1. PRÁCTICA DE
SISTEMAS
ACTIVE
DIRECTORY
Juan A. Rodríguez de la Rosa
2º ASIR

2. Índice de contenido
Enunciado .......................................................................................................................................3
Preparación......................................................................................................................................3
Ejercicio 1........................................................................................................................................6
Ejercicio 2........................................................................................................................................6
Ejercicio 3........................................................................................................................................7
Ejercicio 4........................................................................................................................................9
Ejercicio 5......................................................................................................................................11
Ejercicio 6......................................................................................................................................15
Ejercicio 7......................................................................................................................................16
Ejercicio 8......................................................................................................................................21
Ejercicio 9......................................................................................................................................24
Ejercicio 10....................................................................................................................................25
Ejercicio 11....................................................................................................................................44
Ejercicio 12....................................................................................................................................47

3. Enunciado
Perteneces al departamento de sistemas de la empresa Asir S.A. A fecha de 10 de Octubre de este
año, se plantea una migración del entorno corporativo a la versión de Windows 2003 Server.
Esto es debido al gran auge experimentado por la empresa, gracias al buen hacer de sus trabajadores
(tus compañeros de clase, que son unos fenómenos, como tú). Como consecuencia se va a proceder
al traslado de toda la empresa a un nuevo edificio situado en la C/ Arcos de la Frontera s/n
Nuestra labor como analistas y técnicos de sistemas es la de determinar los procedimientos
necesarios para dicha migración y llevarlos a cabo para tal fecha.
Suponemos que tenemos que controlar en el nuevo entorno los mismos elementos que están
actualmente en producción:
-Administración de usuarios y grupos.
-Administración de ficheros.
-Administración de discos.
-Copias de seguridad.
y añadir otros más
El trabajo consiste en realizar un informe detallado de los pasos seguidos para la nueva
implantación con el máximo nivel de detalle (incluyendo capturas de pantalla) de los pasos seguidos
para la gestión de los servicios anteriormente citados y otros nuevos que añadiremos.
Preparación
Antes de nada hay que instalar el Active Directory y indicar el dominio que vamos a utilizar:

4. También configuraremos la dirección IP del servidor que mas tarde corresponderá con el servicio
DHCP:
Instalaremos también los servicios DNS y DHCP:

5. Y ahora podemos comprobar que se han instalado correctamente:
Y ahora otro dato importante que configuraremos para que nos sea mas sencillo la creación de
usuarios ( pero nada recomendable de usar) es deshabilitar las directivas de contraseñas:

6. Ejercicio 1
1. La empresa consta de 20 empleados.
A continuación se mostrarán en los 3 ejercicios siguientes los usuarios creados, cada uno en su
unidad organizativa correspondiente.
Los 20 empleados están divididos entre 3 unidades organizativas:
-Sistemas
-Software
-Especiales
Ejercicio 2
2. 3 de ellos pertenecen al departamento de sistemas. Donde uno de ellos es el administrador y los
otros dos son los encargados de la gestión de incidencias. Esta se almacenará en una carpeta a la que
solo tendrá acceso el departamento de sistemas. Los datos estarán en una partición o disco duro
diferente a la del sistema operativo.
He introducido los 3 usuarios dentro del grupo sistemas.

7. Ahora asignaremos los permisos al departamento de sistemas de la carpeta dep_sistemas que he
creado en el nuevo disco duro:
Ejercicio 3
3. 15 empleados son desarrolladores de software que tienen acceso limitado a los repositorios de
código y de documentación, donde únicamente tendrán acceso a aquellos directorios asociados al
proyecto en el que estén trabajando.

8. He introducido los usuarios dentro del grupo software:
Y ahora asignaremos los usuarios divididos en 3 bloques dentro de los grupos proyecto1, proyecto2
y proyecto3 que se le asignarán permisos sobre las carpetas de proyectos:

9. Después de asignar los usuarios en grupos, ya podremos darle permisos a esos grupos sobre las
carpetas proyectos:
Ejercicio 4
4. Existen dos usuarios especiales correspondientes al gerente y al director de la empresa. El gerente
tendrá acceso a toda la documentación y código ejecutable de los proyectos. El director tendrá
acceso ilimitado a todos los recursos disponibles.

10. Mientras que al gerente le daremos los permisos solo en las carpetas de proyectos:
Al director le daremos permisos tanto a las carpetas de proyectos como a las de dep_sistemas:

11. El árbol de como quedarían estructuradas las carpetas dentro del nuevo disco duro es el siguiente:
Ejercicio 5
5. La empresa tiene una serie de servicios que quiere seguir manteniendo(incluidos sus nombres):
a. Controlador de Dominio => dominio.local

12. b. Servicio DNS
Tanto la zona directa:
Como la zona inversa:

13. c. Servicio DHCP =>192.168.100.0/24
i. Ámbito: 192.168.100.2 – 192.168.100.254

14. ii. Servidor: 192.168.100.1
Y ahora la comprobación de que funciona mediante un nslookup a la zona directa y a la zona
inversa:

15. Ejercicio 6
6. Todos los equipos (máquinas virtuales) deben estar conectados a un switch virtual que trabaje es
la subred 192.168.100.0/24. Configura una interfaz de red para simular lo anterior y que no tengan
salida a Internet. Como si estuvieran todos conectados físicamente a un switch.
Para ello colocamos la tarjeta de red como red interna tanto en el servidor como en los clientes:

16. Ejercicio 7
7. Para cada uno de estos usuarios se creará un perfil móvil, que será oculto para el resto de los
usuarios, salvo para los dos usuarios del punto anterior.
Para crear los perfiles y probarlos necesitaremos acceder con alguna maquina cliente al servidor,
por lo tanto yo he elegido un windows XP y lo primero que deberemos hacer es acceder mediante
las propiedades de Mi PC e indicar el dominio donde vamos a trabajar:
Después nos pide reiniciar, y probaremos a entrar con el administrador y la contraseña del servidor
seleccionando el dominio que vamos a conectarnos:

17. Ahora veremos la IP (que nos la da el dhcp del servidor) y como podemos comprobar también nos
sale el dominio en el que nos encontramos:
Después haremos un nslookup al servidor mediante la zona directa:

18. Y después mediante la zona inversa (IP):
Una vez tengamos hechas todas estas comprobaciones, pasamos a la creación de el perfil móvil.
Primero crearemos una carpeta llamada perfiles en la nueva partición que creamos anteriormente:

19. Después hacemos botón derecho sobre la carpeta y le damos a compartir y escribimos un $ al final
de la palabra perfiles:
Después de esto nos vamos a los usuarios de active directory y empezamos a darle perfiles moviles,
para ello seleccionamos cualquier usuario y nos vamos a sus propiedades, allí nos vamos a la
pestaña perfiles y escribimos la siguiente dirección:

20. Después aplicamos los cambios y se nos cambiará el %username% por el nombre del usuario:
Luego aceptamos y ya podremos acceder mediante un usuario:

21. Ejercicio 8
8. Se creará también un perfil obligatorio, llamado “invitado”, por si alguien ajeno a la empresa
quiere usar algún equipo. Este perfil no tendrá acceso a ningún otro perfil, proyecto,
documentación, etc de la empresa. Los datos de los perfiles estarán en una partición o disco duro
diferente a la del sistema operativo.
Primero nos dirigimos a los usuarios y buscamos el usuario invitado, pulsamos botón derecho sobre
él y le damos a habilitar cuenta:
Después nos dirigimos a la maquina cliente y desde ahí nos introducimos en Mi
PC/propiedades/Opciones avanzadas/perfiles de usuario y cogemos un usuario cualquiera y le
damos a copiar a, posteriormente escribimos lo siguiente:

22. Después cerraremos sesión:
Realizado esto nos vamos a la carpeta que se a creado Invitado.man, y cambiamos el archivo
ntuser.dat por ntuser.man

23. Luego nos dirigimos al usuario invitado, y accedemos a sus propiedades:
Ahora seleccionaremos la pestaña perfil e introduciremos lo siguiente:

24. Ejercicio 9
9. El servidor tiene una partición donde se almacena tanto el código fuente, ejecutables y
documentación de cada uno de los proyectos.
Para ello primero creamos un nuevo disco duro virtual en el VirtualBox:
Después nos introducimos en administración de discos dentro del Servidor, y damos formato a ese
nuevo disco duro:

25. Y como vemos ya tenemos creado el nuevo disco duro:
Ejercicio 10
10. El administrador, para optimizar el funcionamiento de la empresa, decide incluir alguna
directiva de grupo en el sistema. Son las siguientes:

26. a. Para el dominio pretendes que los usuarios puedan solicitar la asistencia remota de alguien del
departamento de sistema por alguna incidencia (cuidado con el firewall de windows), deshabilitar
Windows Messenger, deshabilitar el uso de pendrives y poner un fondo de escritorio corporativo
para evitar “posibles distracciones”:
i. Habilitar Asistencia Remota Solicitada.

27. ii. Habilitar no permitir que se ejecute windows messenger.

28. iii. Poner un fondo de pantalla corporativo que no pueda cambiarse.
Primero habilitamos el active Desktop

29. Y después el papel tapiz:

30. La imagen seleccionada la tengo guardada en la dirección C:cordoba.jpg
Como vemos he reiniciado y después de esto, sale la imagen siguiente de fondo:
He intentado cambiar el fondo, pero como vemos no nos deja interactuar con los elementos de
escritorio:

31. iv. Ejecutar un programa que indique la ip del equipo y un usuario
en el escritorio.
Lo primero que haremos será descargarnos el programa bginfo.exe, y una vez bajado lo guardamos
en una carpeta que compartiremos dentro de la nueva partición:
Después ejecutamos el programa:

32. Y nos introducimos dentro de la pestaña background y configuramos los siguientes parametros:
Después guardamos en una plantilla nueva, y pasamos a la creación del siguiente script, dichos
archivos los guardaremos dentro de la dirección de dominio.localNETLOGON

33. Ahora pasaremos a activar la directiva:
Una vez introducida la plantilla que anteriormente guardamos dentro de la directiva, ya podremos
probarlo:

34. v. Deshabilitar el uso de pendrives.
b. Para el Departamento de Sistemas. Que puedan ofrecer asistencia remota a los usuarios sin
necesidad de que estos la soliciten antes (como alternativa al escritorio remoto). El usuario puede
aceptar o rechazar ese ofrecimiento (cuidado con el firewall de windows).
Primero creamos la directiva
i. Habilitar ofrecer asistencia remota.

35. c. Para el Departamento de Software. Con idea de que los perfiles de usuarios no se vuelvan muy
pesados, la carpeta “Mis Documentos” se ubicará en una unidad de red. Se almacenará en el
servidor (en una partición diferente a la del sistema operativo) llamada “personales”. El recurso
debe ser oculto para el resto. Como consecuencia de esto, se le habilitará una cuota de disco de 100
Mb, ya que estos ficheros personales no estarán asociados al perfil.
Primero creamos la directiva:

36. i. Redireccionamiento de “Mis Documentos”
Primero creamos la carpeta a la que vamos a redirigir:
Posteriormente indicamos la dirección de la carpeta de redirección dentro de la directiva:

37. ii. Limitar el tamaño del perfil.

38. d. Para el director. Como es el jefe, dice que el puedo usar pendrives cuando le de la gana y que
quiere el windows messenger que le niega al resto de sus empleados (no hay nada como ser el jefe).
Recuerda la jerarquía de aplicación de las directivas de grupo.
i. Deshabilitar no permitir que se ejecute windows messenger.

39. ii. Habilitar el uso de pendrives.
Primero copiamos una plantilla de Internet a un documento (en mi caso pendrive.adm)

40. Después nos dirigimos a las directivas de grupo y le damos a agregar plantilla dentro de plantillas
administrativas del apartado configuración de equipo:
Y agregamos la plantilla, porque por defecto no la coge sola claramente:

41. Ahora nos dirigimos al siguiente apartado para mirar el filtrado:
Y en el filtrado deshabilitamos todas las opciones marcadas, para que quede de la siguiente manera:

42. Y ahora nos dirigimos a la siguiente dirección y habilitamos el uso de usb, como vemos a
continuación:

43. e. Cambia el modo en que Windows 2003 visualiza las GPO a otro “más amigable”. No olvides que
no se pueden aplicar directivas de grupo a grupos del dominio.
Nos descargamos el archivo gpmc.msi desde esta url:
http://www.microsoft.com/download/en/details.aspx?displaylang=en&id=21895
Posteriormente lo instalamos:
Después cuando accedamos a las directivas de grupo, veremos que nos sale un botón para abrir la
nueva interfaz, tal y como aparece en la siguiente imagen:

44. Después de abrirlo ya nos saldrá la nueva interfaz:
Ejercicio 11
11. Instala un servicio de distribución de software desde tu equipo servidor a las
estaciones de trabajo del dominio mediante paquetes MSI:
a. OpenOffice.
b. Firefox.
Crea tú mismo estos paquetes con alguna utilidad.
Primero me he descargado e instalado la aplicación Exe to msi converter:

45. También me he descargado oppenoffice.exe y firefox.exe y los vamos a transformar a paquetes msi
con Exe to msi converter:
Ahora crearemos una carpeta llamada paquetesmsi donde daremos permiso total al administrador y
será el lugar donde se alojarán los paquetes msi.

46. Ahora pasaremos a añadir los paquetes msi dentro de la directiva de grupo general del dominio:
Añadiremos tanto el paquete oppenoffice:
Como el de firefox:

47. Como vemos a continuación ya tenemos disponibles los paquetes para poder usar cuando sea
necesario:
Ejercicio 12
12. Instala DFS y haz una prueba de su funcionamiento.

48. Primero lo instalamos:
Ahora pasaremos a realizar una prueba, para ello accedemos al administrador de DFS y creamos un
nuevo espacio de nombres:

49. Ahora indicamos el dominio:
Elegimos el tipo que deseamos:

50. Después nos sale el resumen y posteriormente nos muestra la pantalla siguiente por donde podemos
comprobar que se han creado los pasos anteriores correctamente:
Y por último creamos una carpeta dentro del espacio de nombres, así podemos comprobar que
funciona correctamente: