1) Se requiere una red LAN para conectar todos los equipos, incluido el servidor, ya que la autenticación de usuarios ahora se realiza a través de la red en el servidor. 2) El servidor controlador de dominio debe ser también un servidor DNS. 3) Tanto los servidores como los equipos clientes deben configurarse para utilizar al servidor controlador de dominio como servidor DNS primario.
1. DISPONER DE UNA RED LAN Y TODOS LOS EQUIPOS CONECTADOS
A LA RED, INCLUIDO EL SERVIDOR
Otro de los requisitos evidentes es disponer de una red LAN y todos los equipos
conectados a la misma red que los servidores, pues a partir de ahora la identificación de
usuario (validación de crendenciales) se realizará a través de la red en el servidor y no en
el equipo cliente.
Servidor de DNS, configuración de red, equipo controlador de dominio
El equipo servidor promocionado a controlador de
dominio con Active Directory, con el que hemos creado el
dominio Windows, debe ser servidor de DNS (es lo
recomendable). Si el servidor no tiene activo este
servicio o si no lo tenemos en otro servicor lo podemos
activar desde "Agregar o quitar programas", pulsando en
"Agregar o quitar componentes de Windows":
Seleccionaremos "Servicios de red" y pulsaremos "Detalles":
Marcaremos el subcomponente "Sistema de nombres de dominio (DNS)" y pulsaremos
"Aceptar" (es posible que nos solicite el CD de instalación de Windows Server 2008):
REALIZADO POR: OSVALDO ROJO AVILES
Página 1
2. Tras instalar el servicio de Servidor de DNS, desde el menú "Inicio" - "Herramientas
administrativas" podremos seleccionar "DNS":
Desde donde podremos ver el estado y configurar el servidor de DNS
(DomainNameSystem) que traduce nombres de equipo DNS en direcciones IP: zonas de
búsqueda directa, zonas de búsqueda inversa, sucesos de DNS:
Por supuesto, el servidor controlador de dominio no debe tener activada la opción de
"Obtener una dirección IP automáticamente", debe tener una IP fija (estática), por
ejemplo 192.168.1.125. Además, este servidor, como servidor de DNS preferido en
laconfiguración de la red tendrá su propia IP pues él mismo es servidor de DNS:
REALIZADO POR: OSVALDO ROJO AVILES
Página 2
3. Configuración de red equipo cliente
Es muy recomendable que los equipos clientes tengan como DNS primaria la IP del
servidor controlador de dominio (que será servidor de DNS). Accederemos a la
configuración de red del equipo desde "Conexiones de red", pulsando con el botón
derecho del ratón sobre "Conexión de área local" y sleccionando "Propiedades":
Seleccionaremos "Protocolo Internet (TCP/IP)" y pulsaremos en "Propiedades":
En "Servidor DNS preferido" introduciremos la IP del servidor controlador de dominio de
nuestra red (en nuestro ejemplo 192.168.1.125):
REALIZADO POR: OSVALDO ROJO AVILES
Página 3
4. Nota: si usamos un servidor DHCP y los equipos clientes tienen habilitada la opción
"Obtener la dirección del servidor DNS automáticamente" deberemos establecer en
el servidor DHCP, en el ámbito correspondiente, como servidor DNS primario la IP del
servidor controlador de dominio. De esta forma en los equipos clientes se configurará este
DNS de forma automática.
OBTENER DATOS NECESARIOS PARA AGREGAR EQUIPOS CLIENTE A UN
DOMINIO WINDOWS
Necesitaremos dos datos principales para agregar un equipo cliente con Windows XP,
Windows Vista, Windows 7 ó Windows 8 a un dominio Windows Server: la IP del servidor
de DNS (normalmente coincidirá con la IP del controlador de dominio) y el nombre del
dominio. Para obtener estos datos accederemos al servidor controlador de dominio con
Windows Server 2008, pulsaremos en el botón "Inicio" - "Panel de control" - "Sistema":
En la pestaña "Nombre de equipo" de la ventana de Propiedades del sistema, en Dominio
podremos consultar y anotar el nombre del dominio Windows que hemos montado al
promocionar el primer servidor a controlador de dominio. En nuestro caso el dominio se
llama "dominioajpdsoft.com":
REALIZADO POR: OSVALDO ROJO AVILES
Página 4
5. Anotaremos la "Dirección IP". Por supuesto, también podemos obtenerla en el modo
gráfico, desde las propiedades de red:
AGREGAR EQUIPO CON WINDOWS XP A DOMINIO WINDOWS
SERVER 2008
Arrancaremos el equipo cliente con Microsoft Windows XP, iniciaremos sesión en el
equipo con un usuario administrador del equipo local a ser posible. Accederemos al botón
"Inicio" - "Panel de control":
REALIZADO POR: OSVALDO ROJO AVILES
Página 5
6. Haremos doble clic en "Sistema" (también es posible con la combinación de teclas
Windows + Pausa):
Desde la pestaña "Nombre de equipo" pulsaremos en el botón "Cambiar":
REALIZADO POR: OSVALDO ROJO AVILES
Página 6
7. En "Miembro de" marcaremos la opción "Dominio" e introduciremos el nombre del dominio
Windows Server al que queremos agregar el equipo cliente, en nuestro caso
"dominioajpdsoft.com". Pulsaremos "Aceptar":
REALIZADO POR: OSVALDO ROJO AVILES
Página 7
8. Si hemos añadido el dominio correctamente nos solicitará usuario y contraseña.
Introduciremos un usuario y contraseña del dominio con permisos suficientes para
agregar un equipo. Para evitar problemas de permisos podremos usar un usuario del
dominio miembro del grupo administradores:
Si todo es correcto mostrará
dominio dominioajpdsoft.com":
REALIZADO POR: OSVALDO ROJO AVILES
un
mensaje
con
el
texto
"Bienvenido
al
Página 8
9. Nos indicará con otro mensaje que debemos reiniciar el equipo para que los cambios
tengan efecto:
Pulsaremos "Aceptar" en la ventana de Propiedades del sistema:
Nos mostrará un cuadro de diálogo indicando si queremos reinciar ahora el equipo,
pulsaremos "Sí" para reiniciarlo:
REALIZADO POR: OSVALDO ROJO AVILES
Página 9
10. Tras el primer reinicio nos solicitará usuario y contraseña, antes de introducirlo,
pulsaremos en el botón "Opciones":
En "Conectarse a" nos aparecerá el dominio al que hemos agregado el equipo, lo
seleccionaremos. A partir de ahora deberemos introducir un usuario y contraseña del
dominio (no del equipo local) por lo que debe estar creado en el servidor:
Tras introducir usuario y contraseña en la ventana anterior de Inicio de sesión de
Windows el equipo realizará la comprobación de las credenciales (usuario y contraseña)
en el equipo servidor controlador de dominio. Si son correctas las credenciales se iniciará
sesión:
REALIZADO POR: OSVALDO ROJO AVILES
Página 10
11. Puesto que hemos marcado para el usuario "facturacion" la opción de que en el próximo
inicio de sesión se le solicite un cambio de contraseña, en el arranque nos mostrará este
mensaje:
Con el texto: Necesita cambiar su contraseña la primera vez que inicie la sesión.
Introduciremos la nueva contraseña para el usuario "facturacion". Esta nueva contraseña
sólo debe conocerla la persona que utilizará en adelante el usuario con el que se está
iniciando sesión. Una vez cambiada, la contraseña quedará almacenada en el servidor
controlador de dominio (Active Directory) y no en el equipo local:
REALIZADO POR: OSVALDO ROJO AVILES
Página 11
12. Además, si hemos aplicado alguna directiva de contraseñas, obligaremos a los usuarios a
cumplir con los requisitos de complejidad marcados por las directivas, si no los cumplen
mostrará un mensaje como este (el mensaje variará en función de la directiva de
seguridad infringida):
Con el texto: La contraseña debe tener al menos 4 caracteres, no puede repetir ninguna
de las 24 contraseñas anteriores y debe tener una antigüedad de al menos 1 días. Escriba
una contraseña diferente. Escriba una contraseña que cumpla con estos requisitos en
ambos cuadros de texto.
Si todo es correcto, mostrará una aviso al usuario indicando que la contraseña se ha
cambiado correctamente:
Si es el primer inicio de sesión que se realiza en el equipo local con el usuario actual del
dominio, se creará su perfil de usuario (escritorio y demás carpetas del perfil):
De esta forma, los usuarios y contraseñas quedarán guardados sólo en el servidor
y no en los equipos locales.
REALIZADO POR: OSVALDO ROJO AVILES
Página 12
13. Agregar equipo con Windows 7 a dominio Windows
Server 2008
Iniciaremos sesión en el equipo, a ser posible con un usuario con permisos de
administrador. Pulsaremos en el botón "Iniciar" - "Panel de control":
Pulsaremos en "Sistema" (también podemos abrir esta ventana pulsando las teclas
Windows + Pausa):
En la ventana de Sistema, en la sección "Configuración de nombre, dominio y grupo de
trabajo del equipo", pulsaremos en "Cambiar configuración":
REALIZADO POR: OSVALDO ROJO AVILES
Página 13
14. En la pestaña "Nombre de equipo" de la ventana "Propiedades del sistema" pulsaremos
en el botón "Cambiar":
En "Miembro del" marcaremos "Dominio" e introduciremos el nombre del dominio, en
nuestro caso "dominioajpdsoft.com". Pulsaremos en "Aceptar":
REALIZADO POR: OSVALDO ROJO AVILES
Página 14
15. Si hemos añadido el dominio correctamente nos solicitará usuario y contraseña.
Introduciremos un usuario y contraseña del dominio con permisos suficientes para
agregar un equipo. Para evitar problemas de permisos podremos usar un usuario del
dominio miembro del grupo administradores:
Si todo es correcto, nos mostrará un mensaje con el texto "Se unió correctamente al
dominio dominioajpdsoft.com":
REALIZADO POR: OSVALDO ROJO AVILES
Página 15
16. Nos avisará de que debemos reiniciar el equipo para aplicar los cambios:
Pulsaremos "Aceptar" en la ventana de Propiedades del sistema:
Pulsaremos "Reiniciar ahora" para reinciar el equipo y agregarlo definitivamente al
dominio:
REALIZADO POR: OSVALDO ROJO AVILES
Página 16
17. Tras el arranque del equipo, pulsaremos Control + Alt + Supr:
Para iniciar sesió por primera vez validando en el dominio pulsaremos en "Cambiar de
usuario":
Pulsaremos en "Otro usuario":
REALIZADO POR: OSVALDO ROJO AVILES
Página 17
18. Introduciremos un usuario existente en el servidor con Active Directory, en la parte inferior
nos indicará el dominio donde se iniciará sesión: "Iniciar sesión en: AJPDSOFT". Si
queremos cambiar el dominio usaremos la nomenclatura:
nombre_usuario@nombre_dominio
Por ejemplo, para iniciar sesión con el usuario "alonso" en el dominio "ajpdsoft"
introduciríamos "alonso@ajpdsoft".
Introduciremos usuario y contraseña y pulsaremos en la flecha o INTRO para iniciar
sesión:
REALIZADO POR: OSVALDO ROJO AVILES
Página 18
19. Nota: volvemos a repetir que este usuario y contraseña no existen en el equipo local sino
en el dominio de Windows Server. Por ello se aplicarán las directivas establecidas en el
dominio para el usuario de caducidad de contraseña, complejidad, cifrado, historial, etc.
Y ya tendremos el equipo validado en el dominio y podremos iniciar sesión con un usuario
de Active Directory:
RECOMENDACIONES IMPORTANTES PARA LOS EQUIPOS CLIENTES
AGREGADOS AL DOMINIO WINDOWS
Una de las recomendaciones más importantes para los equipos clientes validados
(agregados) en el dominio Windows Server es deshabilitar los usuarios locales de los
equipos. Si no deshabilitamos los usuarios locales cualquier persona podría iniciar sesión
sin validar en el equipo, algo que no es recomendable. En el caso de un equipo
con Microsoft Windows 7 pulsaremos en el botón "Iniciar", en "Equipo" pulsaremos con el
botón derecho del ratón y seleccionaremso "Administrar":
En la ventana de Administración de equipos seleccionaremos "Herramientas del sistema"
- "Usuarios y grupos locales" - "Usuarios", en la parte derecha aparecerán todos los
usuarios del equipo local, para deshabilitarlos y que no puedan ser usados pulsaremos
con el botón derecho del ratón sobre ellos (uno a uno), seleccionaremos "Propiedades":
En la pestaña "General" marcaremos la opción "La cuenta está deshabilitada" y
pulsaremos "Aceptar":
REALIZADO POR: OSVALDO ROJO AVILES
Página 19
20. Con esto impediremos que una persona pueda iniciar sesión con un usuario local del
equipo y lo obligamos a que valide siempre con un usuario del dominio.
Por seguridad recomendamos que también se deshabilite el usuario administrador. Por
tareas de mantenimiento, para los administradores de los equipos, podríamos crear un
usuario local en todos los equipos, hacerlo miembro del grupo de seguridad
"Administradores" y establecer una contraseña segura que ningún usuario sepa (salvo los
administradores del sistema). De esta forma tendremos un usuario local en todos los
equipos con el mismo nombre por si en algún momento queremos sacar el equipo del
dominio o por si la red falla y no tenemos acceso al servidor, en este caso sólo se podría
iniciar sesión sin validar en el dominio, de forma local con este usuario.
Por último, hay que tener en cuenta que las versiones de "Home" de Windows XP,
Windows Vista y Windows 7 no permiten validación en dominio Windows. Estas versiones
de estos sistemas operativos no sirven para ser agregadas a un dominio.
WINDOWS SERVER 2008 Y WINDOWS VISTA
El requisito mínimo requerido para completar este procedimiento es la pertenencia al
grupo Usuarios del dominio o un grupo equivalente.
Para unirse a equipos que ejecutan Windows Server 2008 y Windows Vista al dominio
1.
Inicie sesión en el equipo con la cuenta de administrador local.
2.
Haga clic en Inicio, haga clic con el botón secundario en Equipo y, después, haga
clic en Propiedades. Se abrirá el cuadro de diálogo Sistema.
3.
En Configuración de nombre, dominio y grupo de trabajo del equipo, haga clic en
Cambiar la configuración. Se abrirá el cuadro de diálogoPropiedades del sistema.
Nota
REALIZADO POR: OSVALDO ROJO AVILES
Página 20
21. En los equipos que ejecutan Windows® 7, antes de que se abra el cuadro de diálogo
Propiedades del sistema, se abre el cuadro de diálogoControl de cuentas de usuario, que
solicita permiso para continuar. Haga clic en Continuar para proceder.
4.
Haga clic en Cambiar. Se abrirá el cuadro de diálogo Cambios en el dominio o el
nombre del equipo.
5.
En Nombre del equipo, en Miembro de, seleccione Dominio y, a continuación,
escriba el nombre del dominio al que quiere unirse. Por ejemplo, si el nombre del dominio
es ejemplo.com, escriba ejemplo.com.
6.
Haga clic en Aceptar. Se abrirá el cuadro de diálogo Seguridad de Windows.
7.
En Cambios en el dominio o el nombre del equipo, en Nombre de usuario escriba el
nombre del usuario y en Contraseña escriba la contraseña; a continuación, haga clic en
Aceptar. Se abrirá el cuadro de diálogo Cambios en el dominio o el nombre del equipo y le
dará la bienvenida al dominio. Haga clic en Aceptar.
8.
El cuadro de diálogo Cambios en el dominio o el nombre del equipo muestra un
mensaje que le indica que debe reiniciar el equipo para aplicar los cambios. Haga clic en
Aceptar.
9.
En el cuadro de diálogo Propiedades del sistema, en la pestaña Nombre del
equipo, haga clic en Cerrar. Se abrirá el cuadro de diálogo Microsoft Windows y mostrará
un mensaje que le indicará nuevamente que debe reiniciar el equipo para aplicar los
cambios. Haga clic en Reiniciar ahora.
Windows 8 y server 2008
En la ventana de Sistema, en la sección "Configuración de nombre, dominio y grupo de
trabajo del equipo", pulsaremos en "Cambiar configuración":
REALIZADO POR: OSVALDO ROJO AVILES
Página 21
22. En la pestaña "Nombre de equipo" de la ventana "Propiedades del sistema" pulsaremos
en el botón "Cambiar":
En "Miembro del" marcaremos "Dominio" e introduciremos el nombre del dominio, en
nuestro caso "dominioajpdsoft.com". Pulsaremos en "Aceptar":
Si hemos añadido el dominio correctamente nos solicitará usuario y contraseña.
Introduciremos un usuario y contraseña del dominio con permisos suficientes para
agregar un equipo. Para evitar problemas de permisos podremos usar un usuario del
dominio miembro del grupo administradores:
REALIZADO POR: OSVALDO ROJO AVILES
Página 22
23. Si todo es correcto, nos mostrará un mensaje con el texto "Se unió correctamente al
dominio dominioajpdsoft.com":
Nos avisará de que debemos reiniciar el equipo para aplicar los cambios:
Pulsaremos "Aceptar" en la ventana de Propiedades del sistema:
REALIZADO POR: OSVALDO ROJO AVILES
Página 23
24. Pulsaremos "Reiniciar ahora" para reinciar el equipo y agregarlo definitivamente al
dominio:
Para iniciar sesió por primera vez validando en el dominio pulsaremos en "la flecha":
Pulsaremos en "Otro usuario":
Introduciremos un usuario existente en el servidor con Active Directory, en la parte inferior
nos indicará el dominio donde se iniciará sesión: "Iniciar sesión en: AJPDSOFT". Si
REALIZADO POR: OSVALDO ROJO AVILES
Página 24
25. queremos
cambiar
el
dominio
usaremos
la
nomenclatura:
nombre_usuario/nombre_dominioPor ejemplo, para iniciar sesión con el usuario "alonso"
en el dominio "ajpdsoft" introduciríamos "Alonso/ajpdsoft".
Introduciremos usuario y contraseña y pulsaremos en la flecha o INTRO para iniciar
sesión:
Nota: volvemos a repetir que este usuario y contraseña no existen en el equipo local sino
en el dominio de Windows Server. Por ello se aplicarán las directivas establecidas en el
dominio para el usuario de caducidad de contraseña, complejidad, cifrado, historial, etc.
Y ya tendremos el equipo validado en el dominio y podremos iniciar sesión con un usuario
de Active Directory:
REALIZADO POR: OSVALDO ROJO AVILES
Página 25