Cambie el nombre de la unidad organizativa Toronto por GTA. 2. Abra Visor de eventos, expanda Registros de Windows y luego haga clic en Seguridad. 3. Abra el evento 4662 y examine el evento. 4. Vuelva a Usuarios y equipos de Active Directory y edite las cuentas de usuario para cambiar el nmero de telfono. 5. Vuelva a Visores de eventos y analice los eventos de cambios resultantes del servicio de directorio. 6. Cierre todas las ventanas. 7. Apague todas las mquinas virtuales sin guardar los cambios.
Tarea 5: Cerrar todas las mquinas virtuales y descartar los discos para deshacer

1. Por cada mquina virtual que est ejecutndose, cierre la ventana Control remoto de mquina virtual. 2. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar . 3. Cierre el Iniciador de laboratorio 6824A. Resultado: Al finalizar este ejercicio, habr configurado la Auditora de AD DS. Ejercicio 3: Respuestas claves (pasos detallados)

Revisin del laboratorio

Preguntas de revisin 1. Qu tipos de eventos se registran en el registro Instalacin? 2. Para qu identificador de eventos aplicara un filtro a fin de ver las cuentas de usuario eliminadas? 3. Qu servicio debe habilitar en los equipos que recopilan eventos de suscripcin de equipos remotos? 4. Dnde puede encontrar informacin actualizada acerca de los identificadores de eventos? 5. Dnde puede encontrar informacin histrica acerca de los errores de la aplicacin? 6. El contador NTDS/N de sincronizaciones de duplicacin DRA pendientes es actualmente superior al valor bsico establecido para el contador. Qu podra indicar esto? 7. Desea ver todas las repeticiones de un identificador de eventos determinado en varios registros. Cul es la mejor manera de lograrlo? Observaciones para implementar el Plan de supervisin de AD DS Tenga en cuenta lo siguiente cuando desee implementar un plan de supervisin de AD DS: Visor de eventos permite guardar los filtros como vistas personalizadas reutilizables. Las consultas entre registros le permiten visualizar los datos de varios registros en una vista nica. Las suscripciones le permiten reunir eventos de equipos remotos. Los Registros de aplicaciones y servicios ofrecen registros ms detallados que corresponden a servicios especficos de Windows. Los registros de eventos en lnea brindan informacin actualizada acerca de los eventos. Los registros de aplicaciones y servicios incluyen los registros operativos, analticos, de administracin y de depuracin. Se crear un registro para cada funcin del servidor que instale. Es posible importar y exportar las vistas personalizadas. Las suscripciones requieren configuracin tanto en los equipos de recopilacin como en los equipos de origen.

Monitor de confiabilidad y rendimiento de Windows brinda informacin en tiempo real en la vista de recursos. Monitor de confiabilidad brinda grfico de la estabilidad del sistema a travs del tiempo. Es posible generar informes fciles de usar. Monitor de rendimiento ofrece una amplia gama de objetos y contadores de AD DS. Debe establecer lneas de base a fin de determinar el rendimiento de un equipo durante una carga de trabajo normal. Informe de estabilidad del sistema realiza un seguimiento de varias categoras de eventos y desarrolla un registro histrico. Conjuntos de recopiladores de datos le permite agrupar recopiladores de datos en elementos reutilizables. Hay varios Conjuntos de recopiladores de datos integrados, aunque tambin puede definir el suyo. La auditora de AD DS puede realizar un seguimiento de todos los eventos que ocurren en AD DS. El Acceso del servicio de directorio de auditora est dividido en cuatro subcategoras. La subcategora Cambios de servicio del directorio ofrece los valores nuevos y anteriores al modificar los atributos. Debe utilizar [Link] para configurar las subcategoras. Las SACL deben establecerse en los objetos para permitir la auditora antes de recopilar los resultados. La subcategora Cambios de servicio del directorio ofrece los valores nuevos y anteriores al modificar los atributos. Debe utilizar [Link] para configurar las subcategoras. Las SACL deben establecerse en los objetos para permitir la auditora antes de recopilar los resultados.

Modulo 9 : Implementacin de un plan de mantenimiento de Servicios de dominio de Active Directory

Mdulo 9

Implementacin de un plan de mantenimiento de Servicios de dominio de Active Directory

Como administrador de Windows Server2008, una de las tareas que deber realizar es el mantenimiento de los controladores de dominio de Servicios de dominio de Active Directory (AD DS) de la organizacin. Un componente importante para el mantenimiento de los controladores de dominio es administrar, hacer copias de seguridad y restaurar el almacn de datos de AD DS.

Leccin 1: Mantenimiento de los controladores de dominio de AD DS Leccin 2: Copias de seguridad de Servicios de dominio de Active Directory Leccin 3: Restauracin de AD DS Laboratorio: Implementacin de un plan de mantenimiento de AD DS

Leccin 1: Mantenimiento de los controladores de dominio de AD DS

Leccin 1:

Mantenimiento de los controladores de dominio de AD DS

El mantenimiento de la base de datos de AD DS es una tarea administrativa importante que se debe programar regularmente para garantizar que, ante un desastre, se puedan recuperar los datos perdidos o daados y reparar la base de datos de AD DS. AD DS cuenta con su propio motor de base de datos, el Motor de almacenamiento extensible (ESE), que administra el almacenamiento de todos los objetos de AD DS en una base de datos de AD DS. Al comprender cmo se escriben en la base de datos los cambios realizados a los atributos de AD DS, tambin se comprender cmo la modificacin de los datos afecta el rendimiento y la fragmentacin de la base de datos y la integridad de los datos.

Base de datos y archivos de registro de AD DS

Puntos clave El motor de base de datos de AD DS, ESE, almacena todos los objetos de AD DS. El ESE usa transacciones y archivos de registro para asegurar la integridad de la base de datos de AD DS. Material de lectura adicional Artculo de Microsoft Technet: How the Data Store Works (Cmo funciona el almacn de datos)

Cmo se modifica la base de datos de AD DS

Puntos clave Los puntos clave en el proceso de modificacin de datos de AD DS son los siguientes: Una transaccin es un conjunto de cambios realizados a la base de datos de AD DS y a los metadatos asociados. El proceso bsico de modificacin de datos consta de 6 pasos: 1. La solicitud de escritura da inicio a una transaccin. 2. AD DS escribe la transaccin en el bfer de transacciones de la memoria. 3. AD DS escribe la transaccin en el registro de transacciones. 4. AD DS escribe la transaccin en la base de datos desde el bfer de memoria. 5. AD DS compara los archivos de la base de datos y los archivos de registro para asegurarse de que la transaccin se haya guardado en la base de datos. 6. AD DS actualiza el archivo de punto de control. El hecho de contar con una memoria cach y un registro le permite a AD DS procesar transacciones adicionales antes de escribirlas en la base de datos, mejorando as el rendimiento de la base de datos. Preguntas: Qu otros servicios de Microsoft usan un modelo transaccional para realizar cambios en la base de datos? Cmo se compara el modelo de AD DS con estos otros servicios? Material de lectura adicional Artculo de Microsoft Technet: How the Data Store Works (Cmo funciona el almacn de datos)

Administracin de la base de datos de Active Directory usando la herramienta NTDSUtil

Puntos clave [Link] es una herramienta de lnea de comandos que se puede usar para administrar AD DS. Se pueden realizar muchas tareas de mantenimiento que no pueden hacerse en la interfaz grfica de usuario (GUI), incluso desfragmentar la base de datos sin conexin, mover la base de datos y su registro de transacciones, quitar y restaurar los objetos eliminados de AD DS, asumir las funciones del maestro de operaciones (tambin denominado Flexible Single Master Operations; FSMO) y administrar las instantneas de la base de datos. Tambin se pueden incluir estos comandos en un archivo por lotes. Pregunta: Ha olvidado la contrasea de modo de restauracin de servicios de directorio para su controlador de dominio. De qu manera puede recuperar la contrasea? Material de lectura adicional NTDSUtil Help (Ayuda para la herramienta NTDSUtil) Data Store Tools and Settings (Herramientas y configuracin del almacn de datos)

Qu es la desfragmentacin de la base de datos de AD DS?

Puntos clave Con el tiempo, se produce la fragmentacin a medida que los registros se eliminan de la base de datos de AD DS y se agregan o se expanden nuevos registros. Cuando se fragmentan los registros, el equipo debe buscar en el disco para encontrar y reensamblar todas las partes cada vez que se abre la base de datos. Si se realizan muchos cambios en la base de datos de AD DS, la fragmentacin podra reducir su rendimiento. Pregunta: Con cunta frecuencia deber realizar una desfragmentacin sin conexin de las bases de datos de AD DS en su entorno? Material de lectura adicional Performing offline defragmentation of the AD DS database (Realizar la desfragmentacin sin conexin de la base de datos de AD DS) Data Store Tools and Settings (Herramientas y configuracin del almacn de datos)

Qu son los Servicios de dominio de Active Directory reiniciables?

Puntos clave En Windows Server 2008, AD DS puede ser detenido y reiniciado mientras que la mquina se inicia. En las versiones anteriores, si un administrador deseaba iniciar un controlador de dominio sin cargar AD DS, el servidor deba ser reiniciado en Modo de restauracin de Active Directory. Esto iniciaba el servidor como un servidor independiente, sin AD DS. Luego se podan realizar tareas de mantenimiento sin conexin, como una desfragmentacin sin conexin, o mover la base de datos y archivos de registro. Con Windows Server 2008, el servicio de directorio puede ser desconectado mientras la mquina se est ejecutando, causando slo una mnima interrupcin en los dems servicios. Material de lectura adicional AD DS: Servicios de dominio de AD DS reiniciables Biblioteca tcnica de Windows Server 2008

Demostracin: Tareas de mantenimiento de la base de datos de AD DS

Pasos de demostracin Para realizar estos pasos se debe ser miembro del grupo integrado Administradores en el controlador de dominio. 1. Detener AD DS. 2. Abrir un smbolo del sistema. 3. Iniciar ntdsutil. 4. En el smbolo de ntdsutil: escribir Activate Instance NTDSy luego presionar ENTER. 5. En el smbolo de ntdsutil: escribir files y luego presionar ENTER. 6. Compactar la base de datos usando un directorio temporal para el nuevo [Link]. 7. Sobrescribir el [Link] anterior con la versin nueva compactada y eliminar cualquier archivo de registro (*.log) en la carpeta %raz del sistema (systemroot)%\NTDS\. 8. En la ventana del comando Mantenimiento de archivo de ntdsutil, escribir Integrity para comprobar la integridad de la nueva base de datos compactada. 9. En la ventana del comando Mantenimiento de archivo, escribir mover db a nombre de ruta y luego presionar ENTER. El archivo [Link] se mover a la nueva ubicacin y se establecern los permisos en consecuencia. 10. Iniciar AD DS. Preguntas: Por qu es necesario detener AD DS antes de desfragmentar? Por qu es necesario compactar primero la base de datos en un directorio temporal? Material de lectura adicional Compact the directory database file (offline defragmentation) ((Compactar el archivo de directorio de la base de datos (desfragmentacin sin conexin))

Bloqueo de servicios en los controladores de dominio de AD DS

Puntos clave Como parte de un amplio plan de seguridad, se puede incrementar la seguridad de un controlador de dominio eliminando todos los servicios y caractersticas innecesarios. Esto minimiza la superficie de ataque y mejora el rendimiento. Material de lectura adicional Security Configuration Wizard Overview (Descripcin general del Asistente para configuracin de seguridad)

Leccin 2: Copias de seguridad de Servicios de dominio de Active Directory

Leccin 2:

Copia de seguridad de Servicios de dominio de Active Directory

Debido a la importancia que tiene AD DS para la mayora de las organizaciones, es importante poder restaurar la funcionalidad de AD DS en caso de daos en la base de datos, errores del servidor o un desastre mucho mayor, como el error de un centro de datos que contiene mltiples servidores. Para prepararse para la recuperacin ante desastres se debe implementar una directiva consistente para hacer una copia de seguridad de la informacin de AD DS que se encuentra en los controladores de dominio.

Introduccin a la copia de seguridad de AD DS

Puntos clave Puede usar Copias de seguridad de Windows Server para hacer una copia de seguridad de AD DS. Copias de seguridad de Windows Server no est instalada de manera predeterminada. Debe instalarla usando Agregar caractersticas en Administrador de servidores antes de que poder usar la herramienta de lnea de comandos [Link] y la herramienta Copia de seguridad en Herramientas administrativas. Pregunta: Qu otro proceso se podra usar para hacer una copia de seguridad de los datos de estado del sistema que se encuentran en un controlador de dominio? Material de lectura adicional Step-by-Step Guide for Windows Server 2008 Beta 3 Active Directory Domain Services Backup and Recovery (Gua paso a paso para operaciones de copia de seguridad y recuperacin de Servicios de dominio de Active Directory de Windows Server 2008 Beta 3)

Caractersticas de las copias de seguridad de Windows Server

Puntos clave Copias de seguridad de Windows Server es la nueva utilidad de copias de seguridad que brinda Windows Server 2008. Para usar Copias de seguridad de Windows Server, debe instalarla como una caracterstica. Si desea usar las herramientas de lnea de comandos Copias de seguridad de Windows Server tambin debe instalar la caracterstica Windows PowerShell. Material de lectura adicional Biblioteca tcnica de Windows Server 2008

Demostracin: Copia de seguridad de AD DS

Preguntas: Por qu deberan programarse las copias de seguridad? Con cunta frecuencia debera hacerse una copia de seguridad completa? Con cunta frecuencia debera hacerse una copia de seguridad incremental o diferencial? Material de lectura adicional Step-by-Step Guide for Windows Server 2008 Beta 3 Active Directory Domain Services Backup and Recovery (Gua paso a paso para operaciones de copia de seguridad y recuperacin de Servicios de dominio de Active Directory de Windows Server 2008 Beta 3)

Leccin 3: Restauracin de AD DS
Leccin 3:

Restauracin de AD DS

Luego de implementar el sistema de copias de seguridad de AD DS, puede comenzar a planear e implementar la restauracin de AD DS. Windows Server 2008 brinda varias opciones para restaurar la informacin de AD DS. Esta leccin describe cundo y cmo usar cada opcin.

Descripcin general de la restauracin de AD DS

Puntos clave Windows Server 2008 brinda varias opciones para restaurar la informacin de AD DS. La opcin que elija depender del escenario de recuperacin ante desastres que deba abordar. Material de lectura adicional Step-by-Step Guide for Windows Server 2008 Beta 3 Active Directory Domain Services Backup and Recovery (Gua paso a paso para operaciones de copia de seguridad y recuperacin de Servicios de dominio de Active Directory de Windows Server 2008 Beta 3)

Qu es una restauracin no autoritativa de AD DS?

Puntos clave Se puede usar una copia de seguridad para realizar una restauracin no autoritativa de un controlador de dominio. Una restauracin no autoritativa devuelve el servicio de directorio al estado en que se encontraba en el momento en que se hizo la copia de seguridad. Una vez finalizada la operacin de restauracin, la replicacin de AD DS actualiza el controlador de dominio con los cambios ocurridos desde el momento en que se hizo la copia de seguridad. De esta manera, el controlador de dominio es recuperado a un estado actual. Pregunta: Qu sucedera si no escribe el segundo comando bcdedit despus de restaurar la base de datos de AD DS? Material de lectura adicional Step-by-Step Guide for Windows Server 2008 Beta 3 Active Directory Domain Services Backup and Recovery (Gua paso a paso para operaciones de copia de seguridad y recuperacin de Servicios de dominio de Active Directory de Windows Server 2008 Beta 3)

Qu es una restauracin autoritativa de AD DS?

Puntos clave Una restauracin autoritativa brinda un mtodo para la recuperacin de objetos y contenedores que han sido eliminados de AD DS. Cuando se marca un objeto para su restauracin autoritativa, se modifica su nmero de versin para que sea mayor que el nmero de versin existente del objeto (eliminado) en el sistema de replicacin de AD DS. Este cambio asegura que cualquier dato que se restaure de manera autoritativa se replicar desde el controlador de dominio restaurado a otros controladores de dominio del bosque. Pregunta: Qu sucedera si no escribe el segundo comando bcdedit despus de restaurar la base de datos de AD DS? Material de lectura adicional Step-by-Step Guide for Windows Server 2008 Beta 3 Active Directory Domain Services Backup and Recovery (Gua paso a paso para operaciones de copia de seguridad y recuperacin de Servicios de dominio de Active Directory de Windows Server 2008 Beta 3) Performing an Authoritative Restore of Active Directory Objects (Realizar una restauracin autoritativa de Objetos de Active Directory)

Qu es la herramienta de minera de datos?

Puntos clave La herramienta de montaje de bases de datos ([Link]) permite a los administradores visualizar y comparar datos en instantneas de base de datos (copias de seguridad) sin la necesidad de restaurar esas copias de seguridad. Esto reduce el tiempo de inactividad y acelera el proceso de recuperacin del dominio. Material de lectura adicional AD DS: herramienta de montaje de bases de datos Step-by-Step Guide for Using the Active Directory Database Mounting Tool in Windows Server 2008 Beta 3 (Gua paso a paso para usar la Herramienta de montaje de bases de datos de Active Directory en Windows Server 2008 Beta 3)

Demostracin: Uso de la herramienta de minera de datos

Pasos de demostracin Para realizar este procedimiento, debe haber iniciado sesin en un controlador de dominio ya sea como miembro del grupo Administradores de empresas o como miembro del grupo Administradores de dominio. 1. Iniciar un smbolo del sistema con privilegios administrativos. 2. En el smbolo del sistema, escriba ntdsutil y luego presione ENTER. 3. En el smbolo de ntdsutil, escriba instantnea y luego presione ENTER. 4. En el smbolo de la instantnea, escriba Activate Instance y luego presione ENTER. 5. En el smbolo de la instantnea, escriba create y luego presione ENTER. El comando devuelve el siguiente resultado: Snapshot set {GUID} generated successfully [Conjunto de instantneas {GUID} correctamente generado]. 6. En el smbolo de la instantnea, escriba mount {GUID}. La instantnea montada aparecer en el sistema de archivos. Nota: Asegrese de escribir el nmero GUID entre llaves. 7. Escriba quit dos veces para volver al smbolo del sistema. 8. En el smbolo del sistema, escriba lo siguiente (en una lnea) y luego presione ENTER: Dsamain -dbpath:C:\$SNAP_200708311630_VOLUMEC$\WINDOWS\NTDS\[Link] -ldapport:51389 -sslport:51390 -gcport:51391 -gcsslport:51392 Nota: Su ruta de acceso a la instantnea probablemente ser diferente. 9. Un mensaje indica que el inicio de Servicios de dominio de Active Directory se ha completado. Deje que [Link] contine ejecutndose. No cierre el smbolo del sistema. 10. En la lnea de ejecucin, escriba LDP y luego haga clic en Aceptar . 11. Haga clic en Conexin y luego haga clic en Conectar . 12. En Servidor, escriba localhost; en Puerto, escriba 51389 y luego haga clic en Aceptar . 13. Haga clic en Conexin y luego haga clic en Enlazar .

14. En Tipo de enlace, haga clic en Enlazar como usuario con sesin iniciada y luego haga clic en Aceptar . 15. Haga clic en Ver y luego en rbol. 16. En BaseDN, escriba dc=woodgrovebank,dc=com. 17. Busque en los contenedores un objeto de usuario y luego haga doble clic en el usuario para ver sus propiedades. 18. Cierre [Link]. 19. Detenga [Link] presionando Ctrl+C. Preguntas: Cundo sera til montar mltiples instantneas al mismo tiempo? Por qu es necesario especificar diferentes puertos LDAP, SSL y GC para cada instancia montada de la base de datos? Material de lectura adicional Step-by-Step Guide for Using the Active Directory Database Mounting Tool in Windows Server 2008 Beta 3 (Gua paso a paso para usar la Herramienta de montaje de bases de datos de Active Directory en Windows Server 2008 Beta 3)

Reanimacin de objetos desechados de AD DS

Puntos clave Un objeto desechado es un objeto que se marca como eliminado en AD DS. Cuando un administrador elimina un objeto, ste se convierte en un desecho. Los objetos desechados permanecen en la base de datos de AD DS en estado desactivado durante 180 das (duracin predeterminada de los objetos desechados). Los objetos desechados se replican a los dems controladores de todo el dominio y luego se eliminan en cada controlador de dominio al finalizar su tiempo de vida. Cuando un objeto se marca como desecho, el atributo esEliminado en el objeto se establece en valor True y la mayora de los atributos son eliminados. Slo se conservan algunos atributos importantes (SID, ObjectGUID, LastKnownParent y SAMAccountName). Esto significa que si el administrador reanima el objeto, ste ya no contar con toda la informacin que sola tener. Se deben recrear manualmente los valores de atributo que falten. Nota: La Herramienta de montaje de bases de datos puede usarse para ver los atributos de los objetos eliminados en una instantnea realizada antes de la eliminacin del mismo. Esto hace que sea ms fcil recuperar el elemento eliminado Material de lectura adicional How to restore deleted user accounts and their group memberships in Active Directory (Cmo restaurar cuentas de usuario eliminadas y su pertenencia a grupos en Active Directory)

Laboratorio: Implementacin de un plan de mantenimiento de AD DS

Laboratorio: Implementacin de un plan de mantenimiento de Servicios de dominio de Active Directory

Escenario Woodgrove Bank ha finalizado la implementacin de AD DS. Para garantizar una alta disponibilidad y rendimiento de los servidores de AD DS, la organizacin est implementando un plan de mantenimiento que incluye el mantenimiento continuo de la base de datos de AD DS y la implementacin de un plan de recuperacin ante desastres. El administrador del servidor ha preparado un plan de copias de seguridad que incluye el volumen diario del sistema de un controlador de dominio, en cada dominio. El administrador del servidor tambin ha preparado planes para la recuperacin de datos de AD DS en varios escenarios. Debe implementar estos planes.

Ejercicio 1: Mantenimiento de los controladores de dominio de AD DS

Ejercicio 1: Mantenimiento de los controladores de dominio de AD DS
En este ejercicio, se implementar un plan para el mantenimiento de los controladores de dominio de AD DS. Las tareas incluyen la ejecucin de SCW para deshabilitar todos los servicios que no se requieren en los controladores de dominio, mover las bases de datos de AD DS a un disco duro alternativo y realizar una desfragmentacin sin conexin de la base de datos de AD DS. Las principales tareas para este ejercicio se realizarn como se detalla a continuacin: 1. Iniciar las mquinas virtuales y luego iniciar sesin. 2. Usar el Asistente para configuracin de seguridad para bloquear servicios y configurar el firewall en NYC-DC1. 3. Realizar una desfragmentacin sin conexin de la base de datos de AD DS. 4. Mover la base de datos de AD DS.
Tarea 1: Iniciar la mquina virtual y luego iniciar sesin

1. En el equipo, haga clic en Inicio, elija Todos los programas, luego Microsoft Learning y haga clic en 6824A. Se inicia Iniciador de laboratorio. 2. En Iniciador de laboratorio, junto a 6824A-NYC-DC1, haga clic en Iniciar. 3. Inicie sesin en NYC-DC1 como Administrador , usando la contrasea Pa$$w0rd. 4. Minimice la ventana Iniciador de laboratorio.
Tarea 2: Usar el Asistente para configuracin de seguridad para bloquear servicios y configurar el firewall en NYC-DC1

1. Inicie el Asistente para configuracin de seguridad desde el Administrador del servidor. 2. Elija la opcin para crear una nueva directiva de seguridad para NCY-DC1. 3. Ejecute el Asistente para configuracin de seguridad con las siguientes opciones: Asegrese de que est seleccionada la funcin del servidor Controlador de dominio (Active Directory). Habilite el servicio Active Directory: Modo de Planeamiento de RsoP. 4. Acepte los valores predeterminados de la configuracin de Firewall de Windows. 5. Establezca Configuraciones de registro como se detalla a continuacin: Requerir: Firmas de seguridad SMB. Habilitar slo equipos cliente que ejecuten Windows 2000 Service Pack 3 o posterior. Permitir slo Windows NT 4.0 Service Pack 6a o sistemas operativos posteriores y Relojes que estn sincronizados con el reloj del servidor seleccionado. No permitir la conexin de Equipos que requieren autenticacin del administrador de LAN y Equipos que no estn configurados para usar autenticacin NTLMv2. 6. Configure Directiva de auditora para auditar actividades correctas e incorrectas. 7. Guarde la directiva de seguridad usando el nombre de archivo c:\windows\seguridad\msscw\directivas \[Link]. 8. Elija la opcin para aplicar la directiva ms adelante.
Tarea 3: Realizar una desfragmentacin sin conexin de la base de datos de AD DS

1. En NYC-DC1, detenga Servicios de dominio de Active Directory. 2. Abra un smbolo del sistema e inicie la herramienta ntdsutil.

3. Active la instancia de NTDS. 4. Use el comando files para compactar la base de datos de AD DS en C:\temp. 5. Compruebe la integridad de la base de datos desfragmentada. 6. Copie el archivo c:\temp\[Link] en c:\Windows\NTDS\[Link]. 7. Elimine todos los archivos de registro de la carpeta C:\Windows\NTDS. 8. Inicie Servicios de dominio de Active Directory.
Tarea 4: Mover la base de datos de AD DS

1. En NYC-DC1, detenga Servicios de dominio de Active Directory. 2. Abra un smbolo del sistema e inicie la herramienta ntdsutil. 3. Active la instancia de NTDS. 4. Use el comando Mantenimiento de archivos para mover la base de datos de AD DS a C:\Datos. 5. Inicie Servicios de dominio de Active Directory. Resultado: Al finalizar este ejercicio, habr instalado SCW para bloquear servicios en un controlador de dominio de AD DS y realizado tareas de mantenimiento de la base de datos de AD DS. Ejercicio 1: Respuestas claves (pasos detallados)

Ejercicio 2: Copia de seguridad de AD DS

Ejercicio 2: Copia de seguridad de AD DS
En este ejercicio, se instalar la caracterstica Copias de seguridad de Windows Server, que luego se usar para programar las copias de seguridad de la informacin de AD DS. Tambin se harn copias de seguridad del volumen del sistema a peticin. Las principales tareas para este ejercicio se realizarn como se detalla a continuacin: 1. Instalar las caractersticas Copias de seguridad de Windows Server. 2. Crear una Copia de seguridad programada. 3. Completar una Copia de seguridad a peticin.
Tarea 1: Instalar la caracterstica Copias de seguridad de Windows Server

En Administrador del servidor , instale las caractersticas Copias de seguridad de Windows Server.
Tarea 2: Crear una copia de seguridad programada

1. Inicie Copias de seguridad de Windows Server y cree copias de seguridad programadas con la siguiente configuracin: Tipo de copia de seguridad: Personalizada Elementos de copia de seguridad: C: unidad nica Hora de la copia de seguridad: 12:00 a.m. todos los das Disco de destino: Disco 1 2. Abra Programador de tareas y revise la tarea de copia de seguridad programada que acaba de crear.
Tarea 3: Completar una copia de seguridad a peticin

1. En la ventana Copias de seguridad de Windows, en el panel Acciones, haga clic en Copia de seguridad nica. 2. Establezca la copia de seguridad de manera tal que su configuracin sea la siguiente: Tipo de copia de seguridad: Personalizada Elementos de copia de seguridad: C: unidad nica Opcin avanzada: Copia de seguridad completa de VSS 3. La copia de seguridad demorar entre 10 y 15 minutos en completarse. Cuando haya finalizado, cierre Copias de seguridad de Windows Server. Resultado: Al finalizar este ejercicio, habr instalado la caracterstica Copias de seguridad de Windows Server y la habr usado para programar copias de seguridad de la informacin de AD DS y para hacer copias de seguridad a peticin. Ejercicio 2: Respuestas claves (pasos detallados)

Ejercicio 3: Restauracin no autoritativa de la base de datos de AD DS

Ejercicio 3: Restauracin no autoritativa de la base de datos de AD DS
En este ejercicio, se realizar una restauracin autoritativa de la base de datos de AD DS. Luego, se comprobar que la replicacin no sobrescriba los datos restaurados. Las principales tareas se realizarn como se detalla a continuacin: 1. Eliminar la unidad organizativa Toronto. 2. Reiniciar NYC-DC1 en Modo de restauracin de servicios de directorio. 3. Restaurar los datos de estado del sistema. 4. Marcar como autoritativa la informacin restaurada y luego reiniciar el servidor. 5. Comprobar que los datos eliminados hayan sido restaurados. 6. Cerrar todas las mquinas virtuales y descartar los discos para deshacer.
Tarea 1: Eliminar la unidad organizativa Toronto

1. En NYC-DC1, abra Usuarios y equipos de Active Directory. 2. Elimine la unidad organizativa Toronto.
Tarea 2: Reiniciar NYC-DC1 en Modo de restauracin de servicios de directorio

1. Inicie un smbolo del sistema con permisos de administrador. 2. Use bcdedit /set safeboot dsrepair para configurar el servidor a fin de que se inicie en Modo de restauracin de servicios de directorio. 3. Reinicie el servidor.
Tarea 3: Restaurar los datos de estado del sistema

1. Inicie sesin como Administrador usando la contrasea Pa$$w0rd. 2. Inicie un smbolo del sistema con permisos de administrador. 3. Use el comando wbadmin get versions -backuptarget: D: -machine: NYC-DC1 para obtener la informacin de la versin de la copia de seguridad que hizo. 4. Restaure la informacin de estado del sistema usando el comando wbadmin start systemstaterecovery -version: versin -machine: NYC-DC1.
Tarea 4: Marcar como autoritativa la informacin restaurada y reiniciar el servidor

1. En el smbolo del sistema, use NTDS para realizar una restauracin autoritativa de OU=Toronto,DC=Woodgrovebank,DC=com 2. Para reiniciar el servidor normalmente despus de realizar la operacin de restauracin, escriba bcdedit /deletevalue safeboot y luego presione ENTER. 3. Reinicie el servidor.
Tarea 5: Comprobar que los datos eliminados hayan sido restaurados

1. Luego de que se reinicia el servidor, inicie sesin como Administrador . 2. Abra Usuarios y equipos de Active Directory y compruebe que la unidad organizativa Toronto haya sido restaurada. 3. En NYC-DC2, abra Usuarios y equipos de Active Directory. Compruebe que la unidad organizativa Toronto

tambin haya sido restaurada en este servidor.

Tarea 6: Cerrar todas las mquinas virtuales y descartar los discos para deshacer

1. Por cada mquina virtual que est ejecutndose, cierre la ventana Control remoto de mquinas virtuales. 2. En el cuadro Cerrar , seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar . 3. Cierre Iniciador de laboratorio 6824A. Resultado: Al finalizar este ejercicio, habr realizado una restauracin autoritativa de la informacin de AD DS. Ejercicio 3: Respuestas claves (pasos detallados)

Ejercicio 4: Restauracin autoritativa de la base de datos de AD DS

Ejercicio 4: Restauracin autoritativa de la base de datos de AD DS
En este ejercicio, se usar la herramienta de montaje de bases de datos de AD DS para ayudar a restaurar los datos de un objeto de AD DS eliminado. Las tareas incluyen el uso de NTDSUtil para crear instantneas de volumen de AD DS, la eliminacin de una cuenta de usuario desde AD DS y el uso de NTDSUtil para montar la instantnea. Luego restaurar la cuenta usando LDP y ver los detalles de la cuenta desde la instantnea. Las principales tareas en este ejercicio son: 1. Iniciar la mquina virtual y luego iniciar sesin. 2. Crear y montar una instantnea de la informacin de AD DS. 3. Modificar y luego eliminar una cuenta de usuario en AD DS. 4. Usar LDP para restaurar la cuenta de usuario eliminada. 5. Ver la informacin de la cuenta de usuario eliminada en la instantnea montada.
Tarea 1: Iniciar las mquinas virtuales y luego iniciar sesin

1. En la mquina host, haga clic en Inicio, elija Todos los programas, luego Microsoft Learning y haga clic en 6824A. Se inicia Iniciador de laboratorio. 2. En Iniciador de laboratorio, junto a 6824A-NYC-DC1, haga clic en Iniciar. 3. Inicie sesin en NYC-DC1 como Administrador , usando la contrasea Pa$$w0rd. 4. Minimice la ventana Iniciador de laboratorio.
Tarea 2: Crear y montar una instantnea de la informacin de AD DS

1. En NYC-DC1, en Usuarios y equipos de Active Directory, en la unidad organizativa AdminsTI, haga clic con el botn secundario en Axel Delgado y luego haga clic en Propiedades. Agregue la siguiente informacin a las propiedades de la cuenta de usuario y luego haga clic en Aceptar : Descripcin: Administrador TI Oficina: Casa Matriz Nmero de telfono: 555-5555 2. Inicie un smbolo del sistema con permisos de administrador. 3. En el smbolo del sistema, escriba ntdsutil y luego presione ENTER. 4. En el smbolo de ntdsutil, escriba instantnea y luego presione ENTER. 5. En el smbolo de la instantnea, escriba Activate Instance NTDSy luego presione ENTER. 6. En el smbolo de la instantnea, escriba crear y luego presione ENTER. El comando devuelve el siguiente resultado: Conjunto de instantneas {GUID} generadas correctamente. Deje abierta esta ventana. 7. En el smbolo de la instantnea, escriba mount {GUID} y luego presione ENTER. El GUID es el GUID que se mostr en el comando anterior. La instantnea montada aparecer en el sistema de archivos. 8. En el smbolo de la instantnea, escriba listar todo y luego presione ENTER. Identifique el nmero asignado a la instantnea que acaba de crear. 9. En el smbolo de la instantnea, escriba mount nmero y luego presione ENTER. El nmero es el nmero que se mostr en el comando anterior. La instantnea montada aparecer en el sistema de archivos. 10. Salga de NTDSUtil, pero mantenga abierto el smbolo del sistema.
Tarea 3: Eliminar una cuenta de usuario

Elimine la cuenta de Axel Delgado.

Tarea 4: Usar LDP para restaurar la cuenta de usuario eliminada

1. En el smbolo del sistema, escriba el siguiente comando y luego presione ENTER. Dsamain -dbpath <ruta de acceso a la instantnea [Link]>-ldapport 51389 2. No cierre el smbolo del sistema. 3. Inicie LDP y luego conecte y enlace al servidor local. 4. En el men Opciones, agregue el control Devolucin de objetos eliminados. 5. En el men Visualizar , haga clic en rbol y luego en Aceptar . 6. ExpandaDC=Woodgrove Bank,DC=com y luego haga clic en CN=Deleted Items,DC=Woodgrove Bank,DC=com. 7. Haga clic con el botn secundario en CN=Axel Delgado y luego haga clic en Modificar . 8. En el cuadro Atributos, escriba esEliminado debajo de Operacin, luego haga clic en Eliminar y presione ENTER. 9. En el cuadro Atributos, escriba distinguishedName. 10. En el cuadro Valores, escriba CN=Axel Delgado,ou=AdminsTI,dc=woodgrovebank,dc=com. 11. En Operacin, haga clic en Reemplazar y luego presione ENTER. 12. Seleccione la casilla Extendido y luego haga clic en Ejecutar. 13. Abra Usuarios y equipos de Active Directory y compruebe que la cuenta de Axel Delgado haya sido restaurada en la unidad organizativa AdminsTI y que la cuenta est deshabilitada.
Tarea 5: Ver la informacin de la cuenta de usuario eliminada en la instantnea montada

1. Haga clic en Inicio y en Ejecutar, escriba LDP y luego haga clic en Aceptar . 2. Conecte y enlace al localhost, usando el puerto 51389. 3. En BaseDN, escriba dc=woodgrovebank,dc=com. 4. Busque la unidad organizativa AdminsTI y haga doble clic en CN=Axel Delgado. Visualice los atributos Descripcin, NombreOficinaFsicaEntrega y Nmero de telfono. Ahora puede agregar la informacin que se encuentra en estos atributos al objeto de usuario de Usuarios y equipos de Active Directory. Cierre [Link].
Tarea 6: Cerrar todas las mquinas virtuales y descartar los discos para deshacer

1. Por cada mquina virtual que est ejecutndose, cierre la ventana Control remoto de mquina virtual. 2. En el cuadro Cerrar , seleccione Apagar la mquina y descartar los cambios y luego haga clic en Aceptar . 3. Cierre Iniciador de laboratorio de 6824A. Resultado: Al finalizar este ejercicio, habr restaurado una cuenta de usuario eliminada y habr visualizado las propiedades del usuario restaurado usando la herramienta de montaje de bases de datos de AD DS. Ejercicio 4: Respuestas claves (pasos detallados)

Revisin del laboratorio

Revisin y conclusiones del mdulo

Preguntas de revisin 1. Uno de los controladores de dominio se est quedando sin espacio en el disco duro. Ha modificado el controlador de dominio para que ya no sea un servidor de catlogo global, pero advierte que el tamao de la base de datos de AD DS no se reduce. Qu debera hacer para recuperar espacio de disco duro en el servidor? 2. Le preocupa la cantidad de espacio en disco que usan la base de datos de AD DS y los archivos de registro. Cmo determina el tamao de la base de datos y de los archivos de registro? 3. Ha instalado Copias de seguridad de Windows Server en el controlador de dominio. Slo cuenta con dos unidades en el equipo y ambas estn siendo usadas para los archivos de datos o de sistema. Qu tipos de copias de seguridad debera usar para asegurar su entorno de AD DS? 4. No funciona ningn controlador de dominio en su dominio. Est intentando reconstruir el dominio a partir de la copia de seguridad de AD DS en un controlador de dominio. Qu tipo de restauracin debe usar para reconstruir el dominio? 5. Accidentalmente elimin una cuenta de usuario de AD DS. Qu opciones tiene para lograr que la cuenta vuelva a estar disponible? Observaciones para el mantenimiento de AD DS Complementar o modificar los siguientes procedimientos recomendados segn las situaciones de trabajo: La supervisin es un componente esencial para el mantenimiento de un entorno de AD DS. Un programa eficaz de supervisin puede alertarlo acerca de las situaciones en que deber realizar tareas de mantenimiento antes de que stas se vuelvan ms graves. Compare el esfuerzo realizado en la restauracin de objetos de AD DS con el esfuerzo que se realiza en la restauracin de los objetos y en la reanimacin de los objetos eliminados. Si se ha eliminado una sola cuenta de usuario, por lo general es mucho ms fcil recrear la cuenta que restaurarla. Si se ha eliminado una unidad organizativa completa, por lo general es ms rpido realizar una restauracin autoritativa que recrear todas las cuentas de la unidad organizativa. El paso ms importante en la preparacin para abordar los errores que se producen en los controladores de dominio es implementar ms de un controlador de dominio en un dominio. Si cuenta con un segundo controlador de dominio disponible, los servicios de AD DS continuarn estando disponibles y se puede instalar fcilmente un controlador de dominio adicional para reemplazar el servidor en el que se ha producido el error. Si cuenta con un solo controlador de dominio en el dominio y se produce un error, deber restaurar AD DS a partir

de la copia de seguridad. Si anticipa que necesitar usar las instantneas Herramienta de montaje de bases de datos de manera regular, considere crear una tarea programada para generar una instantnea regularmente. Herramientas Use las siguientes herramientas al configurar sitios y replicaciones de AD DS:

Herramienta

Usar para

Dnde encontrarla

Copias de seguridad de Windows Server

Hacer copias de seguridad y restaurar la informacin de AD DS u otros datos en un equipo con Windows Server 2008.

Debe estar instalado como una caracterstica de Windows Server 2008. Haga clic en Inicio, elija Herramientas administrativas y luego haga clic en Copias de seguridad de Windows Server.

[Link]

Ver y modificar informacin acerca de los objetos de AD DS; reanimar los objetos eliminados.

Est instalada de manera predeterminada y es accesible desde un smbolo del sistema.

NTDSUtil

Administrar el almacn de datos de AD DS y las funciones del maestro de operaciones.

Est instalada de manera predeterminada y es accesible desde un smbolo del sistema.

Herramienta de montaje de bases de datos

Usada para crear y montar instantneas Accesible por medio de NTDSUtil. del almacn de datos de AD DS.

Modulo 10 : Solucin de problemas de Active Directory, DNS y replicacin

Mdulo 10

Solucin de problemas de Active Directory DNS Problemas frecuentes de replicacin

Como administrador del sistema operativo Windows Server2008, existe la posibilidad de que se deban solucionar problemas relacionados con Servicios de dominio de Active Directory (AD DS). Cuando AD DS est diseado e implementado de manera apropiada, proporciona una infraestructura de servicios de directorio muy estable. Sin embargo, incluso en los entornos ms estables, en ocasiones puede necesitarse solucionar problemas de AD DS relacionados con la autenticacin, autorizacin, replicacin o configuracin del Sistema de nombres de dominio (DNS).

Leccin 1: Solucin de problemas de Servicios de dominio de Active Directory Leccin 2: Solucin de problemas de integracin de DNS y AD DS Leccin 3: Solucin de problemas de replicacin de AD DS Laboratorio: Solucin de problemas de AD DS, DNS y replicacin

Leccin 1: Solucin de problemas de Servicios de dominio de Active Directory

Leccin 1:

Solucin de problemas de Servicios de dominio de Active Directory

Cuando los usuarios no puedan autenticarse en la red o no puedan obtener acceso a los recursos de red, se debe determinar si la causa del problema es un inconveniente de AD DS. El problema puede ser la conectividad de red, puede tratarse de un error de los servicios de red o un inconveniente de AD DS. En esta leccin aprender a identificar y solucionar problemas de AD DS.

Introduccin a solucin de problemas de AD DS

Puntos clave AD DS es un sistema distribuido compuesto de muchos servicios diferentes de los que depende para funcionar correctamente. Al solucionar problemas de AD DS, es necesario identificar el origen del problema y luego resolver el inconveniente especfico. Material de lectura adicional Overview of Active Directory Troubleshooting (Descripcin de la solucin de problemas de Active Directory) Active Directory Product Operations Guide (Gua de operaciones del producto Active Directory)

Discusin: Cmo resolver problemas de Servicios de dominio de Active Directory

Preguntas: Qu herramientas se usaran? Cmo podra comprobarse que la solucin es la adecuada?

Solucin de problemas ante errores de acceso de usuario

Puntos clave Existen varias razones posibles por las que un usuario no puede tener acceso a los recursos de red. Se pueden dividir en tres categoras bsicas.

Demostracin: Herramientas para solucionar problemas ante errores de acceso de usuario

Preguntas: Segn su experiencia, cul es la razn ms comn de errores de acceso de usuario en su organizacin? Qu pasos se pueden llevar a cabo para reducir la cantidad de errores de acceso de usuario y continuar conservando la seguridad en la red?

Solucin de problemas de rendimiento del controlador de dominio

Puntos clave Como un servicio distribuido, AD DS depende de varios servicios dependientes entre s que se distribuyen en numerosos dispositivos y ubicaciones remotas. A medida que aumenta el tamao de la red para aprovechar la escalabilidad de AD DS, el rendimiento del controlador de dominio podra convertirse en un problema. Material de lectura adicional Windows Server 2003 Active Directory Branch Office Guide (Gua para sucursales de Active Directory de Windows Server 2003) Analizar datos de rendimiento

Leccin 2: Solucin de problemas de integracin de DNS y AD DS

Leccin 2:

Solucin de problemas de integracin de DNS y Servicios de dominio de Active Directory

AD DS no puede funcionar sin DNS. Los clientes y servidores de aplicaciones como Microsoft Exchange Server usan DNS para buscar controladores de dominio y servicios. Los controladores de dominio y los servidores de catlogo global usan DNS para localizarse y luego replicarse unos a otros. Debido a esta integracin estrecha de AD DS y DNS, por lo general la solucin de problemas de AD DS comienza solucionando los problemas de DNS.

Descripcin general de la solucin de problemas de DNS y AD DS

Puntos clave Una de las razones ms comunes para los inconvenientes de AD DS es un problema con la infraestructura de DNS. En particular, la solucin de problemas de DNS debe comenzar cuando se presentan los inconvenientes enumerados en la diapositiva.

Solucin de problemas de resolucin de nombres DNS

Puntos clave Para comprobar que los clientes pueden resolver nombres y registros, se deben llevar a cabo los siguientes pasos: Comprobar la conectividad de red en todos los equipos. Usar Ipconfig para asegurarse de que todos los equipos, incluyendo los clientes, servidores miembro, controladores de dominio y servidores DNS, estn usando un servidor DNS que sea autoritativo para el dominio de Active Directory. A veces, los equipos estn mal configurados manualmente para usar el servidor DNS equivocado, como por ejemplo un servidor de memoria cach para Internet o un servidor DNS de Proveedor de servicios de Internet (ISP). Usar NetDiag para probar la conectividad de DNS. Garantizar que el servidor DNS est funcionando correctamente. Se puede realizar la Autoprueba simple en las propiedades del servidor DNS para comprobar que la base de datos responde. Adems, se debe limpiar la memoria cach del servidor DNS, con el fin de garantizar que la memoria cach no se encuentre contaminada y que cuente con la informacin de zona ms reciente. Usar ipconfig /flushdns para limpiar la memoria cach de resolucin de DNS del cliente. Si la zona parece estar daada, restaure desde la copia de seguridad. De ser necesario, conviene eliminar los registros dinmicos de la zona DNS y reconstruir la base de datos. Comprobar si hay errores en el registro del servidor DNS en Visor de eventos. Usar DNSLint o NSlookup para ver qu resultados devuelve el servidor DNS. Se requieren los siguientes registros DNS para la funcionalidad apropiada de Active Directory. Pregunta: Cules son los problemas ms comunes relacionados con DNS en su organizacin? Material de lectura adicional Diagnosing Name Resolution Problems (Diagnstico de problemas de resolucin de nombres)

Solucin de problemas de registro de nombres DNS

Puntos clave Todos los servidores deben contar con al menos un (host) A y posiblemente registros PTR (bsqueda inversa) en DNS. Adems, todos los controladores de dominio deben contar con sus registros de recursos SRV actualizados en DNS. A continuacin se enumeran los servicios responsables de actualizar de manera dinmica el DNS: El servicio al cliente de DNS del equipo actualiza los registros A. Los registros PTR se configuran manualmente. El servicio Netlogon del controlador de dominio actualiza los registros SRV. Pregunta: Para qu se usan los registros PTR? Qu errores aparecern si los registros PTR no se encuentran registrados para los controladores de dominio?

Solucin de problemas de la replicacin de zona DNS

Puntos clave Cada vez que se actualiza un registro DNS, ya sea en una zona Principal (Maestra) tradicional o en una zona integrada de AD DS, dicha actualizacin debe replicarse en una transferencia de zona a todos los servidores DNS que son autoritativos para esa zona. Un administrador puede elegir conservar el ancho de banda durante el horario de mayor uso de la red al programar la replicacin para los horarios de menor uso. Incluso, el registro deber ser replicado en algn momento para que la base de datos de DNS sea consistente. Cuando los problemas relacionados con DNS no son consistentes para todos los usuarios y pueden rastrearse hasta un servidor DNS especfico, se debe considerar la replicacin de zona DNS como una posible causa del problema. Material de lectura adicional Solucin de problemas de zona

Leccin 3: Solucin de problemas de replicacin de AD DS

Leccin 3:

Solucin de problemas de replicacin de Active Directory

AD DS usa una topologa de replicacin con varios maestros que depende de todos los controladores de dominio en una red disponible. La replicacin es importante para garantizar que todos los usuarios obtengan una respuesta consistente por parte de los controladores de dominio, sin importar a qu controlador de dominio se encuentra conectado el usuario. En esta leccin aprender cmo solucionar los problemas de replicacin de AD DS.

Requisitos para la replicacin de AD DS

Puntos clave Consulte los requisitos enumerados en la diapositiva para que la replicacin de AD DS se realice correctamente .

Problemas frecuentes de replicacin

Puntos clave Cuando aparecen problemas de replicacin en AD DS, el primer paso es identificar los sntomas y causas posibles. Pregunta: Cul es la razn ms comn por la que aparecen errores de replicacin en su organizacin? Material de lectura adicional Solucin de problemas de replicacin de Active Directory

Qu es la herramienta Repadmin?
Qu es la herramienta Repadmin?

Puntos clave Se utiliza la herramienta de lnea de comandos [Link] para ver la topologa de replicacin desde la perspectiva de cada uno de los controladores de dominio. Tambin se puede usar [Link] para crear de manera manual la topologa de replicacin, forzar eventos de replicacin entre los controladores de dominio y ver los metadatos de replicacin, que representan la informacin sobre los datos y el estado actualizado de los vectores. Material de lectura adicional Solucin de problemas de replicacin de Active Directory

Qu es la herramienta DCDiag?
Qu es la herramienta DCDiag?

Puntos clave La herramienta [Link] realiza una serie de pruebas para comprobar los diferentes aspectos del sistema. Dichas pruebas incluyen conectividad, replicacin, integridad de la topologa y mantenimiento entre sitios.

Identificacin de la causa de los errores de replicacin

Puntos clave Los problemas de replicacin de AD DS pueden tener diversos orgenes. Por ejemplo, los problemas de DNS, inconvenientes en la red o problemas de seguridad pueden causar que la replicacin de AD DS no se lleve a cabo. Se pueden realizar pruebas usando las herramientas de lnea de comandos [Link] y [Link] para determinar la causa principal del problema.

Discusin: Solucin de problemas de replicacin de AD DS entre sitios

En clase, debatan las preguntas de la diapositiva.

Solucin de problemas de replicacin de archivos distribuidos

El contenido de la carpeta SYSVOL se replica a todos los controladores de dominio en un dominio. Si el dominio se encuentra en Windows Server 2003 o en un nivel funcional inferior, el FRS es el encargado de replicar el contenido de la carpeta SYSVOL entre los controladores de dominio. Cuando se actualiza el nivel funcional a Windows Server 2008, DFSR se usa para replicar el contenido de la carpeta SYSVOL. En ambos casos, la topologa y el programa de objeto de conexin que el KCC crea para la replicacin de AD DS se usan para administrar la replicacin entre los controladores de dominio. Tanto el FRS como la DFRS requieren conectividad LDAP y RPC entre los controladores de dominio. Para solucionar los problemas de replicacin de FRS, se usan los comandos Ntfrsutl y FRSDiag. Para solucionar los problemas de replicacin de DFSR, se usa la herramienta DFRSAdmin.

Laboratorio: Solucin de problemas de AD DS, DNS y replicacin

Laboratorio: Solucin de problemas de Active Directory Problemas de DNS y replicacin

Escenario Woodgrove Bank ha finalizado la implementacin de Windows Server 2008. Como administrador de AD DS, una de las principales tareas en esta instancia es solucionar problemas de AD DS que el Departamento de AdminsTI_WoodgroveGG de la compaa le ha transferido a usted. Cuenta con la responsabilidad de resolver problemas relacionados con el acceso de usuarios a los recursos, la integracin de DNS y AD DS y la replicacin de AD DS.

Ejercicio 1: Solucin de problemas en la autenticacin y autorizacin

Ejercicio 1: Solucin de problemas en la autenticacin y autorizacin
Escenario En este ejercicio, se solucionarn los errores de autenticacin y autorizacin. Se revisarn los tickets de problema y se resolvern inconvenientes relacionados con ellos. Preparacin de laboratorio: Asegrese de que NYC-DC1, NYC-DC2 y NYC-CL1 se iniciaron y estn ejecutndose. Apague las dems mquinas virtuales. Las principales tareas para este ejercicio se realizarn como se detalla a continuacin: 1. Iniciar los servidores virtuales. 2. Ejecutar el archivo Lab10_Prep.bat. 3. Resolver tickets de problema. Tarea 1: Iniciar los servidores virtuales 1. En la mquina host, haga clic en Inicio, elija Todos los programas, seleccione Microsoft Learning y luego haga clic en 6824A. Se inicia Iniciador de laboratorio. 2. En Iniciador de laboratorio, junto a 6824A-NYC-DC1, haga clic en Iniciar. 3. Inicie sesin en NYC-DC1 como Administrador usando la contrasea Pa$$w0rd. 4. En Iniciador de laboratorio, junto a 6824A-NYC-DC2, haga clic en Iniciar. 5. Inicie sesin en NYC-DC2 como Administrador , usando la contrasea Pa$$w0rd. 6. En Iniciador de laboratorio, junto a 6824A-NYC-CL1, haga clic en Iniciar. 7. Minimice la ventana Iniciador de laboratorio. Tarea 2: Ejecutar el archivo Lab10_Prep.bat 1. En NYC-DC1, abra una ventana de Windows Explorer y luego busque D:\6824\Allfiles\Mod10\Labfiles 2. Haga doble clic en Lab10_Prep.bat. Tarea 3: Resolver tickets de problema Ticket de problema N1: Una usuaria llamada Chris McGurk tiene inconvenientes para iniciar sesin en su equipo, que se ejecuta con el sistema operativo Windows Vista. Ha estado trabajando fuera de la empresa en un proyecto de investigacin durante varios meses y ahora necesita tener acceso a la red para preparar su informe para la alta gerencia. Apagaron su equipo de escritorio durante el perodo que estuvo afuera. Le han transferido el asunto. 1. Intente iniciar sesin en NYC- CL1 como Chris, usando la contrasea Pa$$w0rd. 2. Se inici sesin correctamente? Observe el mensaje de error que se muestra a continuacin: _________________________________________________________________ 3. Compruebe que la cuenta de equipo de NYC-CL1 todava exista en el dominio. 4. Cul cree que es el inconveniente? Cmo lo solucionar? _________________________________________________________________ 5. Inicie sesin en NYC- CL1 como NYC-CL1\AdminLocal usando la contrasea Pa$$w0rd. 6. Complete los pasos de solucin de problemas. 7. Cierre sesin en NYC-CL1 como AdminLocal e inicie sesin como Chris.

8. Pudo hacerlo correctamente? _________________________________________________________________ 9. Cierre sesin en NYC-CL1. Ticket de problema N2: A un miembro del Departamento de AdminsTI_WoodgroveGG, llamado Markus Breyer, se le ha otorgado la tarea de agregar personas contratadas recientemente a la unidad organizativa NYC GerentesSucursal en el dominio [Link]. Markus es un miembro del grupo global AdminsTI_WoodgroveGG Todos los miembros del grupo AdminsTI_WoodgroveGG deben poder administrar cuentas de usuario desde estaciones de trabajo de clientes usando Escritorio remoto. Cuando Markus intenta agregar nuevas personas contratadas, no lo logra. Le han transferido el asunto. 1. Inicie sesin en NYC-CL1 como Markus, usando la contrasea Pa$$w0rd. 2. Intente conectarse a NYC-DC1 usando Escritorio remoto. Pudo hacerlo correctamente? En caso de haber recibido mensajes de error, cules fueron? _________________________________________________________________ 3. Cul cree que es el problema? _________________________________________________________________ 4. Realice los pasos requeridos para resolver el mensaje de error. 5. Intente conectarse nuevamente a Escritorio remoto. Pudo lograrlo esta vez? Si no pudo, lleve a cabo los siguientes pasos para solucionar el problema. _________________________________________________________________ 6. Despus de haberse conectado correctamente a Escritorio remoto, intente abrir Usuarios y equipos de Active Directory. Si no puede hacerlo, lleve a cabo los pasos para solucionar el problema. 7. En Usuarios y equipos de Active Directory, intente crear una cuenta de usuario de prueba en la unidad organizativa Gerentes de sucursal. Pudo hacerlo correctamente? En caso de haber recibido mensajes de error, cules fueron? _________________________________________________________________ 8. Qu pasos adicionales, si hubiera, piensa que deber llevar a cabo? _________________________________________________________________ 9. Resuelva los dems problemas. 10. Cierre sesin en NYC-CL1. Resultado: Al finalizar este ejercicio, se habrn resuelto dos tickets de problema con inconvenientes de autenticacin y autorizacin. Ejercicio 1: Respuestas claves (pasos detallados)

Ejercicio 2: Solucin de problemas de la integracin de DNS y AD DS

Ejercicio 2: Solucin de problemas de la integracin de DNS y AD DS
Escenario En este ejercicio, se resolvern los problemas identificados en los tickets de solucin de problemas transferidos al equipo del servidor en lo que se refiere a la integracin de DNS y AD DS. Se identificar el problema en cada ticket, se lo resolver y luego se comprobar que la resolucin fue correcta. La tarea principal en este ejercicio consiste en resolver el ticket de problema. Tarea 1: Resolver el ticket de problema Ticket de problema N3: Algunos usuarios en [Link] informan que tienen inconvenientes para obtener acceso a los recursos de red. El Departamento de AdminsTI_WoodgroveGG ya ha establecido que todos los equipos cliente que se ven afectados por este problema usan NYC-DC2 como el servidor DNS preferido. Se usar NYC-CL1 para probar todas las soluciones y garantizar que todos los usuarios puedan iniciar sesin en el dominio usando tanto NYC-DC1 como NYC-DC2 como servidores DNS principales. 1. Cules cree que podran ser los problemas? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ 2. Qu pasos llevar a cabo para probar y resolver los problemas? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ 3. Use NSlookup para comprobar los registros DNS para la zona [Link] tanto en NYC-DC1 como en NYC-DC2. 4. Use Administrador de DNS para examinar la configuracin para las zonas [Link] y _msdcs.[Link] en ambos servidores DNS. 5. Lleve a cabo los pasos requeridos para solucionar el problema. 6. Cules fueron los problemas reales y cmo los resolvi? __________________________________________________________________ __________________________________________________________________ __________________________________________________________________ __________________________________________________________________ __________________________________________________________________ Resultado: Al finalizar este ejercicio, habr resuelto un ticket de problema con inconvenientes de integracin de DNS y AD DS. Ejercicio 2: Respuestas claves (pasos detallados)

Ejercicio 3: Solucin de problemas de replicacin de AD DS

Ejercicio 3: Solucin de problemas de replicacin de AD DS
Escenario En este ejercicio, se resolvern los problemas identificados en los tickets de solucin de problemas transferidos al equipo del servidor. Entre los problemas potenciales se encuentran las cuentas de usuario que no se replican a otros controladores de dominio, errores de replicacin y errores de replicacin de archivos de AD DS. Se identificar el problema en cada ticket, se lo resolver y luego se comprobar que la resolucin fue correcta. La tarea principal en este ejercicio consiste en resolver los tickets de problema. Tarea 1: Resolver los tickets de problema Ticket de problema N4: Se le asign al Departamento de AdminsTI_WoodgroveGG la tarea de crear cuentas de usuario para las personas contratadas recientemente. Debido a que los nuevos empleados viajarn de una sucursal a otra, es fundamental que puedan iniciar sesin desde cualquier ubicacin. El Departamento de AdminsTI_WoodgroveGG ha notado que la replicacin entre NYC-DC1 y NYC-DC2 no funciona. Cuando un miembro del equipo crea una cuenta de usuario en el controlador de dominio NYC-DC1, el controlador de dominio NYC-DC2 no muestra la cuenta de usuario. Le han transferido el asunto. 1. Compruebe que la replicacin de AD DS no funciona. Cules cree que podran ser los problemas? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ Qu pasos de solucin de problemas llevar a cabo para resolver los inconvenientes? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ 2. Implemente los pasos de solucin de problemas. Se obtiene un resultado satisfactorio cuando se pueda crear un usuario de prueba en cualquier controlador de dominio y luego replicar la cuenta en otro controlador de dominio. Ticket de problema N5: El Departamento de AdminsTI_WoodgroveGG se ha dado cuenta de que cuando algunos usuarios de la sucursal Nueva York de [Link] inician sesin no obtienen las asignaciones automticas de unidades esperadas. Todos los usuarios deben obtener una asignacin de unidad que asigne la unidad H: a \\NYCDC1\data. El Departamento de AdminsTI_WoodgroveGG ha confirmado que el Objeto de directiva de grupo (GPO) est configurado correctamente. El script de inicio de sesin se denomina [Link] y debera encontrarse ubicado en el recurso compartido Netlogon. 1. Cules cree que podran ser los problemas? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ 2. Qu pasos de solucin de problemas llevar a cabo para resolver los inconvenientes? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ _________________________________________________________________

3. Cmo comprobar que los problemas se han resuelto? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ 4. Implemente los pasos de solucin de problemas. Cules fueron los problemas reales y cmo los resolvi? _________________________________________________________________ _________________________________________________________________ _________________________________________________________________ Tarea 2: Cerrar todas las mquinas virtuales y descartar los discos para deshacer 1. Por cada mquina virtual que est ejecutndose, cierre la ventana Control remoto de mquina virtual. 2. En el cuadro Cerrar , seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar . 3. Cierre Iniciador de laboratorio 6824A. Resultado: Al finalizar este ejercicio, se habr resuelto un ticket de problema con inconvenientes de replicacin de AD DS. Ejercicio 3: Respuestas claves (pasos detallados)

Revisin del laboratorio

Observaciones para el mantenimiento de AD DS Complementar o modificar los siguientes procedimientos recomendados segn las situaciones de trabajo: Al solucionar problemas de AD DS, siempre conviene comenzar por el nivel de red. En la mayora de los casos, ser ms rpido y sencillo comprobar la conectividad de red. Usar Visor de eventos cuando se solucionan problemas de AD DS. Varios de los errores de AD DS se registrarn en los registros de Visor de eventos y los detalles del error generalmente proporcionan informacin valiosa para resolver los inconvenientes. En una organizacin grande, conviene considerar la implementacin de Microsoft System Center Operations Manager con Active Directory Management Pack. El Operations Manager puede supervisar todos los controladores de dominio en el entorno y brindar una orientacin detallada sobre cmo resolver inconvenientes de AD DS. Microsoft System Center Operations Manager es una actualizacin de Microsoft Operations Manager. Herramientas Usar las siguientes herramientas al solucionar problemas de AD DS:

Herramienta

Usada para

Dnde encontrarla

Administrador de servidores

Obtener acceso a las herramientas de administracin de AD DS en una nica consola.

Haga clic en Inicio, elija Herramientas administrativas y luego haga clic en Administrador de servidores.

Sitios y servicios de Active Directory

Crear y configurar sitios, subredes, mover controladores de dominio entre sitios y forzar la replicacin.

Haga clic en Inicio, elija Herramientas administrativas y luego haga clic en Usuarios y equipos de Active Directory.

Configurar y ver zonas DNS DNS Preguntas de revisin Haga clic en Inicio, elija Herramientas administrativas y luego haga clic en DNS. 1. Un usuario puede iniciar sesin en su equipo, pero cuando intenta tener acceso a un recurso de red se le

solicita que ingrese un nombre de usuario y contrasea. Cmo se podra garantizar que el usuario tenga acceso a los recursos de red sin que se le solicite un nombre de usuario y contrasea despus de iniciar sesin? 2. Se necesita comprobar que todos los registros SRV del controlador de dominio se encuentran registrados en DNS. Todos los servidores DNS en su organizacin usan un producto DNS de terceros en lugar de un DNS de Windows Server 2008. Cmo se pueden ver los registros en DNS? 3. Los usuarios en una sucursal de una organizacin estn experimentando demoras en el inicio de sesin. Se puede crear un controlador de dominio en la casa matriz y luego enviar el controlador de dominio a la sucursal. Se configura la sucursal como un segundo sitio en el bosque. Se modific la configuracin de la direccin IP del controlador de dominio, se ha confirmado la conectividad de red y se ha confirmado la actualizacin de la direccin IP del controlador de dominio en DNS. No obstante, algunos usuarios en la sucursal siguen iniciando sesin con demoras. Qu ms debera hacer? 4. La organizacin cuenta con cinco oficinas, cada una de ellas configuradas como un sitio individual en AD DS. Se ha implementado al menos un controlador de dominio en cada oficina. En la casa matriz se lleva a cabo la administracin de cuentas de usuario. Es posible que al crear una nueva cuenta de usuario en la casa matriz, se necesiten 3 horas como mximo antes de que el usuario pueda iniciar sesin usando dicha cuenta en la sucursal. Qu debera hacerse para asegurar que el usuario pueda iniciar sesin correctamente despus de que se ha creado la cuenta?

Modulo 11 : Solucin de problemas de Directiva de grupo

Mdulo 11

Solucin de problemas de Directiva de grupo

Este mdulo describe los procedimientos de solucin de problemas para los clientes y equipos de procesamiento de Directiva de grupo. Los procedimientos de solucin de problemas pueden incluir una configuracin incorrecta o incompleta de la directiva o bien la ausencia de una aplicacin de la directiva para el equipo o usuario. Este mdulo describe la informacin y las destrezas necesarias para solucionar estos problemas.

Leccin 1: Introduccin a la Solucin de problemas de la Directiva de grupo Leccin 2: Solucin de problemas de la aplicacin de la Directiva de grupo Leccin 3: Solucin de problemas de configuracin de la Directiva de grupo Laboratorio: Solucin de problemas de la Directiva de grupo

Leccin 1: Introduccin a la Solucin de problemas de la Directiva de grupo

Leccin 1:

Introduccin a la Solucin de problemas de Directiva de grupo

La implementacin y administracin de Directiva de grupo puede ser compleja y, algunas veces, un valor puede generar consecuencias no deseadas para los usuarios o equipos. Esta leccin brinda informacin detallada acerca del procesamiento de Directiva de grupo y las reas problemticas frecuentes y, adems, describe algunas de las herramientas disponibles para la solucin de problemas.

Escenarios para la Solucin de problemas de Directiva de grupo

Material de lectura adicional Artculo de Microsoft Technet: Solucin de problemas de Directiva de grupo

Preparacin para la Solucin de problemas de directivas de grupo

Puntos clave El primer paso para solucionar los problemas de Directiva de grupo es determinar el origen del problema. Los problemas de Directiva de grupo pueden ser un sntoma de otros problemas no relacionados, como por ejemplo la conectividad de la red, los problemas de autenticacin, la disponibilidad del controlador de dominio o los errores de configuracin de Servicio de nombres de dominio (DNS). Por ejemplo, el error de un enrutador o un servidor DNS puede impedir que los clientes establezcan contacto con un controlador de dominio. Pregunta: Qu herramienta de diagnstico usara para determinar la expiracin de la concesin de una direccin de Protocolo de configuracin dinmica de host (DHCP) emitido para un equipo cliente? Material de lectura adicional Solucin de los problemas de los sistemas con el Diagnstico de red Uso de [Link] Artculo de Microsoft Technet: No se puede obtener acceso al controlador de dominio [Link]: Bandeja de Kerberos

Herramientas para la solucin de problemas de las directivas de grupo

Puntos clave Existen numerosas herramientas de diagnstico y registros que pueden usarse para comprobar si se puede rastrear un problema en la Directiva de grupo principal. Registro de la Directiva de grupo Si las otras herramientas no ofrecen la informacin necesaria para identificar los problemas que afectan la aplicacin de la Directiva de grupo, es posible habilitar el registro detallado y examinar los archivos de registro resultantes. Pueden generarse archivos de registro tanto en el cliente como el servidor a fin de brindar informacin detallada. Pregunta: Qu herramienta de diagnstico mostrar rpidamente el umbral actual del vnculo lento de la Directiva de grupo? Material de lectura adicional Group Policy Modeling and Results (Modelacin y resultados de la Directiva de grupo) Cmo crear GPO predeterminado de dominios manualmente Herramienta GPOTool (del Kit de recursos del servidor de Windows 2000) Artculo de Microsoft Technet: Actualizar la configuracin de Directiva de grupo con [Link] Fixing Group policy problems by using log files (Solucin de problemas de la Directiva de grupo con archivos de registro)

Demostracin: Uso de las herramientas de diagnstico de Directiva de grupo

Pregunta: Qu pasos deben realizarse antes de ejecutar el informe de Directiva de grupo RSoP en un equipo remoto?

Leccin 2: Solucin de problemas de la aplicacin de la Directiva de grupo

Leccin 2:

Solucin de problemas de aplicaciones de Directiva de grupo

Al solucionar los problemas de Directiva de grupo, es necesario comprender correctamente la interaccin entre Directiva de grupo y sus tecnologas compatibles y las maneras en que se administran, instalan y aplican los Objetos de directiva de grupo.

Solucin de problemas de Herencia de directivas de grupo

Puntos clave El bloqueo de la herencia le permitir evitar que los valores con niveles elevados afecten las unidades organizativas o las unidades organizativas secundarias. nicamente es posible bloquear la herencia para las unidades organizativas en su totalidad y no para los objetos individuales. El bloqueo de la herencia puede dificultar la solucin de problemas ya que contrarresta las reglas habituales de la herencia. Pregunta: Existen escenarios en su organizacin que se beneficiaran aplicando el bloqueo de la herencia? Material de lectura adicional Artculo de Microsoft Technet: Fixing Group Policy problems by using log files (Solucin de problemas de Directiva de grupo con archivos de registro)

Solucin de problemas de Filtrado de directivas de grupo

Puntos clave El Filtrado de directivas de grupo determina los usuarios y los equipos que recibirn la configuracin de los GPO. El filtrado de objetos de directiva de grupo (GPO) est basado en dos factores: El filtrado de seguridad en los GPO Todos los filtros Instrumental de administracin de Windows (WMI) en los GPO Pregunta: Se aplic el filtrado de seguridad a fin de limitar la aplicacin del GPO nicamente al grupo Gerentes. Esto fue posible gracias a la configuracin de los siguientes permisos de GPO: Se deneg el permiso Aplicar directiva de grupo a los usuarios autenticados. El grupo Gerentes recibi el permiso Leer y aplicar directiva de grupo. Ninguno de los gerentes recibe la configuracin de GPO. Cul es el problema? Material de lectura adicional Artculo de Microsoft Technet: Fixing Group Policy scoping issues (Solucin de problemas del mbito de Directiva de grupo)

Solucin de problemas de Replicacin de directivas de grupo

Puntos clave En un dominio que posee ms de un controlador de dominio, la informacin de Directiva de grupo demora en difundirse o replicarse de un controlador de dominio a otro. Un GPO consta de dos partes, la Plantilla de directivas de grupo (GPT) y el Contenedor de directivas de grupo (GPC). Se realiza un seguimiento de los cambios en los GPO usando los nmeros de la versin. Cada cambio incrementa el nmero de versin de la GPT y el GPC. Pregunta: Qu herramienta puede usar para forzar la replicacin en todos los controladores de dominio del dominio? Material de lectura adicional Troubleshooting File Replication Service (Solucin de problemas de Servicio de replicacin de archivos) Artculo de Microsoft Technet: Replication of Group Policy settings between domain controllers fails (Error de replicacin de la configuracin de Directiva de grupo entre los controladores de dominio)

Solucin de problemas de actualizacin de Directiva de grupo

Puntos clave La actualizacin de Directiva de grupo hace referencia a la recuperacin peridica de los GPO que realiza el cliente. Durante la actualizacin de Directiva de grupo, el cliente establece contacto con un controlador de dominio disponible. Si se modifica algn GPO, el controlador de dominio ofrece una lista de todos los GPO adecuados. De manera predeterminada, los GPO se procesan en el equipo slo si el nmero de versin de al menos un GPO ha cambiado en el controlador de dominio al que el equipo est obteniendo acceso. Pregunta: Se implement una redireccin de carpetas para una unidad organizativa determinada. Algunos usuarios notifican que sus carpetas no estn siendo redirigidas al recurso compartido de red. Cul es el primer paso que debera realizar para solucionar el problema? Material de lectura adicional Group Policy does not refresh (Directiva de grupo no se actualiza)

Discusin: Solucin de problemas de configuracin de Directiva de grupo

Pregunta: Se le aplica a un usuario una configuracin que nadie ms recibe. Cul podra ser el problema y cmo comenzara a solucionarlo?

Leccin 3: Solucin de problemas de configuracin de la Directiva de grupo

Leccin 3:

Solucin de problemas de configuracin de Directiva de grupo

Con frecuencia, los problemas de configuracin de Directiva de grupo se deben a la deteccin de vnculo lento o a una configuracin incorrecta. Comprender cmo funcionan las Extensiones de cliente y cmo se determinan los vnculos lentos ayuda a solucionar estos problemas.

Cmo funciona el procesamiento de Extensiones de cliente

Puntos clave Extensiones de cliente son bibliotecas de vnculos dinmicos (DLL) que realizan el procesamiento real de la configuracin de Directiva de grupo. Los valores de la directiva se agrupan en diferentes categoras, tales como Plantillas administrativas, Configuracin de seguridad, Redireccin de carpetas, Cuotas de disco e Instalacin de software. La configuracin de cada categora requiere una Extensin de cliente especfica que pueda procesarla y cada Extensin de cliente cuenta con sus propias reglas para procesar la configuracin. El proceso de Directiva de grupo principal solicita a las Extensiones de cliente adecuadas que procesen dicha configuracin. Algunas Extensiones de cliente se comportan de manera diferente dependiendo de las circunstancias. Por ejemplo, ciertas Extensiones de cliente no se procesarn si se detecta un vnculo lento. Configuracin de seguridad y Plantillas administrativas se aplican siempre y no es posible desactivarlas. Es posible controlar el comportamiento de otras Extensiones de cliente a travs de los vnculos lentos. A medida que se procesa la Directiva de grupo, el proceso de Winlogon enva la lista de los GPO por procesar a todas las Extensiones de cliente de Directiva de grupo. Entonces, la extensin usa la lista para procesar la directiva correcta cuando corresponda. Pregunta: Los usuarios en una sucursal inician sesin a travs de una conexin de mdem lenta. Se necesita aplicar Redireccin de carpetas para los usuarios an a travs del vnculo lento. Cmo se lograra esto? Material de lectura adicional Identificar extensiones de cliente de Directiva de grupo Directiva de equipo para Extensiones de cliente [Link] /windows2000serv/reskit/distrib/dsec_pol_ooyn.mspx?mfr=true Group Policy and Network Bandwidth (Directiva de grupo y Ancho de banda de red)

Solucin de problemas de configuracin de Directiva de plantillas administrativas

Puntos clave Algunos valores de Plantilla administrativa pueden ser preferencias (en lugar de directivas) que no pueden quitarse con facilidad, mientras que los sistemas operativos anteriores pueden no aceptar otros valores administrativos. Pregunta: Su red tiene equipos con Windows XP y Windows Vista. Se configur Plantilla administrativa para quitar el vnculo de juegos del men Inicio, pero nicamente los equipos con Windows Vista estn aplicando este valor. Cul es el problema? Material de lectura adicional Artculo de Microsoft Technet: Fixing Administrative Template policy setting problems (Solucionar problemas de configuracin de la directiva de Plantillas administrativas)

Solucin de problemas de configuracin de Directiva de seguridad

Puntos clave Directivas de seguridad protegen la integridad del entorno informtico controlando varios aspectos de ste, como por ejemplo las directivas de contrasea, las opciones de seguridad, los grupos restringidos, las directivas de red, los servicios, las directivas de claves pblicas, entre otros. Caractersticas de Directivas de seguridad Directivas de seguridad se actualizan cada 16 horas aunque no se hayan modificado. Directivas de seguridad se procesan siempre, an a travs de conexiones lentas. Pregunta: Se configur una Directiva de contrasea en un GPO y se vincul la directiva con la unidad organizativa Investigacin. La directiva no afecta a todos los usuarios de dominio en la unidad organizativa. Cul es el problema? Material de lectura adicional Solucin de problemas de aplicacin de la directiva de grupos

Solucin de problemas de configuracin de Directiva de scripts

Puntos clave La Extensin de scripts de cliente actualiza el registro con la ubicacin de los archivos de scripts para que el proceso UserInit pueda encontrar esos valores durante su procesamiento normal. Cuando una Extensin de cliente informa que se produjo correctamente, quiz slo signifique que la ubicacin del script se encuentra en el registro. Aunque el valor se encuentra en el registro, podran ocurrir problemas que impidan que se le aplique ese valor al cliente. Por ejemplo, si un script especificado en un valor Script tiene un error que le impide finalizar, Extensin de cliente no detectar un error. Directiva de grupo procesa un GPO y almacena la informacin del script en el registro en las siguientes ubicaciones: HKCU\Software\Directivas\Microsoft\Windows\Sistema\Scripts (Scripts de usuario) HKLM\Software\Directivas\Microsoft\Windows\Sistema\Scripts (Scripts del equipo) Pregunta: Se asigna un script de inicio de sesin para una unidad organizativa. El script se ejecuta correctamente para todos los usuarios, pero algunos usuarios notifican que obtienen un mensaje de acceso denegado cuando intentan ingresar a la unidad asignada. Cul es el problema? Material de lectura adicional Artculo de Microsoft Technet: Fixing Scripts policy settings problems (Solucionar problemas de configuracin de directivas de scripts)

Laboratorio: Solucin de problemas de la Directiva de grupo

Laboratorio: Solucin de problemas de Directiva de grupo

Escenario Woodgrove Bank ha finalizado la instalacin de Windows Server 2008. Como administrador de AD DS, una de las tareas principales es solucionar los problemas de AD DS que le transfiere el Departamento de soporte tcnico de la compaa. Adems, es responsable de solucionar los problemas relacionados con la aplicacin y la configuracin de Directiva de grupo. Nota: Algunas de las tareas de este laboratorio estn diseadas para ilustrar las tcnicas de solucin de problemas de GPO y puede que no siempre sigan los procedimientos recomendados.

Ejercicio 1: Solucin de problemas de scripts de Directiva de grupo

Ejercicio 1: Solucin de problemas de scripts de Directiva de grupo
Se crear y vincular un GPO que realice las siguientes acciones para todos los usuarios de dominio y equipos: Establecer en Internet Explorer como pgina principal para [Link] Forzar el men Inicio clsico. Forzar al cliente para que espere que se inicialice la red durante el inicio y luego iniciar sesin. Configurar el Firewall de Windows para permitir la administracin remota de entrada. Luego, deber aplicar a todos los usuarios de dominio un GPO preconfigurado que asigne una unidad a la carpeta compartida Datos y, adems, deber observar y solucionar los problemas de los resultados. Todos los usuarios de dominio tendrn una unidad asignada a una carpeta compartida denominada Data. El GPO ya ha sido creado y se hizo una copia de seguridad. Debe restaurar y aplicar el GPO que enva la directiva al dominio y solucionar todos los problemas de la directiva. Un usuario en la unidad organizativa Miami ha presentado el siguiente vale de soporte tcnico: Nombre de usuario: Roya Asbari Nombre del equipo: NYC-CL1 Descripcin del problema: No hay ninguna unidad asignada a la carpeta Datos. El vale fue transferido al equipo del servidor para su resolucin. Las principales tareas son: 1. Iniciar la mquina virtual 6824A-NYC-DC1 e iniciar sesin como Administrador. 2. Crear y vincular una Directiva de escritorio del dominio. Establecer el Internet Explorer como pgina principal para [Link] Forzar el men Inicio clsico para todos los usuarios de dominio. Forzar al equipo cliente para que espere que se inicialice la red durante el inicio y luego iniciar sesin. Configurar el Firewall de Windows para permitir la administracin remota de entrada. 3. Restaurar el GPO Lab11A. 4. Vincular el GPO Lab11A con el dominio. 5. Iniciar la mquina virtual 6824A-NYC-CL1 e iniciar sesin como Administrador. 6. Probar el GPO. 7. Solucionar los problemas del GPO. 8. Solucionar el problema y probar su resolucin.
Tarea 1: Iniciar la mquina virtual 6824A-NYC-DC1 e iniciar sesin como Administrador

1. Abra Control remoto de cliente de servidor virtual y luego haga doble clic en 6824A-NYC-DC1. 2. Inicie sesin en NYC-DC1 como Administrador usando la contrasea Pa$$w0rd.
Tarea 2: Crear y vincular una directiva de escritorio del dominio

1. Abra Administracin de directiva de grupo. 2. Cree y vincule un GPO denominado Escritorio con el dominio WoodgroveBank.

3. Edite la directiva como se detalla a continuacin: 1. Busque Configuracin del equipo, vaya a Plantillas administrativas, luego a Sistema y finalmente a Inicio de sesin. Habilite la directiva Siempre a la red en el inicio e inicio de sesin. 2. Vaya a Red, luego a Conexiones de red, a Firewall de Windows y finalmente a Perfil de dominio. Habilite la directiva Firewall de Windows: Permitir excepciones de administracin remota entrante y luego escriba subredlocal en el campo y haga clic en Aceptar . 3. Vaya a Configuracin del usuario, luego a Configuracin de Windows, a Mantenimiento de Internet Explorer , a Direcciones URL y finalmente a Direcciones URL importantes. 4. En el cuadro de dilogo Direcciones URL importantes, personalice la URL de la pgina principal para que sea [Link] 5. Vaya a Plantillas administrativas, luego a Men inicio y Barra de herramientas y luego habilite el valor Forzar men inicio clsico. 4. Cierre el Editor de administracin de directiva de grupo.
Tarea 3: Restaurar el GPO Lab11A

1. En la GPMC, haga clic con el botn secundario en la carpeta Objetos de directiva de grupo y luego haga clic en Administrar copias de seguridad. 2. En el cuadro de dilogo Administrar copias de seguridad, escriba D:\6824 en el campo Ubicacin de las copias de seguridad. 3. Seleccione el GPO Lab 11A, haga clic en Restaurar y luego en Aceptar dos veces. 4. Cierre el cuadro de dilogo Administrar copias de seguridad.
Tarea 4: Vincular el GPO Lab11A con el dominio

1. En la GPMC, haga clic con el botn secundario en el dominio [Link] y luego en Vincular un GPO existente. 2. En el cuadro de dilogo Seleccionar GPO, seleccione el GPO Lab 11A y luego haga clic en Aceptar .
Tarea 5: Iniciar la mquina virtual 6824A-NYC-CL1 y luego iniciar sesin como Administrador

Inicie NYC-CL1 e inicie la sesin como WoodgroveBank\Administrador con la contrasea Pa$$w0rd.

Tarea 6: Probar el GPO

1. Cierre sesin y luego inicie sesin como Administrador. Nota: Se requieren dos inicios de sesin para ver la configuracin de Directiva de grupo ya que Administrador inicia sesin usando las credenciales almacenadas en la memoria cach. 2. Haga clic en el botn Inicio y asegrese de ver el men Inicio clsico. 3. Haga doble clic en Internet Explorer y luego en la X roja para detener el intento de conexin con la pgina de inicio predeterminada. Haga clic en el icono Pgina principal en la barra de herramientas y asegrese de que [Link] sea la pgina principal. 4. Haga doble clic en Internet Explorer y luego en la X roja para detener el intento de conexin con la pgina de inicio predeterminada. Haga clic en el icono Pgina principal en la barra de herramientas y asegrese de que [Link] sea la pgina principal. 5. Cierre el Internet Explorer. 6. Haga doble clic en Equipo en el escritorio y asegrese de que cuenta con una unidad asignada para la carpeta compartida denominada Data. 7. Cierre sesin. 8. Inicie sesin en NYC-CL1 como Roya, usando la contrasea Pa$$w0rd.

9. Cierre Centro de Bienvenida. 10. Haga clic en el botn Inicio y asegrese de que Roya vea el men Inicio clsico. 11. En el escritorio, haga doble clic en Internet Explorer y luego haga clic en el icono Pgina principal de la barra de herramientas para asegurarse de que [Link] sea la pgina principal. 12. Cierre el Internet Explorer. 13. En el Escritorio, haga doble clic en Equipo y compruebe la unidad asignada a la carpeta compartida denominada Datos.
Tarea 7: Solucin de problemas del GPO

1. Cambie nuevamente a NYC-DC1. 2. En la GPMC, haga clic con el botn secundario en Resultados de directiva de grupo y luego en el Asistente de resultados de directiva. 3. En la pantalla Seleccin de equipo, haga clic en Otro equipo y luego escriba NYC-CL1 en el campo. 4. En la ventana Seleccin de usuario, seleccione WoodgroveBank\Roya y luego haga clic en Finalizar . 5. En la seccin Resumen de configuracin del usuario, haga clic en Objetos de directiva de grupo y luego en GPO aplicados. 6. Haga clic en la ficha Configuracin. 7. Expanda Configuracin de Windows, luego Scripts y finalmente Inicio de sesin. 8. Cambie nuevamente a NYC-CL1 como Roya. 9. Pruebe el permiso de Roya para obtener acceso a la ubicacin de scripts abriendo un comando Ejecutar , escribiendo \\nyc-dc1\scripts y luego presionando ENTER. 10. Haga clic en Aceptar para descartar el cuadro de dilogo de error. Nota: Si cuenta con tiempo suficiente, puede visualizar el registro funcional de Directiva de grupo como Administrador en NYC-CL1. Si aplica un filtro a la vista para mostrar los eventos que genera Roya, podra ver que el registro no detecta errores o advertencias para este usuario. Esto se debe a que el GPO establece nicamente un valor en el registro que define la ubicacin de la carpeta de scripts. Directiva de grupo ignora si el usuario tiene acceso a la ubicacin y si se logr escribir correctamente en el registro. Por lo tanto, el registro de Directiva de grupo no presenta errores. Se debera auditar el Acceso a objetos para la carpeta de scripts a fin de determinar los problemas de acceso.
Tarea 8: Determinar y probar la solucin

1. Cambie nuevamente a NYC-DC1 y abra Explorador de Windows. 2. Vaya a la carpeta D:\6824\scripts. 3. Agregue Usuarios autenticados a la lista de permisos Compartir y concdales Permiso de lectura. 4. Cambie a NYC-CL1 como Roya, cierre sesin y luego inicie sesin. 5. En el escritorio, haga doble clic en Equipo. Nota: Otra manera de resolver el problema sera moviendo el script al recurso compartido Netlogon. 6. Cierre sesin. Resultado: Al finalizar este ejercicio, habr solucionado un problema de scripts de Directiva de grupo. Ejercicio 1: Respuestas claves (pasos detallados)

Ejercicio 2: Solucin de problemas del GPO Laboratorio 11B

Ejercicio 2: Solucin de problemas del GPO Laboratorio 11B
Los usuarios de dominio en la unidad organizativa Miami y todas las unidades organizativas secundarias no deben tener acceso al Panel de control. Deber restaurar y aplicar el GPO que enva la directiva a la unidad organizativa Miami. El tcnico local in situ present un vale de soporte tcnico y transfiri el siguiente problema al equipo del servidor: Nombre de usuario: Tcnico local Nombre del equipo: NYC-CL1 Nombre de usuario: Tcnico local Nombre del equipo: NYC-CL1 Descripcin del problema: Ningn usuario debera tener acceso al Panel de control. Sin embargo, algunos usuarios tienen acceso al Panel de control mientras que otros no. Especficamente, un gerente de la sucursal de Miami, Roya, tiene acceso al Panel de control. El vale fue transferido al equipo del servidor para su resolucin. Las principales tareas para este ejercicio se realizarn como se detalla a continuacin: 1. Restaurar el GPO Lab11B. 2. Vincular el GPO Lab11B con la unidad organizativa Miami. 3. Probar el GPO usando diferentes usuarios. 4. Solucionar los problemas del GPO usando RSoP. 5. Determinar y probar la resolucin.
Tarea 1: Restaurar el GPO Lab11B

1. Desde NYC-DC1, en la GPMC, haga clic con el botn secundario en la carpeta Objetos de directiva de grupo y luego haga clic en Administrar copias de seguridad. 2. En el cuadro de dilogo Administrar copias de seguridad, escriba D:\6824\Copia de Seguridad GPO en el campo Ubicacin de copia de seguridad. 3. Restaure el GPO Lab 11B.
Tarea 2: Vincular el GPO Lab11B con la unidad organizativa Miami

1. En la GPMC, haga clic con el botn secundario en la unidad organizativa Miami y luego en Vincular un GPO existente. 2. En el cuadro de dilogo Seleccionar GPO, seleccione el GPO Lab 11B y luego haga clic en Aceptar .
Tarea 3: Probar el GPO

1. Inicie sesin en NYC-CL1 como Rich, usando la contrasea Pa$$w0rd. 2. Asegrese de que la configuracin del GPO Escritorio est aplicada. 3. Asegrese de que el cono Panel de control no se muestre en el escritorio o en Men inicio. 4. Cierre sesin. 5. Inicie sesin en NYC-CL1 como Roya. 6. Cierre sesin.
Tarea 4: Solucin de problemas del GPO

1. Cambie nuevamente a NYC-DC1. 2. En la GPMC, haga clic con el botn secundario en Resultados de directiva de grupo y luego en el Asistente de resultados de directiva de grupo. 3. En la ventana Seleccin de equipo, haga clic en Otro equipo y luego escriba NYC-CL1 en el campo. 4. En la ventana Seleccin de usuario, seleccione WoodgroveBank\Rich y luego haga clic en Finalizar . 5. En la seccin Resumen de configuracin del usuario, haga clic en Objetos de directiva de grupo y luego en GPO aplicados. 6. Haga clic en la ficha Configuracin. 7. Expanda Configuracin de Windows y luego Panel de control. 8. Haga clic con el botn secundario en Resultados de directiva de grupo, consulte Roya en NYC-CL1 en el panel izquierdo y luego haga clic en Volver e ejecutar la consulta. 9. En la seccin Resumen de configuracin del usuario, haga clic en Objetos de directiva de grupo y luego en GPO aplicados. 10. Haga clic en GPO negados.
Tarea 5: Determinar y probar la resolucin

1. En la GPMC, expanda la carpeta Objetos de directiva de grupo, haga clic en el GPO Lab 11B, luego en la ficha Delegacin y finalmente en Avanzado. 2. En la ficha Seguridad, haga clic en MIA_GerentesSucursalGG. 3. Elimine MIA_GerentesSucursalGG de la lista de permisos y haga clic en Aceptar . 4. Cambie a NYC-CL1 e inicie sesin nuevamente como Roya. Resultado: Al finalizar este ejercicio, habr solucionado un problema de Objetos de directiva de grupo. Ejercicio 2: Respuestas claves (pasos detallados)

Ejercicio 3: Solucin de problemas del GPO Laboratorio 11C

Ejercicio 3: Solucin de problemas del GPO Laboratorio 11C
Los usuarios de la unidad organizativa Miami no deberan tener acceso al comando Ejecutar en el men Inicio. Debe restaurar y vincular el GPO Lab 11C a fin de aplicar este valor. El tcnico del escritorio local ha transferido el siguiente problema al equipo del servidor: Nombre de usuario: Tcnico local Nombre del equipo: NYC-CL1 Descripcin del problema: Ningn usuario debera tener acceso al comando Ejecutar en el men Inicio, pero todos los usuarios de la unidad organizativa Miami tienen acceso al comando Ejecutar. El vale fue transferido al equipo del servidor para su resolucin. Las principales tareas para este ejercicio se realizarn como se detalla a continuacin: 1. Restaurar el GPO Lab11C. 2. Vincular el GPO Lab11C con la unidad organizativa Miami. 3. Probar el GPO. 4. Solucionar los problemas del GPO. 5. Determinar y probar la resolucin.
Tarea 1: Restaurar el GPO Lab11C

1. Desde NYC-DC1, en la GPMC, haga clic con el botn secundario en la carpeta Objetos de directiva de grupo y luego haga clic en Administrar copias de seguridad. 2. En el cuadro de dilogo Administras copias de seguridad, escriba D:\6824\Copia de Seguridad GPO en el campo Ubicacin de copia de seguridad. 3. Restaure el GPO Lab 11C.
Tarea 2: Vincular el GPO Lab11C con la unidad organizativa Miami

1. En la GPMC, haga clic con el botn secundario en la unidad organizativa Miami y luego en Vincular un GPO existente. 2. Seleccione el GPO Lab 11C y luego haga clic en Aceptar .
Tarea 3: Probar el GPO

1. Inicie sesin en NYC-CL1 como Roya. 2. Cierre sesin.

Tarea 4: Solucionar los problemas del GPO

1. Cambie a NYC-DC1. 2. En la GPMC, vuelva a ejecutar la consulta Roya en NYC-CL1. 3. En la seccin Resumen de configuracin del usuario, haga clic en Objetos de directiva de grupo y luego en GPO aplicados. 4. Haga clic en la ficha Configuracin. 5. En la seccin Configuracin del usuario, expanda Plantillas administrativas y luego haga clic en Men inicio y Barra de tareas.

Tarea 5: Determinar y probar la resolucin

1. Expanda la carpeta Objetos de directiva de grupo, haga clic con el botn secundario en el GPO Lab 11C y luego haga clic en Edicin. 2. Vaya a Configuracin del usuario, a Plantillas administrativas, luego a Men inicio y finalmente a Barra de tareas. 3. Haga doble clic en el valor Agregar el comando Ejecutar al men inicio, haga clic en No configurado y luego en Aceptar . 4. Busque Quitar el men Ejecutar del men inicio y habilite la configuracin. 5. Cierre el Editor de objetos de directiva de grupo. 6. Inicie sesin en NYC-CL1 como Roya. 7. No cierre sesin. Resultado: Al finalizar este ejercicio, habr solucionado un problema de Objetos de directiva de grupo. Ejercicio 3: Respuestas claves (pasos detallados)

Ejercicio 4: Solucin de problemas del GPO Laboratorio 11D

Ejercicio 4: Solucin de problemas del GPO Laboratorio 11D
Debe restaurar el GPO Lab 11D y vincularlo con la carpeta Bucle invertido. Este GPO est diseado para optimizar la seguridad. Un usuario en la unidad organizativa Miami ha presentado el siguiente vale de soporte tcnico: Nombre de usuario: Roya Asbari Nombre del equipo: NYC-CL1 Descripcin del problema: Desde la aplicacin del GPO, Roya ya no posee el men Inicio clsico o la asignacin de unidad y ya no puede ejecutar Internet Explorer. El vale fue transferido al equipo del servidor para su resolucin. Las principales tareas para este ejercicio se realizarn como se detalla a continuacin: 1. Crear una nueva unidad organizativa denominada Bucle invertido. 2. Restaurar el GPO Lab11D. 3. Vincular el GPO Lab11D con la unidad organizativa Bucle invertido. 4. Mover NYC-CL1 a la unidad organizativa Bucle invertido. 5. Probar el GPO. 6. Solucionar los problemas del GPO. 7. Solucionar el problema y probar su resolucin.
Tarea 1: Crear una nueva unidad organizativa denominada Loopback

Use Usuarios y equipos de Active Directory para crear una nueva unidad organizativa denominada Bucle invertido en el dominio [Link].
Tarea 2: Restaurar el GPO Lab11D

1. Desde NYC-DC1, en la GPMC, haga clic con el botn secundario en la carpeta Objetos de directiva de grupo y luego haga clic en Administrar copias de seguridad. 2. En el cuadro de dilogo Administrar copias de seguridad, escriba D:\6824\Copia de Seguridad GPO en el campo Ubicacin de copia de [Link] el GPO Lab 11D.
Tarea 3: Vincular el GPO Lab11D con la unidad organizativa Bucle invertido

1. En la GPMC, haga clic con el botn secundario en la unidad organizativa Bucle invertido y luego en Vincular un GPO existente. 2. En el cuadro de dilogo Seleccionar GPO, seleccione el GPO Lab 11D y luego haga clic en Aceptar .
Tarea 4: Mover NYC-CL1 a la unidad organizativa Bucle invertido

1. Haga clic en Inicio, luego en Herramientas administrativas y finalmente haga clic en Usuarios y equipos de Active Directory. 2. Expanda el dominio [Link] y luego haga clic en el contenedor Equipos. 3. Haga clic con el botn secundario en la cuenta de equipo NYC-CL1 y luego haga clic en Mover . 4. Seleccione la unidad organizativa Bucle invertido y luego haga clic en Aceptar .
Tarea 5: Probar el GPO

1. Cambie a NYC-CL1 y luego reinicie el equipo. 2. Inicie sesin como WoodgroveBank\Roya usando la contrasea Pa$$w0rd. 3. Cierre Centro de Bienvenida. 4. Presione el botn Inicio. 5. Haga doble clic en Internet Explorer . 6. Cierre Internet Explorer .
Tarea 6: Solucionar los problemas del GPO

1. Cambie nuevamente a NYC-DC1. 2. En la GPMC, ejecute Asistente de resultados de directiva. 3. En la ventana Seleccin de equipo, haga clic en Otro equipo, escriba NYC-CL1 en el cuadro de texto y luego haga clic en Siguiente. 4. En la ventana Seleccin de usuario seleccione WoodgroveBank\Roya y luego haga clic en Finalizar . 5. En la seccin Resumen de configuracin del equipo, haga clic en Objetos de directiva de grupo y luego en GPO aplicados. 6. En la seccin Configuracin del equipo, haga clic en Plantillas administrativas y luego en Sistema/Directiva de grupo.
Tarea 7: Determinar y probar la resolucin

1. En la GPMC, haga clic con el botn secundario en la unidad organizativa Admins y deshabilite el vnculo con el GPO Lab 11D. 2. Reinicie el equipo NYC-CL1. 3. Inicie sesin como Roya. Resultado: Al finalizar este ejercicio, habr solucionado un problema de Objetos de directiva de grupo. Ejercicio 4: Respuestas claves (pasos detallados)

Revisin y conclusiones del mdulo

Observaciones

Tenga en cuenta lo siguiente cuando desee implementar un plan de supervisin de AD DS: Las Extensiones de cliente controlan la aplicacin de Directiva de grupo a intervalos regulares configurables. Los nmeros de versin de GPO indican si se ha modificado una Directiva de grupo. No todas las Extensiones de cliente procesan a travs de un vnculo lento. La configuracin de seguridad se actualiza cada 16 horas. Windows XP y las versiones anteriores se registran en el registro Userenv para la mayora de los problemas relacionados con Directiva de grupo. Es posible modificar el registro para habilitar otros registros de Extensiones de cliente. Windows Vista se registra en los registros funcionales de Visor de eventos. El bloqueo de la herencia impedir la aplicacin de todas las directivas de nivel superior, a menos que dichas directivas estn aplicadas. Es posible filtrar Directiva de grupo para que se aplique nicamente a ciertos principios de seguridad usando la configuracin de seguridad o los scripts WMI. Directiva de grupo consta de dos partes: Plantillas de directivas de grupo y Contenedores de directivas de grupo. Directiva de grupo replica estos objetos en momentos diferentes usando distintos mecanismos. Windows XP y las versiones posteriores inician sesin de usuarios que poseen credenciales almacenadas en la memoria cach de manera predeterminada. Numerosas configuraciones de usuario requerirn dos inicios de sesin por esta razn. Windows XP y las versiones anteriores utilizan el ICMP para determinar la velocidad del vnculo. Windows Vista y las versiones posteriores usan el reconocimiento de la red para determinar la velocidad del vnculo. Los principios de seguridad necesitan un permiso para obtener acceso a las ubicaciones de scripts a fin de poder ejecutarlos. De manera predeterminada, los scripts de inicio del equipo se ejecutan de modo sincrnico. De manera predeterminada, los scripts de inicio de sesin de usuario se ejecutan de modo asincrnico. Herramientas

Usar las siguientes herramientas al solucionar problemas de Directiva de grupo:

Ping

Probar la conectividad de la red.

NSlookup

Probar las bsquedas DNS.

DCdiag

Probar los controladores de dominio.

Set

Mostrar, establecer o quitar las variables del entorno.

Kerbtray

Mostrar la informacin del vale de Kerberos.

Informe de Directiva de grupo RSoP

Presentar informacin sobre las directivas actuales que se envan a los clientes.

GPResult

Una utilidad de lnea de comandos que muestra la informacin de RSoP.

GPOTool

Comprobar la estabilidad de Objetos de directiva de grupo y supervisar la replicacin de la directiva.

GPResult

Actualizar la configuracin local de Directiva de grupo basada en AD DS.

Dcgpofix

Restaurar los objetos predeterminados de la Directiva de grupo a su estado original luego de la instalacin inicial.

GPOLogView

Exportar los eventos relacionados con la Directiva de grupo del sistema y los registros operativos a archivos de texto, HTML o XML. Compatible con Windows Vista y versiones posteriores.

Scripts de Administracin de directivas Los scripts de muestra que realizan diversas tareas de solucin de de grupo problemas y mantenimiento.

Preguntas de revisin 1. Qu herramienta puede probar la resolucin de nombres DNS? NSlookup DCdiag GPResult Ping 2. Qu registro le brindar informacin detallada acerca de la redireccin de carpetas? ________________________________________________________________ 3. Qu indicador visual en la GPMC muestra que la herencia ha sido bloqueada? ________________________________________________________________

4. Qu configuracin de GPO se aplica a travs de vnculos lentos de manera predeterminada? Elija todas las que correspondan: 1. Directivas de scripts 2. Configuracin de seguridad 3. Configuracin administrativa 4. Mantenimiento de Internet Explorer 5. Directiva de recuperacin EFS 6. Directiva IPSec

Modulo 12 : Implementacin de una infraestructura de Servicios de dominio de Active Directory

Mdulo 12

Implementacin de una infraestructura de Servicios de dominio de Active Directory

Este mdulo explica cmo implementar una infraestructura de Servicios de dominio de Active Directory (AD DS). El mdulo consta de cinco ejercicios que conforman los tres laboratorios. Estos ejercicios reforzarn los conceptos del curso y ofrecern la oportunidad de realizar diferentes operaciones que no se realizaron en los laboratorios anteriores. Cada uno de los ejercicios es independiente de los dems.

Leccin 1: Descripcin general del dominio de AD DS Leccin 2: Planeacin de una estrategia de Directiva de grupo Laboratorio A: Implementacin de Servicios de dominio de Active Directory Laboratorio B: Configuracin de relaciones de confianza de bosque Laboratorio C: Diseo de una estrategia de Directiva de grupo

Leccin 1: Descripcin general del dominio de AD DS

Leccin 1:

Descripcin general del dominio de AD DS

En esta leccin, observar los componentes del dominio de AD DS con los que trabajar en el laboratorio.

Descripcin general del diseo de dominio de AD DS

Puntos clave

El grfico de la diapositiva describe la configuracin actual del dominio en Woodgrove Bank.

Descripcin general del diseo requerido del dominio

Puntos clave El grfico de la diapositiva describe la configuracin requerida para el dominio en Woodgrove Bank. El dominio Contoso se unir al bosque Woodgrove Bank como un rbol independiente del mismo bosque.

Descripcin general del diseo del sitio AD DS

Puntos clave

El grfico de la diapositiva describe la configuracin actual del sitio en Woodgrove Bank. Se ha abierto una nueva sucursal en Nueva York y se crear un nuevo sitio para controlar el trfico de inicio de sesin. Se crearn los siguientes dos sitios: El sitio [Link], que incluir la subred [Link] El sitio NYC-Sucursal, que incluir la subred [Link]

Leccin 2: Planeacin de una estrategia de Directiva de grupo

Leccin 2:

Planeacin de una estrategia de Directiva de grupo

En esta leccin se planearn Directivas de grupo y se implementarn en los laboratorios.

Descripcin general de la implementacin del controlador de dominio

Puntos clave

El grfico describe la implementacin del nuevo controlador de dominio en Woodgrove Bank. Se cambiar el nombre del equipo Server Core NYC-SRV2 a NYC-DC3 para reflejar la nueva funcin y se instalar la funcin del controlador de dominio de slo lectura (RODC) en NYC-DC3. Se cambiar el nombre del equipo NYC-SRV1 a ContosoDC para reflejar la nueva funcin y luego se convertir en el controlador de dominio Contoso.

Laboratorio A: Implementacin de Servicios de dominio de Active Directory

Escenario Woodgrove Bank est implementando AD DS del sistema operativo Windows Server2008. El administrador de la empresa ha creado un diseo para la implementacin. Como administrador de AD DS, implementar este diseo y comprobar que todos los componentes del diseo funcionen correctamente. Informacin del sitio Habr dos nuevos sitios: NYC- Sucursal y Contoso. Nombre del sitio: NYC-Casa Matriz Subred: [Link] Puerta de enlace: [Link] Controlador de dominio: NYC-DC1 [Link] Nombre del sitio: NYC-Sucursal Subred: [Link] Puerta de enlace: [Link] Controlador de dominio: NYC-DC3 (RODC) (previamente denominado NYC-SRV2) [Link] Nombre del sitio: Contoso Subred: [Link] Puerta de enlace: [Link] Controlador de dominio: ContosoDC (previamente denominado NYC-SRV1) [Link] Informacin de dominio Habr dos dominios: [Link] y [Link] WoodgroveBank y Contoso pertenecen al mismo bosque. WoodgroveBank es el dominio raz del bosque y Contoso

es un rbol independiente del bosque. [Link] Controladores de dominio: NYC-DC1, NYC-DC2, NYC-DC3 (RODC) (previamente denominado NYC-SRV2) [Link] Controlador de dominio: ContosoDC (previamente denominado NYC-SRV1) Nota: El siguiente laboratorio requiere que se ejecuten cuatro mquinas virtuales al mismo tiempo. Se recomienda que los equipos de los alumnos estn configurados con un GB adicional de memoria RAM (para alcanzar un total de 3 GB) y as mejorar el rendimiento de la mquina virtual en el laboratorio.

Ejercicio 1: Instalacin de un RODC en un Server Core y creacin de un sitio de una sucursal

Ejercicio 1: Instalacin de un RODC en un Server Core y creacin de un sitio de una sucursal
Escenario Woodgrove Bank ha abierto una nueva sucursal en la ciudad de Nueva York. Las cuentas de usuarios de los empleados de la sucursal se ubicarn en una unidad organizativa (UO) independiente. Para controlar el trfico de inicio de sesin, se ha decidido crear un sitio independiente para la nueva sucursal y un controlador de dominio de slo lectura (RODC) en una instalacin Server Core en el sitio. Se le ha asignado la tarea de crear y configurar el controlador de dominio de la nueva sucursal de la ciudad de Nueva York. Usar un servidor existente, el NYC-SRV2, que es una instalacin Server Core. Deber realizar las siguientes tareas en AD DS: Preconfigurar la cuenta para el RODC de la sucursal. Crear una unidad organizativa denominada Empleados de Sucursal, que incluir las cuentas de usuarios. Crear cuentas de usuarios para el gerente y los usuarios de la sucursal. Crear un grupo global denominado UsuariosSucursalGG y agregarle los usuarios de la sucursal. Se almacenarn en la memoria cach del RODC nicamente las contraseas de los empleados de la sucursal. Tambin deber crear el sitio y el objeto de subred [Link] para la sucursal. Luego deber cambiar el nombre NYC-SRV2 por NYC-DC3, para que refleje su funcin actual. Deber configurar la direccin IP de manera tal que refleje la subred del sitio de la sucursal. Luego deber instalar RODC en el servidor. Por ltimo, establecer la configuracin de manera tal que la replicacin con el sitio de la oficina central se realice cada 30 minutos. Las principales tareas para este ejercicio se realizarn como se detalla a continuacin: 1. Iniciar las mquinas virtuales e iniciar sesin. 2. Copiar el archivo de instalacin desatendida y cambiar el nombre NYC-SRV2 por NYC-DC3. 3. Cambiar la direccin IP de NYC-SRV2 por [Link]. 4. Crear el sitio NYC-Sucursal y cambiar el nombre del sitio predeterminado. 5. Crear objetos de subred para los sitios de la oficina central y la sucursal NYC. 6. Configurar el programa de replicacin. 7. Crear una unidad organizativa para la sucursal. 8. Crear usuarios y grupos para la sucursal. 9. Configurar el servicio DNS en NYC-DC1 de manera tal que permita transferencias de zona. 10. Realizar la preparacin preliminar en la cuenta de equipo para el RODC. 11. Instalar la funcin de DNS en NYC-DC3. 12. Instalar RODC en NYC-DC3 y comprobar los resultados. 13. Cerrar NYC-SRV2 y descartar los discos para deshacer Tarea 1: Iniciar las mquinas virtuales y luego iniciar sesin 1. En la mquina host, haga clic en Inicio, elija Todos los programas, seleccione Microsoft Learning y luego haga clic en 6824A. Se inicia Iniciador de laboratorio. 2. En Iniciador de laboratorio, junto a 6824A-NYC-DC1, haga clic en Iniciar.

3. En Iniciador de laboratorio, junto a 6824A-NYC-DC2, haga clic en Iniciar. 4. En Iniciador de laboratorio, junto a 6824A-NYC-SVR2, haga clic en Iniciar. 5. En Iniciador de laboratorio, junto a 6824A-NYC-RAS, haga clic en Iniciar . 6. Inicie sesin en todos los equipos como Administrador, usando la contrasea Pa$$w0rd. 7. Minimice la ventana Iniciador de laboratorio.
Tarea 2: Copiar el archivo de instalacin desatendida y cambiar el nombre NYC-SRV2 por NYC-DC3

1. Copie el archivo [Link] de la carpeta D:\6824\Allfiles\Mod12\Labfiles de NYC-DC1 a la unidad C:. 2. En el smbolo del sistema, escriba Netdom renamecomputer %computername% /NewName:NYC-DC3 /Force /REBoot:5 y luego presione ENTRAR. El equipo se reiniciar automticamente despus de 5 segundos.
Tarea 3: Cambiar la direccin IP de NYC-SRV2 por [Link]

1. En el smbolo del sistema, escriba netsh interface ipv4 show interfaces. Observe el nmero de ndice de la interfaz Conexin de rea local (<Ind>). 2. En el smbolo del sistema, escriba netsh interface ipv4 set address name=<Ind> source=static address=[Link] mask=[Link] gateway=[Link] y luego presione ENTRAR. 3. En el smbolo del sistema, escriba Ipconfig /all y asegrese de que la informacin de la direccin IP sea correcta y de que el Servidor DNS sea [Link].
Tarea 4: Crear el sitio NYC-Sucursal y cambiar el nombre del sitio predeterminado

1. En NYC-DC1, abra Sitios y servicios de Active Directory. 2. Haga clic con el botn secundario en Sites y luego haga clic en Nuevo sitio nombrado NYC-Sucursal. Seleccione DefaultIPSiteLink y luego haga clic en Aceptar . 3. Cambie el nombre de Default-First-Site-Name por NYC-Casa-Matriz.
Tarea 5: Crear objetos de subred para los sitios de la oficina central y la sucursal NYC

1. Cree un nuevo objeto de subred para la subred [Link]/16. Seleccione el sitio NYC-Casa-Matriz y luego haga clic en Aceptar. 2. Cree un nuevo objeto de subred para [Link]/16. Seleccione el sitio NYC-Sucursal y haga clic en Aceptar .
Tarea 6: Configurar el programa de replicacin

1. Abra las propiedades de la subred DEFAULTIPSITELINK. 2. Escriba 30 en el campo Replicar cada y luego haga clic en Aceptar . 3. Cierre Sitios y servicios de Active Directory.
Tarea 7: Crear una unidad organizativa para los usuarios de la sucursal

1. Abra Usuarios y equipos de Active Directory. 2. Cree una nueva unidad organizativa denominada NYC-Sucursal.
Tarea 8: Crear usuarios y grupos para la sucursal

1. Cree un nuevo usuario con los siguientes parmetros: Nombre: Gerente Sucursal Nombre de inicio de sesin: gerentesucursal Contrasea: Pa$$w0rd

La contrasea nunca caduca 2. Cree un segundo usuario con los siguientes parmetros: Nombre: Usuario sucursal Nombre de inicio de sesin : usuariosucursal Contrasea: Pa$$w0rd La contrasea nunca caduca 3. Cree un nuevo grupo global denominado UsuariosSucursalGG. 4. Agregue las cuentas Gerente Sucursal y Usuario Sucursal al grupo global UsuariosSucursalGG.
Tarea 9: Configurar el servicio DNS en NYC-DC1 de manera tal que permita transferencias de zona

1. En NYC-DC1, abra la Consola Administrador de DNS. 2. Configure la zona [Link] en Permitir transferencias de zona. 3. Cierre el Administrador de DNS.
Tarea 10: Realizar la preparacin preliminar de la cuenta de equipo para el RODC

1. Vuelva a Usuarios y equipos de Active Directory, haga clic con el botn secundario en la unidad organizativa Domain Controllers y luego haga clic en Crear previamente una cuenta de controlador de dominio de slo lectura. 2. En la pgina Bienvenidos al asistente de instalacin de servicios de dominio de Active, seleccione la casilla Usar la instalacin en modo avanzado y luego haga clic en Siguiente. 3. En la pgina Compatibilidad del sistema operativo, haga clic en Siguiente. 4. En la pgina Credenciales de red, compruebe que est seleccionada la opcin Mis credenciales de inicio de sesin actuales y luego haga clic en Siguiente. 5. En la pgina Especificar nombre del equipo, en el campo Nombre de equipo, escriba NYC-DC3 y luego haga clic en Siguiente. 6. En la pgina Seleccionar un sitio, haga clic en NYC-Sucursal y luego haga clic en Siguiente. 7. En la pgina Opciones adicionales del controlador de dominio, mantenga los valores predeterminados y luego haga clic en Siguiente. 8. En la pgina Especificar la directiva de replicacin de contraseas, haga clic en Agregar y luego seleccione Permitir la replicacin en este RODC de contraseas de la cuenta. 9. Agregue UsuariosSucursalGG. 10. En la pgina Delegacin de instalacin y administracin de RODC, haga clic en Establecer y luego agregue la cuenta GerenteSucursal. 11. Cierre el asistente para crear la cuenta RODC. Observe que la cuenta de equipo NYC-DC3 est enumerada en AD DS, y el Tipo de DC es Cuenta de DC no ocupada.
Tarea 11: Instalar la funcin de DNS en NYC-DC3

1. {0>En NYC-DC3, escriba Oclist para visualizar las funciones actualmente instaladas.<0}{>Observe que no haya funciones actualmente instaladas.<0} 2. Escriba start /w ocsetup DNS-Server-Core-Role y luego presione ENTRAR para instalar el servidor DNS. El nombre de la funcin del Server Core distingue maysculas de minsculas.
Tarea 12: Instalar RODC en NYC-DC3 y comprobar los resultados

1. Escriba [Link] /UseExistingAccount:Attach/unatten[Link]\[Link]. Demorar varios minutos en realizarse la promocin y se llevar a cabo el reinicio de sesin automticamente para completar la instalacin.

2. Inicie sesin en NYC-DC3 como GerenteSucursal. 3. Cambie a NYC-DC1 y actualice la vista de la unidad organizativa Domain Controllers. Observe que el tipo DC de NYC-DC3 ahora est configurado como Slo lectura, GC. 4. Abra Sitios y servicios de Active Directory y examine el sitio NYC-Sucursal. Observe que NYC-DC3 ahora est enumerado en el contenedor de servidores. 5. Abra el Administrador de DNS y conctese al servidor DNS de NYC-DC3. Observe que NYC-DC3 hospeda una copia de la zona [Link].

Nota: Si el servidor no est disponible, espere unos minutos y vuelva a intentarlo. Observe que NYC-DC3 hospeda una copia de la zona [Link].
2. Cierre la consola DNS.
Tarea 13: Cerrar todas las mquinas virtuales y descartar los discos para deshacer

1. Cierre la ventana 6824A-NYC-SRV2 Control remoto de mquina virtual. 2. En el cuadro Cerrar , seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar .

Resultado: Al finalizar el ejercicio, habr creado un RODC en un equipo Server Core Ejercicio 1: Respuestas claves (pasos detallados)

Ejercicio 2: Creacin de un dominio en un rbol y un sitio independientes

Ejercicio 2: Creacin de un dominio en un rbol y un sitio independientes
Escenario Woodgrove Bank ha adquirido una pequea empresa denominada Contoso, Ltd. Por motivos legales, dicha empresa debe tener un dominio independiente en un nuevo rbol de dominios en el mismo bosque. Esto les permitir mantener el espacio de nombres [Link]. El dominio Contoso tambin estar en un sitio independiente. Se le ha asignado la tarea de crear el dominio para Contoso, Ltd, que recibir el nombre [Link] y tendr un rbol de dominios independiente en el bosque WoodgroveBank. Convertir un servidor existente, NYC-SRV1, en el nuevo controlador de dominio. Deber cambiar el nombre del equipo a ContosoDC. Tambin deber crear un sitio independiente para el dominio Contoso que use la subred [Link] y configurar el equipo ContosoDC con la direccin IP [Link]. Configurar la replicacin entre el sitio New York y el sitio Contoso de manera tal que se realice cada 4 horas, entre las 18:00 y las 06:00. Instalar y configurar el servicio DNS en ContosoDC de manera tal que mantenga una zona secundaria de [Link]. Por ltimo, convertir ContosoDC en el controlador de dominio [Link]. Las principales tareas para este ejercicio se realizarn como se detalla a continuacin: 1. Iniciar NYC-SRV1. 2. Crear el sitio Contoso. 3. Crear la subred para el sitio Contoso. 4. Crear y configurar un nuevo vnculo de sitio para replicacin. 5. Cambiar el nombre del servidor NYC-SRV1 por ContosoDC. 6. Cambiar la direccin IP de ContosoDC. 7. Configurar el servicio DNS en NYC-DC1 para permitir transferencias de zona (Si ha completado el Ejercicio 1, ya ha realizado este paso). 8. Instalar DNS en ContosoDC. 9. Configurar el servicio DNS en ContosoDC. 10. Convertir el servidor en el controlador de dominio Contoso. 11. Cerrar NYC-SRV1 y NYC-DC2 y descartar los discos para deshacer.
Tarea 1: Iniciar NYC-SRV1

1. En Iniciador de laboratorio, junto a 6824A-NYC-SRV1, haga clic en Iniciar. 2. Minimice la ventana Iniciador de laboratorio.
Tarea 2: Crear el sitio Contoso

1. En NYC-DC1, abra Sitios y servicios de Active Directory. 2. Cree un nuevo sitio denominado Contoso. 3. Seleccione el vnculo de sitio DefaultIPSiteLink, haga clic en Aceptar y luego en Aceptar para aceptar el mensaje.
Tarea 3: Crear la subred para el sitio Contoso

1. Cree un nuevo objeto de subred para la subred [Link]/24. Seleccione el sitio Contoso y luego haga clic en Aceptar . 2. Cierre Sitios y servicios de Active Directory.
Tarea 4: Crear y configurar un nuevo vnculo de sitio para replicacin

1. Cree un nuevo vnculo a sitio denominado Contoso-NYC-CM . 2. Abra las propiedades del vnculo de sitio Contoso-NYC-CM y agregue los sitios Contoso y NYC-Casa-Matriz al vnculo de sitio. 3. Escriba 240 en el campo Replicar cada y luego haga clic en Cambiar programacin. 4. En el cuadro de dilogo Programacin para Contoso-NYC-CM , haga clic y arrastre para seleccionar el horario 06:00 A 18:00 de lunes a viernes, haga clic en Replicacin no disponible y luego haga clic en Aceptar dos veces.
Tarea 5: Cambiar el nombre de NYC-SRV1 por ContosoDC

1. Inicie sesin en NYC-SRV1 como AdminLocal, usando la contrasea Pa$$w0rd. 2. Cambie el nombre del equipo a ContosoDC y luego reinicie el equipo.
Tarea 6: Cambiar la direccin IP de ContosoDC

1. Inicie sesin en ContosoDC como AdminLocal, usando la contrasea Pa$$w0rd. 2. Configure la direccin IPv4 como se detalla a continuacin: Direccin IP: [Link] Mscara de subred: [Link] Puerta de enlace predeterminada: [Link] Servidor DNS preferido: [Link]
Tarea 7: Configurar el servicio DNS en NYC-DC1 para permitir transferencias de zona (Si ha completado el Ejercicio 1, ya ha realizado este paso)

1. Cambie a NYC-DC1. 2. Abra la consola Administracin de DNS. 3. Configure la zona [Link] en Permitir transferencias de zona. 4. Cierre el Administrador de DNS.
Tarea 8: Instalar la funcin del servidor DNS en ContosoDC

1. Cambie a ContosoDC. 2. Instale la funcin del servidor DNS. 3. Deje el Administrador de servidor abierto.
Tarea 9: Configurar el servicio DNS en ContosoDC

1. Abra la consola Administracin de DNS. 2. Cree una zona secundaria directa denominada [Link]. 3. Configure el Servidor maestro DNS como [Link]. La transferencia de zona demorar unos instantes. Deber actualizar la consola para ver los cambios. 4. Expanda Registros globales y luego haga clic en Sucesos DNS. Examine los eventos que describen la transferencia de zona. 5. Cierre el Administrador de DNS.
Tarea 10: Convertir el servidor en el controlador de dominio Contoso.

1. Utilice el Administrador del servidor para agregar la funcin Servicios de dominio de Active Directory.

2. Inicie [Link]. 3. En Asistente de instalacin de servicios de dominio de Active Directory, seleccione Usar la instalacin en avanzado. 4. En la pgina Compatibilidad del sistema operativo, haga clic en Siguiente. 5. En la ventana Elegir configuracin de implementacin, haga clic en Bosque existente, haga clic en Crear un nuevo dominio en un bosque existente y luego seleccione Crear una raz de rbol de dominio nueva en lugar de un nuevo dominio secundario. 6. En la pantalla Credenciales de red, escriba [Link] en el campo de nombre de dominio, haga clic en Establecer y luego use las credenciales: 1. Usuario: Administrador 2. Contrasea: Pa$$w0rd 7. Denomine la nueva raz del rbol de dominio [Link]. 8. En la pantalla Nombre NetBIOS del dominio, haga clic en Siguiente. 9. Establezca el nivel funcional del dominio en Windows Server 2008. 10. En la ventana Seleccionar un sitio, haga clic en Siguiente. 11. En la ventana Opciones adicionales del controlador de dominio, seleccione la casilla Catlogo global y luego haga clic en Siguiente. 12. En el cuadro de mensaje Asignacin IP esttica, haga clic en S, el equipo utilizar una direccin IP asignada dinmicamente y luego haga clic en S para continuar. Nota: Este mensaje hace referencia a la interfaz IPV6, que est configurada para usar DHCP. 13. En la ventana Controlador del dominio de origen, haga clic en Siguiente. 14. En la ventana Ubicacin de la base de datos, los archivos de registro y SYSVOL, haga clic en Siguiente. 15. Establezca Pa$$w0rd como la contrasea de administrador de modo de restauracin de servicios de directorio. 16. En la ventana Resumen, haga clic en Siguiente y luego seleccione Reiniciar al completar . 17. Inicie sesin en el equipo ContosoDC como Contoso\Administrador. 18. Abra Consola de administracin de DNS y examine las zonas de bsqueda directa. Observe la zona [Link]. 19. Use el comando configIP /todos para examinar la configuracin de IP. Observe que ContosoDC est usando [Link] como el servidor DNS preferido.
Tarea 11: Apagar NYC-SRV1 y NYC-DC2 y descartar los discos para deshacer

1. Cierre la ventana 6824A-NYC-SRV1 Control remoto para mquina virtual. 2. En el cuadro Cerrar , seleccione Apagar el equipo y descartar los cambios. Haga clic en Aceptar . 3. Cierre la ventana 6824A-NYC-DC2 Control remoto para mquina virtual. 4. En el cuadro Cerrar , seleccione Apagar el equipo y descartar los cambios. Haga clic en Aceptar . Resultado: Al finalizar este ejercicio, habr creado un dominio en un rbol y un sitio independientes. Ejercicio 2: Respuestas claves (pasos detallados)

Descripcin general de la relacin de confianza de bosque

Puntos clave Este tema es una introduccin de la informacin que necesitar para el prximo laboratorio. Al finalizar el prximo laboratorio, el bosque Fabrikam ser actualizado al nivel Windows Server 2008 y se convertir un servidor de Windows Server 2008 en un controlador de dominio adicional para el dominio. El bosque [Link] tendr una relacin de confianza de bosque con el bosque WoodgroveBank. La confianza usar autenticacin selectiva de manera que slo se le permita al grupo Admins. Dominio de WoodgroveBank autenticarse en los recursos del dominio Fabrikam.

Laboratorio B: Configuracin de relaciones de confianza de bosque

Escenario Woodgrove Bank acaba de adquirir una nueva filial denominada Fabrikam, Inc. Fabrikam actualmente ejecuta controladores de dominio del sistema operativo Windows Server2003. Una de las primeras tareas que debern realizar los administradores de Woodgrove Bank ser actualizar los controladores de dominio para Windows Server 2008. Fabrikam Inc continuar en un bosque independiente y confiar en el bosque Woodgrove Bank.

Ejercicio: Actualizacin del domino de Fabrikam y creacin de una confianza de bosque con Woodgrove Bank
Ejercicio: Actualizacin del domino de Fabrikam y creacin de una confianza de bosque con Woodgrove Bank
Escenario Se le ha asignado la tarea de preparar el bosque y el dominio Fabrikam 2003 de manera tal que acepten los controladores de dominio de Windows Server 2008. Tambin deber configurar transferencias de zona DNS entre el bosque Fabrikam y el bosque WoodgroveBank. Luego convertir un servidor Windows Server 2008 en un controlador de dominio del dominio Fabrikam. Por ltimo, configurar una confianza de bosque entre [Link] y [Link]. La confianza usar autenticacin selectiva de manera que slo se le permita al grupo Admin. Dominio de WoodgroveBank autenticarse en los recursos del dominio Fabrikam. Use la siguiente informacin para realizar el ejercicio: Nombre del sitio: Fabrikam Subred: [Link] Puerta de enlace: [Link] Controlador de dominio: FabrikamDC [Link] Las principales tareas para este ejercicio se realizarn como se detalla a continuacin: 1. Iniciar VAN-DC1 y NYC-SVR1. 2. Preparar el bosque y el dominio de manera tal que permitan que el bosque [Link] admita controladores de dominio de Windows Server 2008. 3. Configurar las transferencias de zona DNS de manera tal que sean recprocas entre [Link] y [Link] usando zonas de rutas internas. 4. Cambiar el nombre de NYC-SRV1 por VAN-DC2. 5. Convertir el servidor Windows Server 2008 en un controlador de dominio del dominio Fabrikam. 6. Configurar una confianza de bosque entre [Link] y [Link] para autenticacin selectiva. 7. Configurar la autenticacin selectiva para el grupo Admin. Dominio WoodgroveBank. 8. Apagar los servidores.
Tarea 1: Iniciar VAN-DC1 y NYC-SVR1

1. En Iniciador de laboratorio, junto a 6824A-VAN-DC1, haga clic en Iniciar. 2. En Iniciador de laboratorio, junto a 6824A-NYC-SVR1, haga clic en Iniciar. 3. Minimice la ventana Iniciador de laboratorio.
Tarea 2: Preparar el bosque y el dominio de manera tal que permitan que el bosque [Link] admita controladores de dominio de Windows Server 2008

1. Inicie sesin en VAN- DC1 como Administrador , usando la contrasea Pa$$w0rd. 2. Abra Usuarios y equipos de Active Directory. 3. Haga clic con el botn secundario en [Link] y luego haga clic en Elevar el nivel funcional del dominio. 4. Eleve el nivel funcional del dominio a Windows Server 2003. 5. Abra Dominios y confianzas de Active Directory.

6. Haga clic con el botn secundario en Dominios y confianzas de Active Directory y luego haga clic en Elevar el nivel funcional del bosque. 7. Eleve el nivel funcional del bosque a Windows Server 2003. 8. Copie los archivos Windows Server 2008 ADPrep de la carpeta D:\6824\allfiles\Mod12\Adprep en NYC-DC1 en C:\Adprep en VAN-DC1. 9. Desde un smbolo del sistema, escriba el comando C:\Adprep\adprep /forestprep. Lea el mensaje de advertencia y luego escriba C para continuar. La ejecucin de forestprep demorar unos instantes. 10. En la ventana de smbolo del sistema, escriba C:\ Adprep\adprep /domainprep. 11. Cierre el smbolo del sistema.
Tarea 3: Configurar las transferencias de zona DNS de manera tal que sean recprocas entre [Link] y [Link] usando zonas de rutas internas

1. En VAN-DC1, inicie la consola administracin de DNS. 2. Configure la zona [Link] de manera tal que permita transferencias de zona. 3. En NYC-DC1, inicie la consola de Administracin de DNS. 4. Inicie el Asistente para crear zona nueva. 5. En la ventana Tipo de zona, haga clic en Zona de rutas internas. 6. En la ventana mbito de replicacin de zona de Active Directory, haga clic en Siguiente. 7. En la ventana Nombre de zona, escriba [Link]. 8. En la ventana Servidores DNS maestros , escriba [Link] y luego cierre el asistente. La transferencia de zona demorar unos instantes. Debe actualizar la consola para ver los cambios. 9. Cierre el Administrador de DNS. 10. Cambie a VAN-DC1. 11. Inicie el Asistente para crear zona nueva. 12. En la ventana Tipo de zona, haga clic en Zona de rutas internas.. 13. En la ventana mbito de replicacin de zona de Active Directory, haga clic en Siguiente. 14. En la ventana Nombre de zona, escriba [Link]. 15. En la ventana Servidores DNS maestros , escriba [Link] y luego cierre el asistente. La transferencia de zona demorar unos instantes. Deber actualizar la consola para ver los cambios. 16. Cierre el Administrador de DNS.
Tarea 4: Cambiar el nombre de NYC-SRV1 por VAN-DC2

1. Inicie sesin en NYC-SRV1 como AdminLocal, usando la contrasea Pa$$w0rd. 2. Cambie la configuracin de la direccin IP para la Conexin de rea local a: Direccin IP: [Link] Mscara de subred: [Link] Puerta de enlace predeterminada: [Link] Servidor DNS preferido: [Link] 3. En Administrador del servidor, haga clic en Cambiar propiedades del sistema. 4. Cambie el nombre del equipo a VAN-DC2 y luego reincielo.
Tarea 5: Convertir el servidor Windows Server 2008 en un controlador de dominio del dominio Fabrikam

1. Inicie sesin en VAN-DC2 como AdminLocal, usando la contrasea Pa$$w0rd. 2. Agregue la funcin Servicios de dominio de Active Directory . 3. Inicie [Link]. 4. En la ventana Elegir una configuracin de implementacin, haga clic en Bosque existente y mantenga la opcin predeterminada Agregar una controlador de dominio a un dominio existente. 5. En la ventana Credenciales de red, escriba [Link] en el campo de nombre de dominio, haga clic en Establecer y use las credenciales: Usuario: Fabrikam\Administrador Contrasea: Pa$$w0rd 6. En la ventana Seleccione un dominio, haga clic en [Link] y luego haga clic en S para aceptar el mensaje sobre los RODC. 7. En la ventana Seleccione un sitio, haga clic en Siguiente. 8. En Opciones adicionales del controlador de dominio, desactive las casillas Servidor DNS y Catlogo Global. 9. En la ventana Conflicto de configuracin del maestro de infraestructura, haga clic en Transferir la funcin de maestro de infraestructura a este controlador de dominio. 10. En la ventana Ubicacin de la base de datos, los archivos de registro y Sysvol, haga clic en Siguiente. 11. En Contrasea de [Link] modo de restauracin de servicios de directorio, escriba Pa$$w0rd en los campos Contrasea. 12. En la pgina Resumen, haga clic en Siguiente y luego haga clic en Reiniciar al completar .
Tarea 6: Configurar una confianza de bosque entre [Link] y [Link] para autenticacin selectiva

1. Cambie a NYC-DC1. 2. Abra Dominios y confianzas de Active Directory. 3. En las propiedades de [Link], haga clic en la ficha Confa y luego en Nueva confianza. 4. En el Asistente de nueva confianza, haga clic en Siguiente. 5. Denomine la confianza [Link]. 6. Cree una confianza de bosque. 7. Configure la confianza de manera tal que sea Unidireccional: de entrada. 8. En la ventana Partes de la relacin de confianza, seleccione Ambos, este dominio y el dominio especificado. 9. Use las credenciales que se presentan a continuacin: Nombre de usuario: Administrador Contrasea: Pa$$w0rd 10. En la ventana Nivel de autenticacin de la confianza saliente-Bosque especificado, haga clic en Autenticacin selectiva. 11. En la ventana Se completo la creacin de la confianzas, haga clic en Siguiente. 12. En la ventana Confirmar confianza entrante, haga clic en Siguiente y luego cierre el asistente.
Tarea 7: Configurar la autenticacin selectiva para el grupo Admins Dominio, de dominio de WoodgroveBank

1. Cambie a VAN-DC1.

2. Abra Usuarios y equipos de Active Directory. 3. Habilite la Vista de Caractersticas avanzadas. 4. En la unidad organizativa Domain Controllers, abra las propiedades de VAN-DC1. 5. En la ventana Propiedades de VAN-DC1, haga clic en la ficha Seguridad y luego en Agregar . 6. Otorgue al grupo WoodgroveBank\Admins. del Dominio el permiso Permiso para autenticar.
Tarea 8: Apagar NYC-SRV1, NYC-RAS y VAN-DC1 y descartar los discos para deshacer

1. Cierre NYC-SRV1, NYC-RAS y VAN-DC1 y descarte los discos para deshacer. 2. Cierre la ventana 6824A-NYC-SRV1 Control remoto para mquina virtual. 3. En el cuadro Cerrar , seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar . 4. Cierre la ventana 6824A-NYC-RAS Control remoto para mquina virtual. 5. En el cuadro Cerrar , seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar . 6. Cierre la ventana 6824A-VAN-DC1 Control remoto para mquina virtual. 7. En el cuadro Cerrar , seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar . Resultado: Al finalizar este ejercicio, habr creado una confianza de bosque. Ejercicio 2: Respuestas claves (pasos detallados)

Descripcin general del Diseo de objetos de directiva de grupo de AD DS

Puntos clave El grfico de la diapositiva describe la configuracin actual de la unidad organizativa en Woodgrove Bank.

Laboratorio C: Diseo de una estrategia de Directiva de grupo

Laboratorio C: Planeacin de una estrategia de Directiva de grupo

Escenario Como administrador de red de [Link], tiene la responsabilidad de desarrollar una directiva de escritorio y seguridad que pueda administrarse centralmente a travs de Directiva de grupo.

Ejercicio 1: Planeacin de una Directiva de grupo

Ejercicio 1: Planeacin de una Directiva de grupo
Escenario Se le ha asignado la tarea de crear una directiva de seguridad de equipo que pueda enviarse a travs de Directiva de grupo. Deber crear las unidades organizativas que se requieran y luego deber crear y vincular a stas las directivas correspondientes. La directiva corporativa estipula que los servidores se ubicarn en la estructura de rbol de una unidad organizativa independiente basada en su funcin. Deben considerarse los servidores de archivos e impresin, servidores SQL Server y servidores web. Use el diagrama de dominio como ayuda para planear la estructura de Directiva de grupo y de la unidad organizativa. Complete la tabla para describir los Objetos de directiva de grupo (GPO) que se deben crear, qu valores contendr cada uno y a dnde se vincularn los GPO. Las principales tareas para este ejercicio se realizarn como se detalla a continuacin: 1. Crear una directiva de seguridad global que deber implementarse en todos los equipos del dominio como se indica a continuacin: La cuenta Administrador integrada de todos los equipos se denominar Admin El grupo global Admins TI se agregar al grupo local Administradores Las actualizaciones de Windows se obtendrn de un servidor web denominado [Link] 2. Crear una directiva de seguridad que se implementar en todos los servidores con ms valores de seguridad basados en la funcin del servidor, tal como se indica a continuacin: La cuenta Administrador integrada por todos los servidores miembro se denominar SRVAdmin Los eventos de inicio de sesin de cuentas se auditarn en todos los servidores No se permitir ejecutar el Explorador de Internet en ninguno de los servidores Los servidores SQL Server impedirn la instalacin de dispositivos extrables 3. Configurar una directiva de escritorio corporativo como se indica a continuacin: El acceso a la configuracin de protector de pantalla estar bloqueada para todos los usuarios del dominio No se permitir a los usuarios de Toronto y Miami ejecutar Windows Messenger No se permitir a los usuarios del dominio agregar nuevas impresoras. Los usuarios de la unidad organizativa Admin estarn exentos de esta configuracin. El cifrado de archivos sin conexin ser obligatorio para la unidad organizativa Executives Se prohibir el acceso de todos los usuarios al Panel de control, a excepcin de los administradores de dominio Ejercicio 1: Respuestas claves (pasos detallados)

Ejercicio 2: Implementacin de Directiva de escritorio corporativo

Ejercicio 2: Implementacin de Directiva de escritorio corporativo
Escenario Se le ha asignado la tarea de implementar Directiva de escritorio corporativo al dominio Woodgrove Bank. Crear y vincular los GPO apropiados. Las principales tareas de este ejercicio son: 1. Crear y vincular la Directiva de escritorio del dominio 2. Crear y vincular el GPO Prohibir panel de control 3. Crear y vincular el GPO Forzar cifrado de archivo sin conexin 4. Crear y vincular el GPO Bloquear Windows Messenger 5. Crear y vincular el GPO Permtir agregar impresoras
Tarea 1: Crear y vincular la Directiva de escritorio del dominio

1. En NYC-DC1, abra la consola Administracin de directivas de grupo. 2. Cree un GPO denominado Directiva de escritorio del dominio y vinclelo al dominio [Link]. 3. Edite Directiva de escritorio de dominio como se indica a continuacin: Expanda Configuracin del usuario, luego Directivas, Plantillas administrativas, Panel de contol y, por ltimo, Impresoras. Habilite el valor Impedir la agregacin de Impresoras. 4. En Panel de control, haga clic en Pantalla y luego habilite el valor Ocultar la ficha Protector de pantalla. 5. Cierre el Editor de administracin de directiva de grupo.
Tarea 2: Crear y vincular el GPO Prohibir panel de control

1. Expanda Configuracin del usuario, luego Plantillas administrativas: definiciones de directivas y, por ltimo, Panel de control. 2. Habilite el valor Prohibir acceso al panel de control. 3. Cierre el Editor de administracin de directivas. 4. Haga doble clic en el GPO Prohibir panel de control, haga clic en la ficha Delegacin en el panel de detalles y luego haga clic en Avanzadas. 5. En el cuadro de dilogo Configuracin de seguridad Prohibir panel de control, seleccione Admins. del Dominio, luego seleccione la casilla Denegar Aplicar directiva de grupos y, por ltimo, haga clic en Aceptar . 6. Haga clic en S para aceptar el mensaje. Esto excluir al grupo Administradores de dominio de la directiva.
Tarea 3: Crear y vincular el GPO Forzar cifrado de archivo sin conexin

1. Haga clic con el botn secundario en OUEjecutivos y luego haga clic en Crear un GPO en este dominio y vincularlo aqu. 2. En el cuadro de dilogo Nuevo GPO, escriba Forzar cifrado de archivo sin conexin en el campo Nombre y luego haga clic en Aceptar . 3. Haga clic con el botn secundario en Forzar cifrado de archivo sin conexin y luego haga clic en Editar. 4. Expanda Configuracin del equipo, luego Directivas, Plantillas administrativas, Red y luego haga clic en

Archivos sin conexin. 5. En el panel de detalles, haga doble clic en Cifrar la cach de archivos sin conexin. 6. En el cuadro de dilogo Propiedades de Cifrar la cach de archivos sin conexin, haga clic en Habilitada y luego en Aceptar . 7. Cierre el Editor de administracin de directiva de grupo.
Tarea 4: Crear y vincular el GPO Bloquear Windows Messenger

1. Haga clic con el botn secundario en OU Miami y luego haga clic en Crear un GPO en este dominio y vincularlo aqu. 2. En el cuadro de dilogo Nuevo GPO, escriba Bloquear Windows Messenger en el campo Nombre y luego haga clic en Aceptar . 3. Haga clic con el botn secundario en Bloquear Windows Messenger y luego haga clic en Editar. 4. Expanda Configuracin del usuario, luego expanda Directivas, Plantillas administrativas, Componentes de Windows y luego haga doble clic en Windows Messenger . 5. En el panel de detalles, haga doble clic en No permitir que se ejecute Windows Messenger. 6. En el cuadro de dilogo Propiedades de Permitir la ejecucin de Windows Messenger , haga clic en Habilitada y luego haga clic en Aceptar. 7. Cierre el Editor de administracin de directiva de grupo. 8. Haga clic con el botn secundario en OU Toronto y luego haga clic en Vincular un GPO existente. 9. En el cuadro de dilogo Seleccionar GPO, haga clic en Bloquear Windows Messenger y luego en Aceptar .
Tarea 5: Crear y vincular el GPO Permitir agregar impresoras

1. Haga clic con el botn secundario en OU AdminsTI y luego haga clic en Crear un GPO en este dominio y vincularlo aqu. 2. En el cuadro de dilogo Nuevo GPO, escriba Permitir agregar impresoras en el campo Nombre y luego haga clic en Aceptar . 3. Haga clic con el botn secundario en Permitir agregar impresoras y luego haga clic en Editar. 4. Expanda Configuracin del usuario, luego Directivas, Plantillas administrativas, Panel de control y finalmente haga clic en Impresoras. En el panel de detalles, haga doble clic en Impedir la agregacin de impresoras. 5. En el cuadro de dilogo Propiedades de Impedir la agregacin de impresoras, haga clic en Deshabilitadq y luego haga clic en Aceptar . 6. Cierre el Editor de administracin de directiva de grupo. 7. Cierre la GPMC. 8. Apague todas las mquinas virtuales y elimine todos los cambios.

Resultado: Al finalizar este ejercicio, habr implementado una estrategia de Directiva de grupo.

Ejercicio 2: Respuestas claves (pasos detallados)

Revisin y conclusiones del mdulo

Observaciones

Tenga en cuenta lo siguiente cuando desee implementar una infraestructura de AD DS: Es posible usar sitios para controlar el mbito del trfico de inicio de sesin. Los rboles independientes del bosque permiten la existencia de mltiples espacios de nombres DNS.

Evaluacin del curso

La evaluacin de este curso ayudar a Microsoft a comprender la calidad de su experiencia de aprendizaje. Contctese con su proveedor de cursos para obtener el formulario de evaluacin. Microsoft mantendr la privacidad y confidencialidad de sus respuestas y usar esta informacin para mejorar su futura experiencia de aprendizaje. Se agradece y valora la honestidad y libertad de sus comentarios.

También podría gustarte

Instalación y Configuración de Active Directory
Aún no hay calificaciones
Instalación y Configuración de Active Directory
60 páginas
Manual de Directorio Activo
100% (1)
Manual de Directorio Activo
42 páginas
Seguridad en Windows Server 2019
Aún no hay calificaciones
Seguridad en Windows Server 2019
80 páginas
Iso Ut04 Activedirectory Franciscojesus
Aún no hay calificaciones
Iso Ut04 Activedirectory Franciscojesus
42 páginas
Configuración de Servidor RADIUS en Windows 2012
Aún no hay calificaciones
Configuración de Servidor RADIUS en Windows 2012
39 páginas
Guía Completa de DNS y Funciones Principales
Aún no hay calificaciones
Guía Completa de DNS y Funciones Principales
5 páginas
Practica Final Administracion Servidores 901
Aún no hay calificaciones
Practica Final Administracion Servidores 901
33 páginas
Cuestionario sobre NFS en Windows Server 2016
Aún no hay calificaciones
Cuestionario sobre NFS en Windows Server 2016
3 páginas
Configuración de Cliente LDAP en Ubuntu
Aún no hay calificaciones
Configuración de Cliente LDAP en Ubuntu
10 páginas
Introducción a LDAP y OpenLDAP
Aún no hay calificaciones
Introducción a LDAP y OpenLDAP
11 páginas
Guía Detallada de Administración de Active Directory
Aún no hay calificaciones
Guía Detallada de Administración de Active Directory
41 páginas
Reporte Practica Windows Server 2012
100% (2)
Reporte Practica Windows Server 2012
106 páginas
Administración de Active Directory
Aún no hay calificaciones
Administración de Active Directory
178 páginas
Que Es OpenLDAP
Aún no hay calificaciones
Que Es OpenLDAP
12 páginas
Active Directory: Guía de Evaluación
Aún no hay calificaciones
Active Directory: Guía de Evaluación
9 páginas
Manual de Instalación de Políticas
Aún no hay calificaciones
Manual de Instalación de Políticas
8 páginas
Contenido - 978 2 409 00706 4
Aún no hay calificaciones
Contenido - 978 2 409 00706 4
17 páginas
Verificación de Replicación AD
Aún no hay calificaciones
Verificación de Replicación AD
8 páginas
Backup y Restauración de Active Directory
Aún no hay calificaciones
Backup y Restauración de Active Directory
13 páginas
Servidores Web Conferencia
Aún no hay calificaciones
Servidores Web Conferencia
16 páginas
Ut 2
100% (1)
Ut 2
239 páginas
Preguntas Evaluacion Sistemas Operativos
Aún no hay calificaciones
Preguntas Evaluacion Sistemas Operativos
6 páginas
Administracion Basica de Linux
Aún no hay calificaciones
Administracion Basica de Linux
39 páginas
Qué es Active Directory y su función
Aún no hay calificaciones
Qué es Active Directory y su función
18 páginas
Administracion Windows Server 2019 cursoNH Perfil Tecnico
Aún no hay calificaciones
Administracion Windows Server 2019 cursoNH Perfil Tecnico
17 páginas
Migración de Active Directory
Aún no hay calificaciones
Migración de Active Directory
3 páginas
Cómo Crear Usuarios en Active Directory
Aún no hay calificaciones
Cómo Crear Usuarios en Active Directory
8 páginas
Nagios Spanish
Aún no hay calificaciones
Nagios Spanish
62 páginas
Rol y Tareas del Administrador de Sistemas
Aún no hay calificaciones
Rol y Tareas del Administrador de Sistemas
20 páginas
Test de Conocimientos en Active Directory
Aún no hay calificaciones
Test de Conocimientos en Active Directory
19 páginas
Trabajo Active Directory
Aún no hay calificaciones
Trabajo Active Directory
6 páginas
Lab02 Introduccion A Los Servicios Del Dominio Active Directory-1
Aún no hay calificaciones
Lab02 Introduccion A Los Servicios Del Dominio Active Directory-1
9 páginas
Guía Práctica de Laboratorio 3 1 Active Directory
Aún no hay calificaciones
Guía Práctica de Laboratorio 3 1 Active Directory
10 páginas
Servidor DNS - Web PDF
Aún no hay calificaciones
Servidor DNS - Web PDF
14 páginas
Ediciones ENI. Windows 10. Instalación y Configuración
Aún no hay calificaciones
Ediciones ENI. Windows 10. Instalación y Configuración
14 páginas
Practicas Sobre Restauracion Del Sistema Sebastian Rubio Gonzalez
Aún no hay calificaciones
Practicas Sobre Restauracion Del Sistema Sebastian Rubio Gonzalez
24 páginas
Comandos Esenciales en Windows 10
Aún no hay calificaciones
Comandos Esenciales en Windows 10
13 páginas
Configuración de OpenLDAP en smrXX.com
Aún no hay calificaciones
Configuración de OpenLDAP en smrXX.com
11 páginas
Comandos Windows y Cmdos
Aún no hay calificaciones
Comandos Windows y Cmdos
15 páginas
Servidor DNS
0% (1)
Servidor DNS
40 páginas
SOR02 Contenidos 2022 VI
100% (1)
SOR02 Contenidos 2022 VI
34 páginas
Teoria 1º Evaluacion Resumida
Aún no hay calificaciones
Teoria 1º Evaluacion Resumida
8 páginas
Plan de Un Proyecto de Implementación de Active Directory
100% (1)
Plan de Un Proyecto de Implementación de Active Directory
28 páginas
Supuesto Práctico Tema 2 Aso
Aún no hay calificaciones
Supuesto Práctico Tema 2 Aso
4 páginas
Curso Windows Server 2012: Instalación y Configuración
Aún no hay calificaciones
Curso Windows Server 2012: Instalación y Configuración
3 páginas
Active Directory
Aún no hay calificaciones
Active Directory
5 páginas
Sistemas Operativos II WS2016
Aún no hay calificaciones
Sistemas Operativos II WS2016
39 páginas
Guía Completa de la Shell en Linux
Aún no hay calificaciones
Guía Completa de la Shell en Linux
318 páginas
Practica: Active Directory
100% (1)
Practica: Active Directory
51 páginas
Temario Windows Server 2016 Administración Avanzada
0% (1)
Temario Windows Server 2016 Administración Avanzada
17 páginas
Guía de Instalación de Active Directory
Aún no hay calificaciones
Guía de Instalación de Active Directory
13 páginas
Manual de Controlador de Dominio AD
Aún no hay calificaciones
Manual de Controlador de Dominio AD
19 páginas
03a - Instalación de AD
Aún no hay calificaciones
03a - Instalación de AD
5 páginas
Instalación de Active Directory AD DS
Aún no hay calificaciones
Instalación de Active Directory AD DS
5 páginas
Active Directory
Aún no hay calificaciones
Active Directory
11 páginas
Promoción de Servidor a Controlador de Dominio
Aún no hay calificaciones
Promoción de Servidor a Controlador de Dominio
17 páginas
Active Directory: Guía de Instalación y Configuración
Aún no hay calificaciones
Active Directory: Guía de Instalación y Configuración
10 páginas
Tutorial Windows Server: Gonzalo Maraver Castro
Aún no hay calificaciones
Tutorial Windows Server: Gonzalo Maraver Castro
66 páginas
Active Directory
Aún no hay calificaciones
Active Directory
41 páginas
Laboratorio 3 Planear e Instalar Active Directory (Elian de La Rosa 20187373)
Aún no hay calificaciones
Laboratorio 3 Planear e Instalar Active Directory (Elian de La Rosa 20187373)
78 páginas
Pasos Taller Active Directory
100% (2)
Pasos Taller Active Directory
47 páginas
Guia Cisco Libre CCNA MANUAL PARA ESTUDIO
100% (1)
Guia Cisco Libre CCNA MANUAL PARA ESTUDIO
738 páginas
Config Basica Switch Quidway
100% (1)
Config Basica Switch Quidway
25 páginas
Emr - Na c00743090 20
Aún no hay calificaciones
Emr - Na c00743090 20
359 páginas
Falcon2 23SP
Aún no hay calificaciones
Falcon2 23SP
97 páginas
Manual PWAK1 0 2 C
Aún no hay calificaciones
Manual PWAK1 0 2 C
15 páginas
Manual ValidatorNT NT955 TU9862-1 RevD ES
Aún no hay calificaciones
Manual ValidatorNT NT955 TU9862-1 RevD ES
108 páginas