Windows server 2003 /2 (AD y certificados)

 

(USUARIOS,DIRECTIVAS,CERTIFICADOS)

USUARIOS,EQUIPOS Y GRUPOS

CONCEPTOS

Creación de Usuarios

Crearé múltiples usuarios:

usuario genericos:  proyecto1, proyecto2 proyecto3 (perfil movil obligatorio).    

                                                                                                                                                       usuarios individuales: Fernando, camilo,isabel ( perfil movil).

Para crear un usuario del dominio, accederemos a “Usuarios y equipos de Active Directory” en las “Herramientas administrativas” del “Panel de Control”.

Una vez allí, pulsaremos con el botón derecho del ratón sobre la carpeta “Users” y seleccionaremos la opción “Nuevo” y dentro de ella “Usuario”

 

En la pantalla que se muestra a continuación indicaremos los datos correspondientes al nuevo usuario

2

En la nueva pantalla mostrada, especificaremos la contraseña que deseemos para el nuevo usuario

3

Finalmente se muestra una pantalla resumen de la nueva cuenta de usuario que será creada

4

 

 

 

 

 

 

 

 

 

 

 

sale un error en mi caso y es por la directiva de seguridad del dominio.

5

esto lo arreglamos, llendo al inicio\herramientas adminsitrativas\directiva de configuracion de seguridad del  dominio predeterminada  y en directivas de contraseña cambiar su politicas.

6

por el momento colocare las siguientes directivas

7

y volvemos a crear de nuevo al usuario

Una vez que hayamos pulsado sobre el botón “Finalizar”, en la carpeta “Users” tendremos un nuevo objeto correspondiente al nuevo usuario.

8

A continuación repetiremos el proceso para crear a los usuarios

9

Perfiles de Usuarios

cuando hablamos de perfil de usuario, se habla de todos los valores de configuracion especificos del entorno de trabano de un usuario que son cargados por el sistema al iniciar sesion.

TIPOS DE PERFILES

PERFIL LOCAL

cada vez que un nuevo usuario inicia sesion en forma local en un equipo, se genera una carpeta con el nombre de usuario, en su interior se generan varias carpetas con diferentes registros de los valores personalizados, de esta forma cada vez que inicie sesion el usuario los valores quedaran registrados tal como los dejo la ultima vez.

sus configuraciones estan en Document and Setting  del directorio raiz del disco rigido.

PERFIL MOVIL

Es un tipo de perfil utilizado en la red tal que todos los valores de configuracion no se almacenan localmente, sino que un usuario que inicie sesion en un dominio, estos valores se descargaran en un servidor.

aqui tambien se crea una carpeta en Document and Setting con el nombre de usuario, que se usara como cache local, cuando el usuario cierra sesion el perfil ubicado en el servidor se actualizara con los valores de la cache, entonces al iniciar sesion en cualquier punto de la red, los valores que tiene el usuario seran tomados desde la red.

PERFIL OBLIGATORIO

Es un perfil movil pero no se actualiza cuando el usuario cierra sesion.

ADMINISTRACION DE PERFILES

10

usuario genericos:  proyecto1, proyecto2 proyecto3 (perfil obligatorio).    

                                                                                                                                                       usuarios individuales: Fernando, camilo,isabel ( perfil movil dinamico).

1 crear una carpeta compartida donde almace la totalidad de los perfiles el nombre  puede se “Perfiles” y se comparte  con el nombre “Perfiles$”;

a continuación pulsaremos sobre el botón “Permisos” y seleccionamos que el usuario “Todos” tenga los permisos “Control Total”, “Cambiar” y “Leer” .(el usuario “Todos” debe disponer de todos los permisos para que cada usuario pueda grabar su perfil en su carpeta

si no es asi saldra este error cuando el cliente quiera copiar la carpeta de usuario en el servidor.

11

 

el hecho de incluir el “$” en el nombre asignado al recurso es para que no sea visible por los demas usuarios,

NUNCA ningún usuario podrá acceder a visualizar el contenido de otra carpeta de perfiles que no sea la suya propia).

12

Para crear un perfil obligatorio, lo primero que hemos de tener en cuenta es que NO debemos tener asignada ninguna ruta de acceso al perfil en los usuarios a los que vamos a asociarles el perfil obligatorio si sobre pulsamos con el botón derecho del ratón sobre un usuario en usuarios y equipos en AD, y seleccionamos la opción “Propiedades”, podemos pulsar sobre la pestaña “Perfil” y comprobar que la caja de texto “Ruta de acceso al perfil” está vacía.

 13

 

Una vez comprobado que no existe asociada ruta de acceso al perfil alguna para el usuario en cuestión, iniciaremos sesión en una estación de trabajo del dominio con la cuenta del dominio de dicho usuario modificando en dicha sesión el entorno de trabajo, de modo que personalicemos el perfil tal cual queremos que lo vean.

posteriormente cerraremos sesión y nos autenticaremos en la misma máquina como un administrador del dominio.

Una vez autenticados como el administrador del dominio, iremos a la opción “Sistema” dentro de “Panel de Control”; una vez allí pulsaremos sobre la pestaña “Opciones Avanzadas” y luego sobre el botón “Configuración” del apartado  “Perfiles de Usuario”, seleccionamos el perfil

El siguiente paso consistirá en pulsar sobre el botón “Copiar a”, indicando como ruta de destino \SERVIDOR\Perfiles$\nobre de la carpeta  a crear

Además en dicha ventana pulsaremos sobre el botón “Cambiar” para especificar que el perfil puede ser utilizado por el usuario “Todos”, esto ya que son usuarios generales.

14

en este instante ya encontraremos en la carpeta “Perfiles$” del servidor, una carpeta de nombre “proyecto.man”. El siguiente paso es ir al servidor y sobre las “Propiedades” de la carpeta “proyecto.man”, seleccionar la pestaña “Seguridad”, y sobre el usuario “Todos” definir para dicho usuario permisos de “Lectura y ejecución”, “Listar el contenido de la carpeta” y “leer”

15

 

De este modo evitamos que los usuarios que hagan uso del perfil obligatorio puedan realizar una conexión de red y eliminar el perfil obligatorio ,

una vez hecho lo indicado en el párrafo anterior, debemos pulsar sobre el botón “Avanzadas”, seleccionar al usuario “Todos” de entre los existentes, pulsar sobre el botón “Ver o Modificar” y confirmar que se encuentran activadas las siguientes casillas: “Recorrer carpeta/Ejecutar archivo”, “Listar carpeta/Leer datos”, “Atributos de lectura”, “Atributos extendidos de lectura” y “Permisos de lectura”. 

16

.para forzar a que el perfil de los usuarios sea obligatorio, tenemos que acceder a la carpeta “alumno.dat” y renombrar el fichero oculto “NTUSER.DAT” a “NTUSER.MAN”.

17

.

En este instante ya tenemos definida la carpeta raíz de la que colgarán los perfiles de los usuarios de nuestro dominio, y también hemos creado colgando de dicha carpeta, el perfil móvil obligatorio, así pues el siguiente paso es asociar al usuario “proyecto1” recientemente creado, la ruta correspondiente de acceso a su perfil; para ello accederemos al servidor, nos ubicamos sobre dicho usuario, y con el botón derecho del ratón seleccionamos la opción “Propiedades”, yendo sobre la pestaña “Perfil”; una vez allí especificaremos como “Ruta de acceso al perfil” la ruta “\SERVIDOR\Perfiles$\proyecto.man”

igualmente se  hace con los demas usuarios generales.

18

PERFILES MOVILES DINAMICOS

Para el resto de usuarios del dominio los moviles dinamicos  especificaremos como ruta de acceso al perfil la ruta “\SERVIDOR\Perfiles$\%username%”; la variable “%username%” está asociada al nombre del usuario sobre el que estemos trabajando, de modo que por ejemplo al usuario “fernando” se le asociará una carpeta una carpeta de perfil de nombre “fernando”; finalmente pulsaremos sobre el botón “Aceptar”. Repetiremos el proceso para los demas.

19

 

pero oh que ha pasado

20

.aqui entraremos localmente y no se guardara nada al cerra sesion

este problema lo resolvi

1) quitando la ruta de acceso al perfil del usuario dinamico                                  2) entrando en el inicio de sesion con el usuario  y contraseña de los usuarios que decidi que fueran dinamicos                                                                    3) 

Una vez autenticados como el administrador del dominio, iremos a la opción “Sistema” dentro de “Panel de Control”; una vez allí pulsaremos sobre la pestaña “Opciones Avanzadas” y luego sobre el botón “Configuración” del apartado  “Perfiles de Usuario”, seleccionamos el perfil

El siguiente paso consistirá en pulsar sobre el botón “Copiar a”, indicando como ruta de destino \SERVIDOR\Perfiles$\el nombre del usuario

4) colocar ruta de acceso al perfil del usuario dinamico

y entramos pero hare  una prueba

creare una carpeta y cerrare sesion y luego entrare de nuevo debe de aparecer la carpeta

con los usuarios generales hare lo mismo

esto se puede automatizar con los llamados grupos.

21

y con los usuarios generales no aparecera la carpeta

Grupos de  usuarios

grupos: proyecto, profesores

proyecto: proyecto1, proyecto2,proyecto3                                                                   profesores: fernando,isabel,camilo

nos ubicaremos sobre la carpeta “Users” y pulsaremos sobre ella con el botón derecho del ratón, seleccionando la opción “Nuevo”, y luego la opción “Grupo”

En la pantalla que se muestra a continuación indicaremos “proyecto” como nombre de grupo, y responderemos  las opciones las cuales estan por defecto, especificando que el grupo es un grupo global de seguridad.

22

 

 

 

 

 

 

 

 

 

 

Una vez creado el grupo nos situamos sobre él y con el botón derecho del ratón seleccionamos la opción “Propiedades” y en la ventana mostrada nos situamos sobre la pestaña “Miembros”, y pulsamos sobre el botón “Agregar” para incluir a los usuarios en dicho grupo.

23

 

Posteriormente repetimos el mismo proceso para crear un segundo grupo global del dominio denominado “profesores”.

 

Inicio de Sesión

25

 

“filtrar” el acceso a las máquinas a usuarios determinados días en ciertas franjas horarias pulsaremos sobre el botón “Horas de inicio de sesión”, pudiendo indicar las horas a las que habilitamos a usuarios para el acceso a las máquinas.

26

 comprobemos

29

 

aquellas máquinas del dominio donde deseamos que únicamente pueda iniciar sesión el usuario esta en el boton “Iniciar sesión en”

27

.que pasaria si fernando quisiera entrar a este equipo

28

” que lastima fernando pero este equipo es esclusivo para los usuarios de proyectos”

Definición de Directivas o Políticas de Grupos

La configuración de Directiva de Grupo define los distintos componentes del entorno de Escritorio del usuario que accede de forma autenticada al dominio de nuestro del Windows , de modo que el administrador del sistema determina cuales le serán aplicadas a cada usuario englobado en un sitio, dominio o unidad organizativa.

Para crear una configuración específica de Escritorio para un grupo de usuarios en particular, se utilizan las Directiva de Grupo. La configuración de Directiva de Grupo está contenida en un objeto de Directiva de Grupo, de modo que se asocia dicha directiva a los Sitios, Dominios o Unidades Organizativas indicadas en Active Directory.

 

Las directivas se aplican en este orden:

1. En primer lugar se aplica el objeto de Directiva de Grupo local único.
2. En segundo lugar se aplican los Objetos de Directiva de Grupo del Sitio, en orden especificado administrativamente.
3. En tercer lugar los Objetos de Directiva de Grupo del Dominio, en orden especificado administrativamente.
4. En cuarto lugar los Objetos de Directiva de Grupo de las Unidades Organizativas, de Unidad Organizativa principal a secundaria, y en orden especificado administrativamente en el nivel de cada Unidad Organizativa.
5. Finalmente, de forma predeterminada, las directivas aplicadas posteriormente sobrescriben las directivas aplicadas con anterioridad cuando las directivas son incoherentes. Sin embargo, si no hay incoherencias de configuración, tanto las directivas anteriores como las posteriores contribuyen a la directiva efectiva, es decir, se suman las configuraciones de las distintas directivas asociadas al objeto en cuestión.

 funcionamiento de las Directivas de Grupo:

La Directiva de Grupo se aplica de manera jerárquica desde el grupo menos restrictivo (Sitio) al grupo más restrictivo (Unidad Organizativa). La Directiva de Grupo también es acumulativa. Los contenedores de servicio de directorio secundarios heredan la Directiva de Grupo de los contenedores primarios y el procesamiento de la Directiva de Grupo tiene lugar en el siguiente orden: Sitio, Dominio y Unidad Organizativa. Esto significa que, si se ha asignado una Directiva de Grupo determinada a un contenedor primario de alto nivel, esa Directiva de Grupo se aplica a todos los contenedores por debajo de dicho contenedor primario, incluidos los objetos equipo y usuario de cada contenedor. Sin embargo, si especifica de manera explícita una Directiva de Grupo para un contenedor secundario, dicha directiva suplantará a la del contenedor primario, si es que son contradictorias, y se sumará a la anterior si no lo son.

Es importante resaltar que las Directivas de Grupo tienen prioridad sobre las opciones de configuración del perfil del usuario en caso de que se cree un conflicto.

 

CONCEPTOS:

Sitio .

 Podemos definir un sitio como un conjunto de equipos en una o varias subredes IP. Los sitios suelen representar la estructura física de la red.

Dominio .

 Un dominio tiene un nombre único y permite el acceso a las cuentas de usuario y de grupo centralizadas mantenidas por el administrador del dominio. Cada dominio tiene sus propias directivas de seguridad y relaciones de seguridad con otros dominios, y representa límite de seguridad en una red Windows 2003.

Active Directory está compuesto de uno o varios dominios, cada uno de los cuales puede abarcar más de una ubicación física. Los dominios representan la estructura lógica de la organización.

Unidad Organizativa .-

Es un objeto contenedor de Active Directory que se utiliza en los dominios. Las Unidades Organizativas son contenedores lógicos en los que pueden colocarse usuarios, grupos, equipos y otras Unidades Organizativas. Sólo pueden contener objetos de su dominio principal. Una U.O. es el ámbito más pequeño al que se puede aplicar una Directiva de Grupo.

 

PASARE LO QUE HICE ANTERIORMENTE A UNINDADES ORGANIZATIVAS

Lo primero que vamos a hacer para crear las Unidades Organizativas 

 acceder a las “Herramientas administrativas” del “Panel de Control” y hacer doble clic sobre “Usuarios y Equipos de Active Directory”.

a continuación, sobre el Dominio “velezconde.com”, pulsamos con el botón derecho del ratón y seleccionamos la opción “Nuevo” y posteriormente “Unidad organizativa”.

Indicamos el nombre de la nueva U.O. a crear

30

 

 

 

 

 

 

 

 

 

 

 

accedemos a la carpeta “Users” y seleccionamos los 3 usuarios proyecto que previamente habíamos creado; con el botón derecho del ratón pulsamos sobre la selección efectuada y elegimos la opción “Mover”.

31

En la ventana que se muestra especificamos que deseamos mover dichos usuarios a la U.O.

32

 

 

 

 

 

 

 

 

 

 

.igualmete con los usuarios isabel, fernando y camilo en la UO profesores

33

 

 

 

 

 

 

 

 

 

 

hare igualmente UO para dos aulas las cuales tendran diferente equipos

Aula1, equipo1

Aula2, equipo2

34

 

Directivas de Equipo y de Usuario

definiremos 2 nuevas directivas de grupo, una asociada a la Unidad Organizativa “Profesores”, en la cual especificaremos las políticas que deseamos se apliquen únicamente a los profesores, y la otra asociada a la U.O. “proyecto”, en el cual especificaremos las directivas propias únicamente de los usuarios los proyectos.

para definir las Directivas de Grupo deseadas  hay que acceder a las “Herramientas administrativas” del “Panel de Control” y hacer doble clic sobre “Usuarios y Equipos de Active Directory”, y pulsando con el botón derecho del ratón sobre el dominio “velezconde.com”, seleccionar la opción “Propiedades”; en la ventana que se muestra a continuación nos situamos sobre la pestaña “Directiva de Grupo”.

35

 

Observaremos que ya hay definida una política de dominio por defecto; podríamos crear una nueva que también sería aplicada a todos los usuarios y equipos del dominio, pero aprovecharemos la ya existente, seleccionándola y pulsando a continuación sobre el botón “Editar” para personalizar lo que deseemos

36

 

Como observamos existen 2 entradas principales en la Directiva de Grupo que estamos editando; una de ellas es relativa a la “Configuración del equipo” y la otra a la “Configuración de usuario”;

 las entradas existentes en cada uno de dichos elementos no son similares, si bien algunas de ellas sí son comunes; en caso de que definamos 2 políticas contradictorias en dos entradas comunes, una en equipos y otra en usuarios, prevalecerá la primera de ellas.

 las políticas que definamos en “Configuración del equipo” serán aplicadas a los equipos del dominio y las que definamos en “Configuración de usuario” se aplicarán a los usuarios del dominio.

Tanto para los equipos como para los usuarios, la primera directiva susceptible de ser configurada está relacionada con la “Configuración de software”.

“Configuración de usuario”

vamos a la unidad organizativa de proyecto y en propiedades y directiva de grupo en agregar, luego de que es agregda en modifica y colocaremos algunas directivas.

37

habilitarla

38

 

 que pasaria si intentasemos entrar en el simbolo de sistema con un usuario de los de proyecto

39

 

paquetes MSI

Literalmente podríamos definir los paquetes MSI como “instaladores de Microsoft”, es decir, aquellos paquetes informáticos que contienen toda la información necesaria para automatizar su instalación sin necesidad de intervención manual del usuario; por tanto el usuario no necesita introducir el número de serie del producto, ni el lugar de instalación del paquete, ni ningún otro parámetro pues toda esa información ya va contenida en el propio fichero “msi”.

Esta filosofía de trabajo permite que la instalación de los paquetes “msi” se pueda hacer de forma desatendida, y que el servidor de Windows 2003 distribuya el paquete en cuestión a las estaciones de trabajo y/o usuarios del dominio del Servidor.

Las tecnologías del Instalador de Windows (“Windows Installer”) se dividen en dos partes complementarias: un servicio de instalador de cliente (Msiexec.exe) y un archivo de paquete (.msi), de tal modo que el instalador de Windows utiliza la información contenida en el archivo de paquete “msi” para la instalación de la aplicación.

Las posibles tipos de instalación de los paquetes que pueden realizarse son:

Asignar a los usuarios

Cuando se asigna una aplicación a un usuario, dicha aplicación se anunciará al usuario la próxima vez que éste inicie una sesión en una estación de trabajo. El anuncio de la aplicación sigue al usuario independientemente de qué equipo físico esté utilizando realmente. Esta aplicación se instala la primera vez que el usuario activa la aplicación en el equipo, mediante la selección de la aplicación en el menú Inicio o mediante la activación de un documento asociado a la aplicación.

Asignar a los equipos

Cuando se asigna una aplicación a un equipo, dicha aplicación se anuncia e instala cuando es seguro hacerlo. Normalmente esto ocurre cuando el equipo se inicia, de manera que no hay procesos compitiendo en el equipo.

Publicar para usuarios

Cuando se publica una aplicación para los usuarios, la aplicación no aparece instalada en sus equipos. No aparecen accesos directos en el Escritorio ni en el menú Inicio y no se realizan cambios en el registro local de los equipos de los usuarios. Por el contrario, las aplicaciones publicadas se almacenan en sus atributos de anuncio de Active Directory. A continuación, la información como el nombre de la aplicación y las asociaciones de archivos se presentan a los usuarios en el contenedor de Active Directory. A partir de ese momento, la aplicación se encontrará disponible para que el usuario la instale mediante Agregar o quitar programas en el Panel de control, o al hacer clic en un archivo asociado con la aplicación, como por ejemplo un archivo “xls” para Microsoft Excel.

 

CERTIFICADOS

Los certificados permiten confiar en una entidad.                                                 indicamos que confiamos en cualquier certificado firmado por una determinada entidad emisora del certificado.

versión de servicios:

  • Certificate Server de “Windows 2003 Server

tipos: empresa, independiente

emisoras de certificados de empresa

ofrece distintos tipos de certificados a un solicitante en función de los certificados que puede emitir y los permisos de seguridad del solicitante.

Entidad Certificadora: para poder utilizar páginas web seguras mediante el protocolo (SSL)

Nota: sólo tendrá vigencia en el ámbito del dominio velezconde.com (no en internet).

Instalación del Servidor de Certificados

accedemos al “Panel de Control” y haremos clic sobre el icono “Agregar o quitar programas”, y en dicha ventana pulsaremos sobre el icono “Agregar o quitar componentes de Windows”

En la ventana del “Asistente para componentes de Windows”, activaremos la casilla “Servicios de Certificate Server”, pulsando a continuación sobre el botón “Siguiente”.

1

En la siguiente ventana indicamos que la entidad certificadora será una Entidad emisora raíz de la empresa

2

 

En la siguiente ventana indicaremos como nombre de la entidad certificadora, lo demas se deja por defecto.

3

En la siguiente ventana indicaremos donde se almacenará la base de datos del certificado; dejaremos las rutas que por defecto.

4

aparecerá un mensaje indicando que el servidor IIS no esta instalado.

5

 

A partir de este momento comienza el proceso de instalación de la entidad certificadora

finalización de la instalación

6

 

y ya podremos ir a la entidad emisora de certificados en Herramientas administrativas

7

 

10 Comments

  1. Wow, fantastic blog layout! How long have you been blogging for? you make blogging look easy. The overall look of your website is great, let alone the content!. Thanks For Your article about Windows server 2003 /2 (AD,directivas,certificados) | velezconde& .

  2. I just want to say I am beginner to blogs and absolutely loved you’re website. Most likely I’m going to bookmark your blog post . You really come with amazing posts. Many thanks for sharing your web-site.

  3. I just want to say I’m beginner to blogs and truly liked your blog site. Likely I’m likely to bookmark your blog . You absolutely have beneficial articles. Cheers for sharing with us your webpage.

  4. Thanks for finally talking about >Windows server
    2003 /2 (AD,directivas,certificados) | velezconde’s Blog <Loved it!

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s