curso 6824A

Anuncio
Curso 6824A - Indice
Módulo 1: Implementación de Servicios de dominio de Active Directory
Este módulo analiza los requisitos previos de hardware y software para implementar AD DS, como así
también el proceso para instalarlo. Asimismo, define qué es un controlador de dominio de sólo lectura
(RODC) y cómo se instala.
Módulo 2: Configuración del Servicio de nombres de dominio para Servicios de dominio de Active Directory
Este módulo describe la configuración de DNS específica para AD DS.
Módulo 3: Configuración de objetos y confianzas de Active Directory
Este módulo analiza cómo implementar y configurar objetos y confianzas de AD DS.
Módulo 4: Configuración de Sitios de servicios de dominio y replicación de Active Directory
Este módulo describe cómo crear y configurar sitios para administrar la replicación.
Módulo 5: Creación y configuración de la Directiva de grupo
Este módulo describe cómo funcionan, cómo se crean y cómo se aplican los Objetos de directiva de
grupo (GPO).
Módulo 6: Configuración de entornos de usuario usando la Directiva de grupo
Este módulo analiza cómo establecer la configuración del escritorio del usuario mediante la Directiva de
grupo.
Módulo 7: Implementación de la seguridad usando la Directiva de grupo
Este módulo describe cómo establecer los valores de seguridad y aplicarlos usando Objetos de
directiva de grupo.
Módulo 8: Implementación de un plan de supervisión de Servicios de dominio de Active Directory
Este módulo describe cómo supervisar infraestructura y servicios de AD DS.
Módulo 9: Implementación de un plan de mantenimiento de Servicios de dominio de Active Directory
Este módulo analiza cómo realizar el mantenimiento, la copia de seguridad y la recuperación de
servidores y objetos de Active Directory.
Módulo 10: Solución de problemas de Active Directory, DNS y replicación
Este módulo describe cómo solucionar problemas relacionados con AD DS, DNS y replicación
Módulo 11: Solución de problemas de Directiva de grupo
Este módulo describe cómo solucionar problemas relacionados con Directivas de grupo.
Módulo 12: Implementación de una infraestructura de Servicios de dominio de Active Directory®
Este módulo implica un día entero de laboratorio. Se presentan escenarios para facilitar el aprendizaje
de la solución desde el comienzo hasta el final.
© Copyright 2009, Microsoft Corporation. All rights reserved. Legal Notices
Modulo 1 : Implementación de Servicios de dominio de Active Directory
Implementación de Servicios de dominio de Active Directory
Lección 1: Instalación de Servicios de dominio de Active Directory
Lección 2: Implementación de controladores de dominio de sólo lectura
Lección 3: Configuración de funciones de controladores de dominio de AD DS
Laboratorio: Implementación de los controladores de dominio de sólo lectura y administración de
las funciones de controladores de dominio
Servicios de dominio de Active Directory (AD DS) se instala como una función del servidor en el sistema operativo
Windows Server®°2008. Existen varias opciones para elegir al instalar AD DS y ejecutar el Asistente para instalación
de Servicios de dominio de Active Directory. Se debe elegir si se desea crear un nuevo dominio o agregarle un
controlador de dominio a uno existente. Asimismo, cuenta con la opción de instalar AD DS en un servidor con Server
Core de Windows Server 2008 o instalar los controladores de dominio de sólo lectura. Después de implementar los
controladores de dominio, también se deben administrar funciones especiales de controladores de dominio, como por
ejemplo el catálogo global y los maestros de operaciones.
Leccion 1 : Instalación de Servicios de dominio de Active Directory
Lección 1:
Instalación de Servicios de dominio de Active Directory
Windows Server 2008 brinda diversas maneras de instalar y configurar AD DS. Esta lección describe la instalación
estándar de AD DS y también algunas de las demás opciones que se encuentran disponibles al realizar la instalación.
Requisitos para instalar AD DS
Requisitos para instalar AD DS
Puntos clave
Para instalar AD DS, el servidor debe cumplir con los siguientes requisitos:
El sistema operativo Windows Server 2008 debe estar instalado. AD DS solamente puede instalarse en los
siguientes sistemas operativos:
El sistema operativo Windows Server® 2008 Standard
El sistema operativo Windows Server® 2008 Enterprise
El sistema operativo Windows Server® 2008 Datacenter
Material de lectura adicional
Ayuda para Servicios de dominio de Active Directory: Instalación de Servicios de dominio de Active Directory
Artículo de Microsoft TechNet: Requisitos para instalar AD DS
¿Cuáles son los niveles funcionales de dominio y de bosque?
¿Cuáles son los niveles funcionales de dominio y de bosque?
Puntos clave
En Windows Server 2008, la funcionalidad de bosque y de dominio brinda una forma de habilitar funciones de todo el
bosque o del dominio de Active Directory en su entorno de red. Los diferentes niveles de funcionalidad de bosque y
dominio están disponibles; dependerán del nivel funcional de dominio y bosque.
Material de lectura adicional
1. Ayuda para Servicios de dominio de Active Directory: Establecer el nivel funcional de dominio o bosque
2. Artículo de Microsoft TechNet: Apéndice de las características de nivel funcional
Proceso de instalación de AD DS
Proceso de instalación de AD DS
Puntos clave
Para configurar un controlador de dominio de Windows Server 2008, se debe instalar la función del servidor de AD DS
y ejecutar el Asistente para instalación de Servicios de dominio de Active Directory. Para hacerlo, se debe usar uno de
los siguientes procesos:
Instalar la función del servidor usando el Administrador de servidores y luego ejecutar el asistente para
instalación ejecutando DCPromo o el asistente para instalación desde el Administrador de servidores.
Ejecutar DCPromo desde el comando Ejecutar o un símbolo del sistema. De este modo, se instalará la función
del servidor de AD DS y luego se iniciará el Asistente para instalación.
Material de lectura adicional
Ayuda para Servicios de dominio de Active Directory: Instalación de Servicios de dominio de Active Directory
Artículo de Microsoft TechNet: Instalación de un nuevo bosque de Windows Server 2008 y Escenarios para
instalar AD DS
Opciones avanzadas para instalar AD DS
Opciones avanzadas para instalar AD DS
Puntos clave
Algunas de las páginas del Asistente para instalación de Servicios de dominio de Active Directory aparecen solamente
si se selecciona la casilla Usar la instalación en modo avanzado en la página principal del asistente o al ejecutar
DCPromo con el parámetro de línea de comandos /adv. Si no ejecuta el Asistente para instalación en modo avanzado,
el asistente usará las opciones predeterminadas que se aplican a la mayoría de las configuraciones.sçsi
Pregunta: ¿Cuándo usaría el modo de opciones avanzadas en su organización?
Material de lectura adicional
Ayuda para Servicios de dominio de Active Directory: Usar la instalación en modo avanzado
Artículo de Microsoft TechNet: Novedades de la instalación y desinstalación de AD DS
Instalación de AD DS desde un medio
Instalación de AD DS desde un medio
Puntos clave
Antes de que se puedan usar medios de copia de seguridad como la fuente para instalar un controlador de dominio,
use Ntdsutil.exe para crear los medios de instalación.
Ntdsutil.exe puede crear cuatro tipos de medios de instalación diferentes.
Pregunta: ¿Qué tipos de medios de instalación usará en su organización?
Material de lectura adicional
Artículo de Microsoft TechNet: Instalación de AD DS desde un medio
Demostración: Comprobación de la instalación de AD DS
Demostración: Comprobación de la instalación de AD DS
Pregunta: ¿Qué pasos llevaría a cabo si se diera cuenta de que no se pudo realizar la instalación del controlador de
dominio?
Material de lectura adicional
Artículo de Microsoft TechNet: Comprobación de una instalación de AD DS
Actualización a AD DS de Windows Server 2008
Actualización a AD DS de Windows Server 2008
Puntos clave
Para instalar un controlador de dominio nuevo de Windows Server 2008 en un dominio existente de Windows 2000
Server o Windows Server 2003, lleve a cabo los siguientes pasos:
Si el controlador de dominio es el primero de Windows Server 2008 en el bosque, se debe preparar el bosque
para Windows Server 2008 al ampliar el esquema en el maestro de operaciones de esquema. Para ampliar el
esquema, ejecute adprep /forestprep. La herramienta adprep está ubicada en los medios de instalación de
Windows Server 2008.
Si el controlador de dominio es el primero de Windows Server 2008 en un dominio de Windows 2000 Server,
se debe preparar el dominio al ejecutar adprep /domainprep /gpprep en el maestro de infraestructura. El
parámetro de línea de comandos gpprep agrega una entrada de control de acceso heredable (ACE) a los
Objetos de directiva de grupo (GPO) que se encuentran ubicados en la carpeta compartida SYSVOL y la
sincroniza entre los controladores en el dominio.
Si el controlador de dominio es el primero de Windows Server 2008 en un dominio de Windows Server 2003,
se debe preparar el dominio al ejecutar adprep /domainprep /gpprep en el maestro de infraestructura.
Después de instalar un controlador de dominio grabable, se puede instalar un RODC en el bosque de Windows
Server 2003. Antes de realizar el paso anterior, se debe preparar el bosque al ejecutar adprep /rodcprep. Se
puede ejecutar adprep /rodcprep en cualquier equipo en el bosque. Si el RODC será un servidor de catálogo
global, luego se debe ejecutar adprep /domainprep en todos los dominios en el bosque, sin importar si el
dominio ejecuta un controlador de dominio de Windows Server 2008. Al ejecutar adprep /domainprep en
todos los dominios, el RODC puede replicar datos del catálogo global a partir de todos los dominios en el
bosque y luego puede anunciarse como un servidor de catálogo global.
Material de lectura adicional
Ayuda para Servicios de dominio de Active Directory: Instalación de Servicios de dominio de Active Directory
Artículo de Microsoft TechNet: Instalación de un nuevo bosque de Windows Server 2008
Artículo de Microsoft TechNet: Escenarios para instalar AD DS
Instalación de AD DS en un equipo con Server Core
Instalación de AD DS en un equipo con Server Core
Puntos clave
Para instalar AD DS en un equipo Windows Server 2008 con Server Core, se debe usar una instalación desatendida.
Server Core de Windows Server 2008 no proporciona una interfaz gráfica de usuario (GUI) por lo tanto no se puede
ejecutar el Asistente para instalación de Servicios de dominio de Active Directory.
Para realizar una instalación desatendida de AD DS, use un archivo de respuesta y la siguiente sintaxis con el comando
Dcpromo:
Dcpromo /answer[:nombre de archivo], donde nombre de archivo representa el nombre del archivo de respuesta.
Material de lectura adicional
Artículo de Microsoft TechNet: Instalación de un nuevo bosque de Windows Server 2008, Apéndice de
parámetros para la instalación desatendida
Discusión: Configuración común para AD DS
Discusión: Configuración común para AD DS
Puntos clave
Después de instalar un controlador de dominio, tal vez se necesite llevar a cabo tareas adicionales en su entorno.
Puede tener acceso a listas de comprobación para las siguientes configuraciones comunes para AD DS en el
Administrador de servidores, en Recursos y Soporte.
Material de lectura adicional
Ayuda para AD DS: Configuraciones comunes para Servicios de dominio de Active Directory
Leccion 2 : Implementación de controladores de dominio de sólo lectura
Lección 2:
Implementación de controladores de dominio de sólo lectura
Una de las nuevas funciones importantes en Windows Server 2008 es la opción de usar los controladores de dominio
de sólo lectura (RODC). Los RODC brindan toda la funcionalidad que los clientes necesitan como así también
seguridad adicional para los controladores de dominio implementados en las sucursales. Al configurar los RODC, se
puede especificar qué contraseñas de cuenta de usuario se almacenarán en la memoria caché del servidor y
configurar los permisos administrativos delegados para el controlador de dominio. Esta lección describe cómo instalar
y configurar los RODC.
¿Qué es un controlador de dominio de solo lectura?
¿Qué es un controlador de dominio de solo lectura?
Puntos clave
Un RODC es un nuevo tipo de controlador de dominio compatible con Windows Server 2008. Un RODC hospeda
particiones de sólo lectura de la base de datos de AD DS. Es decir que nunca se podrán realizar cambios en la copia
de la base de datos almacenada por el RODC y toda la replicación de AD DS usa una conexión unidireccional desde
un controlador de dominio que cuenta con una copia de base de datos grabable hasta el RODC.
Material de lectura adicional
Artículo de Microsoft TechNet: AD DS: Controladores de dominio de sólo lectura
Características de los controladores de dominio de sólo lectura
Características de los controladores de dominio de sólo lectura
Puntos clave
Vea la lista en la diapositiva.
Material de lectura adicional
Artículo de Microsoft TechNet: AD DS: Controladores de dominio de sólo lectura
Artículo de Microsoft TechNet: Step-by-Step Guide for Read-Only Domain Controller in Windows Server 2008 Beta 3
(Guía paso a paso para el controlador de dominio de sólo lectura en Windows Server 2008 Beta 3)
Preparación de la instalación del RODC
Preparación de la instalación del RODC
Puntos clave
Antes de que se pueda instalar un RODC, se debe preparar el entorno de AD DS llevando a cabo los siguientes
pasos:
Configurar el nivel funcional de dominio y bosque
Planear la disponibilidad del controlador de dominio de Windows Server 2008.
Preparar el bosque y el dominio.
Material de lectura adicional
Ayuda para AD DS: Delegar la administración e instalación del controlador de dominio de sólo lectura
Artículo de Microsoft TechNet: AD DS: Controladores de dominio de sólo lectura
Artículo de Microsoft TechNet: Step-by-Step Guide for Read-Only Domain Controller in Windows Server 2008
Beta 3 (Guía paso a paso para el controlador de dominio de sólo lectura en Windows Server 2008 Beta 3)
Instalación del RODC
Instalación del RODC
Puntos clave
La instalación del RODC es prácticamente idéntica a la instalación de AD DS en un controlador de dominio con una
copia grabable de la base de datos. No obstante, existen algunos pasos adicionales.
Material de lectura adicional
Ayuda para AD DS: Delegar la administración e instalación del controlador de dominio de sólo lectura
Artículo de Microsoft TechNet: Step-by-Step Guide for Read-Only Domain Controller in Windows Server 2008
Beta 3 (Guía paso a paso para el controlador de dominio de sólo lectura en Windows Server 2008 Beta 3)
Delegación de la instalación del RODC
Delegación de la instalación del RODC
Puntos clave
Se puede delegar la instalación de un RODC realizando una instalación que consta de dos etapas.
Pregunta: ¿Cuáles son los beneficios de delegar la instalación de un RODC?
Material de lectura adicional
Ayuda para AD DS: Delegar la administración e instalación del controlador de dominio de sólo lectura
Artículo de Microsoft TechNet: AD DS: Controladores de dominio de sólo lectura
Artículo de Microsoft TechNet: Guía paso a paso para controladores de dominio de sólo lectura
¿Qué son las directivas de replicación de contraseñas?
¿Qué son las directivas de replicación de contraseñas?
Puntos clave
Cuando se implementa un RODC, se puede configurar una Directiva de replicación de contraseñas para el RODC.
Dicha directiva funciona como una lista de control de acceso (ACL) que determina si se permite que un RODC
almacene una contraseña en la memoria caché.
La Directiva de replicación de contraseñas enumera las cuentas que usted explícitamente permite que se almacenen
en la memoria caché y las que no. Las contraseñas para las cuentas no se encuentran realmente almacenadas en la
memoria caché en el RODC hasta que la cuenta del usuario o del equipo haya sido autenticada por primera vez
mediante el RODC.
Material de lectura adicional
Ayuda en línea para AD DS: Specify password Replication Policy (Especificar la Directiva de replicación de
contraseñas)
Demostración: Configuración de la separación de la función de
administrador y las directivas de replicación de contraseñas
Demostración: Configuración de la separación de la función de administrador y las directivas de
replicación de contraseñas
Preguntas:
¿Cuál sería una forma alternativa de configurar la separación de la función de Administrador y las Directivas de
replicación de contraseña?
Su organización ha implementado dos RODC. ¿Cómo configuraría la Directiva de replicación de contraseñas si
deseara que las credenciales para todas las cuentas de usuario y de equipo exceptuando las de administradores y
ejecutivos sean almacenadas en la memoria caché en ambos RODC?
Material de lectura adicional
Ayuda para AD DS: Specify Password Replication Policy (Especificar la Directiva de replicación de
contraseñas)
Leccion 3 : Configuración de funciones de controladores de dominio de
AD DS
Lección 3:
Configuración de funciones de controladores de dominio de AD DS
Todos los controladores de dominio en un dominio son fundamentalmente iguales, es decir que todos contienen los
mismos datos y brindan los mismos servicios. Sin embargo, también se pueden asignar funciones especiales a
controladores de dominio para brindar servicios adicionales o abordar escenarios donde solamente un único
controlador de dominio debería ofrecer servicios en cualquier momento. Esta lección describe cómo configurar y
administrar servidores de catálogo global y maestros de operaciones.
¿Qué son los servidores de catálogo global?
¿Qué son los servidores de catálogo global?
Puntos clave
El catálogo global es una réplica de sólo lectura parcial de todas las particiones de directorio de dominio en un bosque.
El catálogo global es una réplica parcial ya que incluye solamente un conjunto de atributos limitado para cada uno de
los objetos del bosque. Al incluir solamente los atributos que se buscan con más frecuencia, la base de datos de un
servidor de catálogo global único puede representar a cada objeto en todos los dominios en el bosque.
El servidor de catálogo global es un controlador de dominio que también hospeda al catálogo global. AD DS configura
automáticamente el primer controlador de dominio en el bosque como un servidor de catálogo global. Se puede
agregar funcionalidad de catálogo global a otros controladores de dominio o cambiar la ubicación predeterminada del
catálogo global a otro controlador de dominio.
Material de lectura adicional
Artículo de Microsoft TechNet: Domain Controller Roles (Funciones de controladores de dominio)
Modificación del catálogo global
Modificación del catálogo global
Puntos clave
A veces, quizás desee personalizar el servidor de catálogo global para incluir atributos adicionales. De forma
predeterminada, para cada uno de los objetos en el bosque, el servidor de catálogo global contiene los atributos más
comunes de un objeto. Las aplicaciones y los usuarios pueden consultar tales atributos. Por ejemplo, se puede hallar
un usuario por el nombre, apellido, dirección de correo electrónico u otras propiedades comunes.
Material de lectura adicional
Artículo de Microsoft TechNet: Domain Controller Roles (Funciones de controladores de dominio)
Demostración: Configuración de servidores de catálogo global
Demostración: Configuración de servidores de catálogo global
Preguntas:
¿Qué tipos de errores o experiencias de usuario lo llevaría a investigar si sería necesario configurar otro servidor como
un servidor de catálogo global?
¿Cuáles son las razones por las que elegiría replicar un atributo al catálogo global?
Material de lectura adicional
Artículo de Microsoft TechNet: Agregar un atributo al catálogo global
¿Qué son las funciones de maestro de operaciones?
¿Qué son las funciones de maestro de operaciones?
Puntos clave
Active Directory está diseñado como un sistema de replicación con varios maestros. No obstante, para ciertas
operaciones de directorio, solamente se requiere un único servidor autoritativo. Los controladores de dominio que
desempeñan funciones específicas se denominan maestros de operaciones. Los controladores de dominio que
desempeñan funciones de maestro de operaciones son designados para desempeñar tareas específicas para
garantizar consistencia y para terminar con las posibles entradas que presenten problemas en la base de datos de
Active Directory.
Material de lectura adicional
Artículo de Microsoft TechNet: Agregar un atributo al catálogo global
Artículo de Microsoft TechNet: Administrar funciones de maestro de operaciones
Demostración: Administración de funciones de maestro de operaciones
Demostración: Administración de funciones de maestro de operaciones
Preguntas:
¿En qué circunstancia necesitaría asumir una función de maestro de operaciones de inmediato en vez de esperar unas
horas para que se repare un controlador de dominio que actualmente desempeña la función?
Está implementando el primer controlador de dominio en un nuevo dominio que consistirá en un nuevo árbol de
dominios en el bosque WoodgroveBank.com. ¿Qué funciones de maestro de operaciones desempeñará este servidor
de manera predeterminada?
Material de lectura adicional
Artículo de Microsoft TechNet: Administrar funciones del maestro de operaciones
Cómo funciona el servicio Windows Time
Cómo funciona el servicio Windows Time
Puntos clave
El servicio Horario de Windows, también denominado W32Time, sincroniza la hora y la fecha para todos los equipos
que se ejecutan en una red de Windows Server 2008. El servicio Horario de Windows usa el Protocolo de tiempo de
redes (NTP) para garantizar configuraciones horarias de gran precisión por toda la red. Del mismo modo, se pueden
integrar fuentes horarias externas al servicio Horario de Windows.
Material de lectura adicional
Artículo de Microsoft TechNet: Windows Time Service Technical Reference (Referencia técnica del servicio
Horario de Windows)
Artículo de Microsoft TechNet: Configuring a time source for the forest (Configurar una fuente horaria para el
bosque)
Leccion 4 : Laboratorio: Implementación de los controladores de dominio
de sólo lectura y administración de las funciones de controladores de
dominio
Laboratorio: Implementación de los controladores de dominio de sólo
lectura y administración de las funciones de controladores de dominio
Escenario
El Woodgrove Bank ha comenzado la implementación de Windows Server 2008. La organización ha implementado
varios controladores de dominio en su sede corporativa y se prepara para implementar controladores de dominio en
diversas sucursales. El administrador de la empresa creó un diseño que requiere que se implementen controladores
de dominio de sólo lectura en servidores con Windows Server 2008 en todas las sucursales. Su tarea implica
implementar un controlador de dominio en una sucursal que cumpla con los requisitos ya mencionados.
Ejercicio 1: Evaluación de la preparación del bosque y del servidor para
instalar un RODC
Ejercicio 1: Evaluación de la preparación del bosque y del servidor para instalar un RODC
En este ejercicio, se evaluará la preparación del bosque y del servidor para instalar un RODC. Se preparará también el
bosque para la instalación. Además, se examinará la configuración de un servidor con Server Core para garantizar que
cumpla con los requisitos previos para la instalación del RODC.
Nota: Debido a las limitaciones del entorno del laboratorio virtual, instalará el RODC en el mismo sitio que en el de los
controladores de dominio existentes. En un entorno de producción, llevaría a cabo los mismos pasos incluso si el
RODC se encontrara en un sitio diferente.
Las principales tareas se realizarán como se detalla a continuación:
1. Iniciar las maquinas virtuales y luego iniciar sesión.
2. Comprobar que los niveles funcionales de bosque y de dominio sean compatibles con la implementación de un
RODC.
3. Comprobar la disponibilidad de un controlador de dominio grabable con Windows Server 2008.
4. Configurar los valores de la cuenta de equipo para el RODC.
Tarea 1: Iniciar las maquinas virtuales y luego iniciar sesión.
1. En el equipo host, haga clic en Inicio, elija Todos los programas, seleccione Microsoft Learning y luego, haga
clic en 6824A. Se inicia Iniciador de laboratorio.
2. En Iniciador de laboratorio, junto a 6824A-NYC-DC1, haga clic en Iniciar.
3. En Iniciador de laboratorio, junto a 6824A-NYC-DC2, haga clic en Iniciar.
4. En Iniciador de laboratorio, junto a 6824A-NYC-SVR1, haga clic en Iniciar.
5. Inicie sesión en NYC- DC1 y NYC-DC2 como Administrador, usando la contraseña Pa$$w0rd.
6. Inicie sesión en NYC-SVR1 como AdminLocal, usando la contraseña Pa$$w0rd.
7. Minimice la ventana Iniciador de laboratorio.
Tarea 2: Comprobar que los niveles funcionales de bosque y de dominio sean compatibles con la implementación de un RODC.
1. En NYC-DC1, abra Usuarios y equipos de Active Directory.
2. Vea las propiedades de WoodgroveBank.com y compruebe que tanto el nivel funcional del dominio como el
del bosque se encuentren establecidos como Windows Server 2003.
Tarea 3: Comprobar la disponibilidad de un controlador de dominio grabable con Windows Server 2008.
1. En Usuarios y equipos de Active Directory, compruebe las propiedades para NYC-DC1.
2. Compruebe que el nombre del sistema operativo sea Windows Server 2008 Enterprise.
Tarea 4: Configurar los valores de la cuenta de equipo para el RODC.
1. En NYC-SVR1, abra el Administrador del servicio.
2. Haga clic en Cambiar propiedades del sistema y en la ficha Nombre de equipo, cambie el nombre del
equipo a TOR-DC1.
3. Reinicie el equipo.
Resultado: Al finalizar este ejercicio habrá comprobado que el dominio y el equipo están listos para instalar un RODC.
Ejercicio 1: Respuestas claves (pasos detallados)
Ejercicio 2: Instalación y configuración de un RODC
Ejercicio 2: Instalación y configuración de un RODC
En este ejercicio, se instalará la función del servidor del RODC en el equipo con Windows Server 2008. Para llevar a
cabo tal proceso, se realizará una preparación preliminar en la cuenta de equipo que el RODC usará. Como parte de
dicha preparación preliminar, se configurará un grupo administrativo con permisos para instalar el controlador de
dominio. Una vez finalizada la instalación, se comprobará que la instalación haya finalizado correctamente. Además se
configurarán directivas de replicación de contraseñas para usuarios que inicien sesión en el controlador de dominio.
Las principales tareas se realizarán como se detalla a continuación:
1. Realizar la preparación preliminar en la cuenta de equipo para el RODC.
2. Iniciar sesión en TOR-DC1 como Administrador.
3. Instalar el RODC usando la cuenta existente. Usar WoodgroveBank\Axel como la cuenta con las credenciales
para llevar a cabo la instalación.
4. Comprobar la instalación correcta del controlador de dominio.
5. Configurar una directiva de replicación de contraseñas que permita que las credenciales se almacenen en la
memoria caché para todas las cuentas de usuarios en Toronto.
Tarea 1: Realizar la preparación preliminar de la cuenta de equipo para el RODC.
1. En NYC-DC1, abra Usuarios y equipos de Active Directory.
2. Haga clic con el botón secundario en la unidad de organización de los controladores de dominio y en Crear
previamente una cuenta de controlador de dominio de sólo lectura.
3. Complete el Asistente para instalación de los servicios de dominio de Active Directory usando las siguientes
selecciones:
1. Usar la instalación de modo avanzado
2. Usar las credenciales actuales.
3. Nombre de equipo: TOR-DC1
4. Sitio predeterminado
5. Instalar solamente las opciones de DNS y RODC
6. Delegar permiso a Axel Delgado para instalar el RODC.
Tarea 2: Iniciar sesión en TOR-DC1 como AdminLocal
Inicie sesión como AdminLocal usando la contraseña Pa$$w0rd.
Tarea 3: Instalar el RODC usando la cuenta existente. Use WoodgroveBank\Axel como la cuenta con las credenciales para llevar a
cabo la instalación.
1. En TOR-DC1, abra un símbolo de sistema y escriba dcpromo /UseExistingAccount:Attach y luego presione
ENTRAR:
2. Complete el Asistente para instalación de Servicios de dominio de Active Directory usando las siguientes
selecciones:mama
1. Usar la instalación en modo avanzado
2. Escriba Axel como la credencial alternativa
3. Use TOR-DC1 como el nombre del equipo
4. Use NYC-DC1.WoodgroveBank.com como el controlador de dominio de origen
5. Acepte la ubicación predeterminada para la base de datos, archivos de registro y archivos de SYSVOL.
6. Use Pa$$w0rd como la Contraseña de administrador del modo de restauración de servicios de directorio
3. Reiniciar el equipo una vez que finaliza la instalación.
Tarea 4: Comprobar la instalación correcta del controlador de dominio.
1. Después de que TOR-DC1 se reinicia, inicie sesión como Axel con la contraseña Pa$$w0rd.
2. En el Administrador del servidor, compruebe que la función del servidor de Servicios de dominio de Active
Service esté instalada.
3. Compruebe que todos los servicios requeridos se estén ejecutando.
4. En Usuarios y equipos de Active Directive, compruebe que TOR-DC1 se encuentra en la unidad
organizativa de los controladores de dominio.
5. Compruebe que no cuente con el permiso para agregar o quitar objetos de dominio.
6. En Sitios y servicios de Active Directory, compruebe que TOR-DC1 aparezca en la lista de servidores para
el Default-First-Site-Name.
7. Compruebe las NTDS Settings para TOR-DC1. Confirme que se hayan creado los objetos de conexión.
8. Compruebe las NTDS Settings para NYC-DC1. Confirme que no se hayan creado objetos de conexión para la
replicación con TOR-DC1.
9. Abra el Visor de eventos. En el registro de Servicio de directorio, busque y vea un mensaje con un
identificador del suceso de 1128. Dicho identificador comprueba que se haya creado un objeto de conexión de
replicación entre NYC-DC1 y TOR-DC1.
Tarea 5: Configurar una directiva de replicación de contraseñas que permita que las credenciales se almacenen en la memoria
caché para todas las cuentas de usuario en Toronto.
1. En NYC-DC1, en Usuarios y equipos de Active Directory, ingrese al cuadro de diálogo Propiedades de
TOR-DC1.
2. Agregue todos los grupos de Toronto a la directiva de replicación de contraseñas.
Resultado: Al finalizar este ejercicio, se habrá instalado un RODC y configurado la directiva de replicación de
contraseñas de RODC para el RODC.
Ejercicio 2: Respuestas claves (pasos detallados)
Ejercicio 3: Configuración de funciones de controladores de dominio de
AD DS
Ejercicio 3: Configuración de funciones de controladores de dominio de AD DS
En este ejercicio, se configurará el RODC instalado en el ejercicio anterior como un servidor de catálogo global.
Además se asignarán funciones de maestro de operaciones a un controlador de dominio adicional en el dominio.
Las principales tareas se realizarán como se detalla a continuación:
1. Usar Sitios y servicios de Active Directory para configurar TOR-DC1 como un servidor de catálogo global.
2. Configurar NYC-DC2 como el maestro de infraestructura y el maestro de nomenclatura de dominios para el
dominio WoodgroveBank.com.
3. Agregar el atributo Departamento al catálogo global.
4. Cerrar todos las máquinas virtuales y descartar los discos para deshacer.
Tarea 1: Usar Sitios y servicios de Active Directory para configurar TOR-DC1 como un servidor de catálogo global.
1. En NYC-DC1, en Sitios y servicios de Active Directory, localice la cuenta de equipo TOR-DC1.
2. Ingrese a NTDS Settings y seleccione la casilla Catálogo global.
Tarea 2: Configurar NYC-DC2 como el maestro de infraestructura y el maestro de nomenclatura de dominios para el dominio
WoodgroveBank.com.
1. En NYC-DC1, en Usuarios y equipos de Active Directory, cambie el foco de la consola a
NYC-DC2.WoodgroveBank.com y luego haga clic en Aceptar.
2. Haga clic con el botón secundario en WoodgroveBank.com y luego en Maestro de operaciones. Transfiera
la función de maestro de infraestructura a NYC-DC2.WoodgroveBank.com.
3. En NYC-DC2, abra Dominios y confianzas de Active Directory. Ingrese a las configuraciones de Maestro
de operaciones y transfiera la función de maestro de operaciones de nombres de dominio a NYC-DC2.
Tarea 3: Agregar el atributo Departamento al catálogo global
1. En NYC-DC1, use regsvr32 schmmgmt.dll para registrar el complemento de Esquema de Active Directory.
2. Cree una nueva consola de Administración de Microsoft (MMC) y agregue el complemento de Esquema de
Active Directory.
3. En el Esquema de Active Directory, ingrese al atributo Department y configure el atributo para replicar al
Catálogo global.
Tarea 4: Cerrar todas las máquinas virtuales y descartar todos los cambios.
1. Por cada equipo virtual que se encuentre en funcionamiento, cierre la ventana de Control remoto de la máquina
virtual.
2. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios. Haga clic en Aceptar.
3. Cierre el Iniciador de laboratorio 6824A.
Resultado: Una vez finalizado el ejercicio, se habrá configurado un servidor de catálogo global y configurado las funciones
de controladores de dominio de AD DS.
Ejercicio 3: Respuestas claves (pasos detallados)
Revisión del laboratorio
Revisión del laboratorio
Preguntas de revisión
1. Se implementará un controlador de dominio en una sucursal. La sucursal no cuenta con una sala de servidores
altamente segura por lo tanto le preocupa la seguridad del servidor. ¿Qué dos características de Windows
Server 2008 se pueden aprovechar para mejorar la seguridad de la implementación del controlador de
dominio?
2. Se debe crear un nuevo dominio al instalar un controlador de dominio en su infraestructura de Active Directory.
Se revisará la lista de inventario de servidores disponibles para este propósito. ¿Cuáles de los siguientes
equipos pueden usarse como un controlador de dominio?
1. Windows Server 2008 Edición Web, sistema de archivos NTFS, 1 gigabyte (GB) de espacio disponible en el
disco duro, TCP/IP.
2. Windows Server 2008 Edición Enterprise, sistema de archivos NTFS, 500 megabytes (MB) de espacio
disponible en el disco duro, TCP/IP.
3. Windows Server 2008 Server Core Edición Enterprise, sistema de archivos NTFS, 1GB de espacio disponible
en el disco duro, TCP/IP.
4. Windows Server 2008 Edición Standard, sistema de archivos NTFS, 500 MB de espacio disponible en el disco
duro, TCP/IP.
3. Se implementará un RODC en una sucursal. Se necesita asegurar que todos los usuarios en la sucursal puedan
autenticar incluso si la conexión WAN desde la sucursal no está disponible. ¿Podrán hacerlo solamente los
usuarios que generalmente inician sesión en la sucursal? ¿Cómo se configuraría la directiva de replicación de
contraseñas?
4. Se necesita instalar un controlador de dominio usando la instalación desde la opción de medios. ¿Qué pasos
se deberán tomar para completar este proceso?
5. ¿Se implementarán RODC en su entorno de AD DS? Describa el escenario de implementación.
6. Se implementará un controlador de dominio en una sucursal. La sucursal cuenta con una conexión WAN con la
casa matriz que cuenta con muy poco ancho de banda disponible y no es muy confiable. ¿Se deberá configurar
el controlador de dominio de la sucursal como un servidor de catálogo global?
7. Se implementará un controlador de dominio en una sucursal. La sucursal no cuenta con una sala de servidores
altamente segura por lo tanto le preocupa la seguridad del servidor. ¿Qué dos características de Windows
Server 2008 se pueden aprovechar para mejorar la seguridad de la implementación del controlador de
dominio?
Observaciones
Tenga en cuenta las siguientes observaciones cuando se implementan los RODC y se administran las funciones de
controladores de dominio:
Se puede instalar la función del servidor de AD DS en todas las ediciones de Windows Server 2008
exceptuando la edición Windows Server 2008 Web Server Edition.
Se debe tener en cuenta la instalación de un RODC en un equipo con Server Core de Windows Server 2008
para brindar seguridad adicional a su entorno de dominio.
Para instalar AD DS en un equipo con Server Core, se debe usar una instalación desatendida.
Se deben planear con cautela las directivas de replicación de contraseñas en su organización. Si se permite
que las credenciales se almacenen en una memoria caché para la mayoría de las cuentas en su dominio,
aumentará el impacto a su organización si el RODC ha sido vulnerado. En caso contrario, aumentará el impacto
a la sucursal si el vínculo de WAN con la casa matriz no se encuentra disponible.
En la mayoría de los casos, implementar un servidor de catálogo global en un sitio mejorará la experiencia de
inicio de sesión para los usuarios. No obstante, implementar un catálogo global en una sucursal remota también
aumenta la red usada para la replicación.
Las funciones de maestro de operaciones brindan importantes servicios en una red pero por lo general éstos
no son de mayor prioridad temporal. Generalmente, si se produce un error en un controlador de dominio que
desempeña una función de maestro de administrador, no resulta necesario que inmediatamente otro
controlador de dominio asuma la función si se produce un error en el servidor puede repararse en pocas horas.
Modulo 2 : Configuración del Servicio de nombres de dominio para
Servicios de dominio de Active Directory
Módulo 2
Configuración del Servicio de nombres de dominio para Servicios de
dominio de Active Directory
El Sistema de nombre de dominio (DNS) es un componente de los Servicios de dominio de Active Directory® (AD DS)
para Windows Server® 2008. Al comprender la relación entre estas aplicaciones, se pueden resolver problemas de AD
DS y aumentar la seguridad, mientras se brindan a los clientes todas las funciones del DNS.
Lección 1: Descripción general de la integración de Servicios de dominio de Active Directory y DNS
Lección 2: Configuración de las zonas integradas de AD DS
Lección 3: Configuración de zonas DNS de sólo lectura
Laboratorio: Configuración de la integración de AD DS y DNS
Leccion 1 : Descripción general de la integración de Servicios de dominio
de Active Directory y DNS
Lección 1:
Descripción general de la integración de Servicios de dominio de Active
Directory y DNS
Windows Server 2008 requiere que haya una infraestructura DNS antes de instalar AD DS. Comprender cómo se
integran DNS y AD DS y de qué manera los equipos cliente usan DNS durante el inicio de sesión ayudará a resolver
inconvenientes relacionados con DNS, como problemas de inicio de sesión del cliente.
Integración de los Servicios de dominio de Active Directory y espacio de
nombres DNS
Integración de los Servicios de dominio de Active Directory y espacio de nombres DNS
Puntos clave
En los espacios de nombres DNS, los dominios y equipos están representados mediante registros de recursos; y en
los espacios de nombres de Active Directory, están representados por objetos de Active Directory. Todos los
dominios de Active Directory deben poseer sus correspondientes dominios DNS con nombres de dominio idénticos.
Los clientes usan DNS para resolver nombres de host para direcciones IP a fin de buscar controladores de dominio y
otros equipos que brindan servicios AD DS y otros servicios de red.
Active Directory requiere DNS; pero no requiere ningún tipo de servidor DNS particular. Por lo tanto, puede haber
varios tipos de servidores DNS distintos.
Pregunta: ¿Cuál es la relación entre los nombres de dominio de Active Directory y los nombres de zona DNS?
Material de lectura adicional:
Integración de Active Directory
Integración de DNS
¿Qué son los Registros localizadores de recursos de servicios?
¿Qué son los Registros localizadores de recursos de servicios?
Puntos clave
A fin de que AD DS funcione correctamente, los equipos cliente deben poder localizar servidores que brinden
servicios específicos; como solicitudes de autenticación de inicio de sesión, y servicios Telnet o de protocolo de inicio
de sesión [Session Initiated Protocol, SIP] Los clientes de AD DS y los controladores de dominio usan Registros de
recursos de servicios (SRV) para determinar las direcciones IP de los equipos que brindan estos servicios. Las
aplicaciones site-aware de AD DS, como Microsoft® Exchange, también usan registros de recursos SRV.
Pregunta: En el siguiente ejemplo de dos registros de recursos SRV: ¿Qué registro usará un cliente que consulta
sobre un servicio SIP?
_sip._tcp.example.com. 86400 IN SRV 10 60 5060 Lcs1.contoso.com.
_sip._tcp.example.com. 86400 IN SRV 50 20 5060 Lcs2.contoso.com.
Material de lectura adicional
Administración de registros de recursos
RFC 2782 – Un registro de recursos DNS para especificar la ubicación de servicios (DNS SRV)
Demostración: Registros SRV registrados por controladores de dominio de
AD DS
Demostración: Registros SRV registrados por controladores de dominio de AD DS
Preguntas:
¿Cuál es el beneficio de replicar la zona mscdcs a todo el bosque?
¿Cómo podría privilegiarse un registro de recursos SRV sobre otro?
Cómo se usan los Registros localizadores de recursos de servicios
Cómo se usan los Registros localizadores de recursos de servicios
Puntos clave
Los equipos cliente de dominio usan la interfaz de programación de aplicaciones de localización (API) para localizar un
controlador de dominio consultando el DNS. Si los registros de recursos SRV no se encuentran disponibles para
identificar los controladores de dominio, es posible que no se pueda iniciar sesión. Todos los equipos, incluso las
estaciones de trabajo como los sistemas operativos Windows® XP Professional y Windows Vista®, y los servidores,
como los sistemas operativos Windows Server®°2003 y Windows Server 2008, usan el mismo proceso para localizar
controladores de dominio.
Material de lectura adicional
Cómo se encuentran los controladores de dominio en Windows XP
Domain Controller Location Process (Proceso de localización de controladores de dominio)
Integración de registros de localizadores de servicios y sitios AD DS
Integración de registros de localizadores de servicios y sitios AD DS
Puntos clave
Durante una búsqueda de controlador de dominio, el Localizador intenta hallar un controlador de dominio en el sitio
más cercano al cliente. El controlador de dominio usa la información almacenada en Active Directory para determinar el
sitio más cercano. En la mayoría de los casos, el controlador de dominio que primero responda al cliente será el que
se encuentre en el mismo sitio que éste. No obstante, en aquellos casos en que se haya modificado la ubicación física
del equipo o el controlador de dominio del sitio local no esté disponible, existe un proceso para hallar otro controlador
de dominio.
Durante el inicio del Net Logon, el servicio de Net Logon de todos los controladores de dominio enumera los objetos
del sitio en el Contenedor de configuración. Net Logon usa información del sitio para generar una estructura en
memoria que se usa para asignar direcciones IP a nombres de sitios.
Material de lectura adicional
Finding a Domain Controller in the Closest Site (Encontrar un controlador de dominio en el sitio más cercano)
Leccion 2 : Configuración de las zonas integradas de AD DS
Lección 2:
Configuración de las zonas integradas de AD DS
Integrar las zonas AD DS y DNS puede simplificar la administración de DNS al replicar la información de zona DNS
como parte de la replicación de Active Directory. También brinda beneficios como actualizaciones dinámicas seguras y
caducidad y reorganización de registros de recursos obsoletos.
¿Qué son las zonas integradas de AD DS?
¿Qué son las zonas integradas de AD DS?
Puntos clave
Una ventaja de integrar DNS y AD DS es la posibilidad de integrar zonas DNS en una base de datos de Active
Directory. Una zona es una parte del espacio de nombres de dominio que posee una agrupación lógica de registros de
recursos; lo que permite la transferencia de zonas de dichos registros para que funcionen como una unidad.
Material de lectura adicional
Integración de Active Directory
¿Qué son las particiones de aplicación en AD DS?
¿Qué son las particiones de aplicación en AD DS?
Puntos clave
Existen tres particiones principales que contienen información AD DS.
La partición de esquema, que replica la información del esquema a todo el bosque.
La partición de configuración, que replica la información sobre la estructura física a todo el bosque.
La partición de dominio, que replica la información de dominio a todos los controladores de dominio de un
determinado dominio.
Material de lectura adicional
Replicación de zonas DNS en Active Directory
Opciones para configurar las particiones de aplicación de DNS
Opciones para configurar las particiones de aplicación de DNS
Puntos clave
Es posible modificar el ámbito de replicación DNS en cualquier momento mediante la Consola de administración DNS
de Microsoft (MMC) o la herramienta de línea de comandos DNSCMD. Si se usa MMC DNS, existen las siguientes
opciones de replicación:
A todos los servidores DNS del bosque.
A todos los servidores DNS del dominio. (Esta es la ubicación de almacenamiento predeterminada).
A todos los controladores de dominio del dominio. (Esta es la partición de información de dominio).
A todos los controladores de dominio que sirven de host a una partición de aplicación particular.
Material de lectura adicional
Replicación de zonas DNS en Active Directory
Cómo funcionan las actualizaciones dinámicas
Cómo funcionan las actualizaciones dinámicas
Puntos clave
Las actualizaciones dinámicas permiten que los equipos cliente de DNS registren y actualicen dinámicamente sus
registros de recursos con un servidor DNS cada vez que haya cambios. Esto disminuye la necesidad de administrar
registros de zona manualmente; en especial para clientes que mueven o cambian las ubicaciones con frecuencia y
usan Protocolo de configuración dinámica de host (DHCP) para obtener direcciones IP.
Material de lectura adicional
Actualización dinámica
Cómo funcionan las actualizaciones dinámicas seguras de DNS
Cómo funcionan las actualizaciones dinámicas seguras de DNS
Puntos clave
Las actualizaciones dinámicas seguras funcionan igual que las actualizaciones dinámicas excepto: que el servidor de
nombre autoritativo acepte sólo actualizaciones de clientes y servidores autenticados y unidos al dominio Active
Directory en el que se encuentra el servidor DNS.
Como puede observarse en la diapositiva, el cliente primero intenta realizar una actualización no segura. Si se produce
un error al intentarlo, el cliente luego intenta negociar una actualización segura. Si el cliente ha recibido la autenticación
de AD DS, la actualización tendrá éxito.
Pregunta: ¿Cuáles son los beneficios de usar zonas DNS integradas de Active Directory?
Demostración: Configuración de las zonas integradas de AD DS
Demostración: Configuración de las zonas integradas de AD DS
Preguntas:
¿Cómo podría evitarse que un equipo se registrara en la base de datos de DNS?
¿Cuáles serían las implicancias de no permitir las actualizaciones dinámicas?
Al usar actualizaciones dinámicas seguras, ¿cómo puede controlarse qué clientes están autorizados a actualizar los
registros DNS?
Cómo funciona la carga de zonas en segundo plano
Cómo funciona la carga de zonas en segundo plano
Puntos clave
Las organizaciones muy grandes que poseen zonas extremadamente grandes para almacenar sus datos DNS en AD
DS, suelen darse cuenta de que el reinicio de un servidor DNS puede demorar una hora o más, mientras se recuperan
los datos DNS del servicio de directorio. Como consecuencia, el servidor DNS efectivamente no se encuentra
disponible para satisfacer las solicitudes del cliente durante el tiempo que demora en cargar las zonas basadas en AD
DS.
Material de lectura adicional
Función del servidor DNS
Leccion 3 : Configuración de zonas DNS de sólo lectura
Lección 3:
Configuración de zonas DNS de sólo lectura
Es posible brindar seguridad adicional configurando zonas DNS de sólo lectura ya que sólo un administrador puede
cambiar este tipo de zonas. Aunque el personal no autorizado no puede modificar registros del controlador de dominio
de sólo lectura (RODC), los clientes cuentan con todas las funciones de la resolución de nombres de Active Directory.
¿Qué son las zonas DNS de sólo lectura?
¿Qué son las zonas DNS de sólo lectura?
Puntos clave
Al instalar un RODC para Windows Server 2008, se presentan las opciones de instalación del servidor DNS. La opción
predeterminada es instalar un formulario principal de sólo lectura de servidor DNS localmente en el RODC, que replica
la zona integrada de AD existente para el dominio especificado y agrega la dirección IP local como servidor DNS
preferido en la configuración TCP/IP local. Esto garantiza que el servidor DNS que opera en el RODC posea una copia
de sólo lectura completa de todas las zonas DNS.
Material de lectura adicional
Función del servidor DNS
Cómo funciona el DNS de sólo lectura
Cómo funciona el DNS de sólo lectura
Puntos clave
Cuando un equipo se transforma en un RODC, replica una copia completa de sólo lectura de todas las particiones del
directorio de aplicaciones que usa el DNS, incluyendo la partición de dominio, ForestDNSZones y DomainDNSZones.
Esto garantiza que el servidor DNS que opera en el RODC posea una copia de sólo lectura completa de todas las
zonas DNS almacenadas en un controlador de dominio central en esas particiones de directorio. El administrador de un
RODC puede visualizar el contenido de una zona principal de sólo lectura. Sin embargo, el administrador puede
modificar el contenido cambiando la zona de un servidor DNS con una copia grabable de la base de datos de DNS.
Pregunta: ¿Cómo aumenta la seguridad el RODC?
Material de lectura adicional
Función del servidor DNS
Discusión: Comparación de opciones de DNS para sucursales
Discusión: Comparación de opciones de DNS para sucursales
Puntos clave
Responda las preguntas en un debate en clase.
Material de lectura adicional
Cómo funcionan las consultas DNS
Laboratorio: Configuración de la integración de AD DS y DNS
Laboratorio: Configuración de la integración de AD DS y DNS
Escenario
El Woodgrove Bank es una empresa que tiene oficinas en muchas ciudades del mundo. Woodgrove Bank tiene
relaciones comerciales con otras dos empresas: Fabrikam Inc. y Contoso Inc. Woodgrove Bank ha adquirido copias
de los archivos de zona DNS de dichas s compañías. Todos los empleados del bosque Woodgrove Bank necesitan
tener acceso a los registros DNS de Contoso Inc. Sólo los empleados del dominio Woodgrove Bank necesitan tener
acceso a los archivos DNS de Fabrikam Inc. La sucursal de Woodgrove Bank posee un controlador de dominio de
sólo lectura. Dicho controlador de dominio se configurará para admitir tanto el servicio del servidor DNS como la
totalidad de las zonas DNS de todo el bosque y de todo el dominio. El administrador de la empresa ha creado un
documento de diseño para la configuración DNS. El diseño incluye la configuración de: las zonas integradas de AD
DS, las actualizaciones dinámicas de DNS y las zonas DNS de sólo lectura.
Ejercicio 1: Configuración de zonas integradas de Active Directory
Ejercicio 1: Configuración de zonas integradas de Active Directory
En este ejercicio, se configurarán las zonas DNS del entorno Woodgrove Bank de manera tal que cumplan los
requisitos de diseño. Se comprobarán los registros de recursos SRV que hayan registrado todos los controladores de
dominio y se creará un nuevo registro de recursos SRV que sea compatible con el protocolo Telnet. También se
modificarán las zonas DNS a fin de examinar la diferencia entre zonas integradas de Active Directory y zonas estándar,
y se configurarán actualizaciones dinámicas y el ámbito de replicación. Luego se usará la consola de administración de
edición de ADSI para visualizar los registros de DNS almacenados en la partición de dominio.
Las principales tareas se realizarán como se detalla a continuación:
1. Iniciar el controlador de dominio e inicie la sesión como Administrador.
2. Examinar los registros de recursos SRV.
3. Crear un nuevo registro de recursos SRV que sea compatible con el protocolo Telnet NYC-SRV2.
4. Crear dos zonas nuevas basadas en los archivos de zona de Fabrikam y Contoso.
5. Configurar las dos zonas nuevas de manera tal que sean integradas de Active Directory y asegúrese de que no
se permitan actualizaciones dinámicas.
6. Configurar el ámbito de replicación de la zona Contoso de manera tal que abarque todo el bosque, y la zona
Fabrikam para que abarque todo el dominio.
7. Usar ADSI Edit.exe para visualizar zonas DNS integradas de Active Directory.
Tarea 1: Iniciar NYC-DC1 e iniciar la sesión como Administrador
Inicie NYC-DC1 e inicie la sesión como Administrador con la contraseña Pa$$w0rd.
Tarea 2: Examinar los registros de recursos SRV
1. Abra la consola Administrador de DNS, expanda las Zonas de búsqueda directa y luego haga clic en
_msdcs.woodgrovebank.com.
2. Expanda la carpeta GC -> _TCP.
3. Expanda la carpeta DC -> _TCP.
4. Abra Propiedades de _msdcs.woodgrovebank.com.
5. Cierre la página Propiedades.
Tarea 3: Crear un nuevo registro de recursos SRV que sea compatible con el protocolo Telnet en NYC-SRV2
1. Haga clic con el botón secundario en la zona _msdsc.woodgrovebank.com y luego haga clic en Registros
nuevos.
2. Seleccione el tipo de registro Registro de servicio (SRV) y haga clic en Crear registro.
3. En el campo Servicios, seleccione _telnet en la lista desplegable. En el campo Host que ofrece este
servicio, escriba NYC-SRV2.woodgrovebank.com, haga clic en Aceptar y luego en Realizado.
Tarea 4: Crear dos zonas nuevas basadas en los archivos de zona de Fabrikam y Contoso
1. Use el Explorador de Windows para copiar los archivos Contoso.com.dns y Fabrikam.com.dns de D:\6824
\Allfiles\Mod02\Labfiles a C:\Windows\System32\DNS. Deje abierta la ventana del Explorador de Windows.
2. Use la consola Administrador de DNS para crear una nueva zona principal estándar llamada Contoso.com
usando el archivo existente Contoso.com.dns.
3. Cree una nueva zona principal estándar llamada Fabrikam.com usando el archivo existente Fabrikam.com.dns.
Tarea 5: Configurar las zonas de Contoso y Fabrikam de manera tal que sean integradas de Active Directory y asegurarse de que
no se permitan actualizaciones dinámicas.
1. Abra la página de propiedades de Contoso.com.
2. Cambie el tipo de zona de manera tal que se almacene en Servicios de dominio de Active Directory.
3. Regrese a la ventana del Explorador de Windows. Observe que el archivo de zona Contoso.com.dns ya no
se encuentra en la carpeta DNS. Ahora está almacenado en Servicios de dominio de Active Directory.
4. Regrese a la página de propiedades de la zona Woodgrovebank.com y configure las Actualizaciones
dinámicas en Ninguna.
5. Repita los pasos 1 a 4 para la zona Fabrikam.com.
Tarea 6: Configurar el ámbito de replicación de la zona Contoso de manera tal que abarque todo el bosque, y la zona Fabrikam para
que abarque todo el dominio
1. Abra la página de propiedades de Contoso.com.
2. Cambie el ámbito de replicación de manera tal que sea Para todos los servidores DNS en este bosque.
3. Abra la página de propiedades de Fabrikam.com.
4. Asegúrese de que la configuración del ámbito de replicación de la zona Fabrikam sea Para todos los
servidores DNS en este dominio.
Tarea 7: Usar ADSI Edit.exe para ver zonas DNS integradas de Active Directory
1. Desde el comando Ejecutar, inicie adsiedit.msc.
2. Haga clic con el botón secundario en Editor ADSI y luego en Conectar a….
3. En la sección Punto de conexión, haga clic en Seleccione o escriba un nombre distintivo o un contexto
de nomenclatura.
4. Escriba DC=DomainDNSZones,DC=WoodgroveBank,DC=Com y haga clic en Aceptar.
5. Expanda el contexto de nomenclatura, expanda CN=MicrosoftDNS, haga clic en DC=Woodgrovebank.com y
luego examine los registros.
6. Haga doble clic en el registro de NYC-DC1.
7. Cierre todas las páginas de propiedades y la consola de Administración ADSI.
Resultado: Al final de este ejercicio, habrá creado zonas DNS integradas de Active Directory
Ejercicio 1: Respuestas claves (pasos detallados)
Ejercicio 2: Configuración de zonas DNS de sólo lectura
Ejercicio 2: Configuración de zonas DNS de sólo lectura
En este laboratorio, configurará una zona DNS de sólo lectura en un RODC y comprobará actualizaciones dinámicas y
administrativas.
Las principales tareas consisten en configurar zonas DNS de sólo lectura en el RODC que sean compatibles con
Fabrikam.
Las principales tareas se realizarán como se detalla a continuación:
1. Iniciar el controlador de dominio de sólo lectura e iniciar la sesión como Administrador.
2. Instalar el servicio de Servidor DNS
3. Configurar el servidor DNS para que sea compatible con la totalidad de las zonas de todo el dominio y de todo
el bosque.
4. Cerrar todas las máquinas virtuales y descartar todos los cambios.
Tarea 1: Iniciar el controlador de dominio de sólo lectura e iniciar la sesión como Administrador
Inicie el controlador de dominio de sólo lectura e inicie la sesión como Administrador con la contraseña
Pa$$w0rd.
Tarea 2: Instalar el servicio de Servidor DNS
Use Start /w ocsetup DNS-Server-Core-Role para instalar la función del servidor DNS.
Nota: El nombre de la función del servidor distingue mayúsculas de minúsculas.
Tarea 3: Configurar el servidor DNS para que sea compatible con la totalidad de las zonas de todo el dominio y de todo el bosque.
1. Desde el Símbolo del sistema, escriba el siguiente comando:Dnscmd /enlistdirectorypartition
DomainDnsZones.woodgrovebank.com
2. A continuación escriba el siguiente comando:Dnscmd /enlistdirectorypartition
ForestDnsZones.woodgrovebank.com
3. Cambie a NYC-DC1 y luego abra la consola de administración DNS.
4. Agregue el equipo MIA-RODC a la consola DNS y asegúrese de que aparezcan todas las zonas DNS.
Nota: El nombre de la función del servidor distingue mayúsculas de minúsculas.
Tarea 4: Cerrar todas las máquinas virtuales y descartar los cambios
Resultado: Al finalizar este ejercicio, habrá configurado el servidor DNS de manera tal que sea compatible con la
totalidad de las zonas de todo el dominio y de todo el bosque.
Ejercicio 2: Respuestas claves (pasos detallados)
Revision del laboratorio
Revisión del laboratorio
Preguntas de revisión
1. ¿Cómo determina el equipo de un cliente en qué sitio se encuentra?
2. Enumere al menos tres beneficios de las zonas integradas de Active Directory.
3. En el siguiente ejemplo de dos registros de recursos SRV: ¿Qué registro usará un cliente que consulta sobre
un servicio SIP?
_sip._tcp.example.com. 86400 IN SRV 10 60 5060 Lcs1.contoso.com.
_sip._tcp.example.com. 86400 IN SRV 50 20 5060 Lcs2.contoso.com.
4. ¿Qué permisos se necesitan para crear particiones del directorio de aplicaciones DNS?
5. ¿Qué utilidades están disponibles para crear particiones de aplicación?
6. ¿Cuál es el estado predeterminado de las actualizaciones dinámicas de una zona integrada de Active
Directory?
7. ¿Cuál es el estado predeterminado de las actualizaciones dinámicas de una zona principal estándar?
8. ¿Qué grupos tienen permiso para realizar actualizaciones dinámicas?
Observaciones
Al configurar la integración AD DS y DNS, recuerde que:
Dado que tanto los clientes de Windows Server 2008 como de Active Directory dependen de DNS, el primer
paso para la solución de problemas de Active Directory suele ser solucionar los problemas de DNS.
Los registros de localizadores de servicios son críticos para el correcto funcionamiento de Active Directory.
Los registros de localizadores de servicios deben estar disponibles en todo momento.
Windows Server 2008 puede operar con cualquier servidor DNS compatible; pero las zonas integradas de
Active Directory brindan características y seguridad adicional.
Las zonas integradas de Active Directory pueden replicarse a todo el bosque o todo el dominio, o a
controladores de dominio específicos a través de particiones de aplicación personalizadas.
Los registros DNS internos deben ser independientes de los registros DNS públicos.
Las actualizaciones dinámicas aligeran la sobrecarga administrativa que implica el mantenimiento de la base de
datos de la zona DNS.
Las actualizaciones dinámicas pueden ser exclusivas de Usuarios autenticados.
La carga de zonas de segundo plano reduce el tiempo de demora de los servidores DNS en estar disponibles
tras un reinicio.
Se pueden usar DNS de sólo lectura junto con controladores de dominio de sólo lectura para brindar seguridad
sin dejar de ofrecer las funciones solicitadas por el cliente.
Modulo 3 : Configuración de objetos y confianzas de Active Directory
Módulo 3
Configuración de objetos y confianzas de Active Directory
Luego de la implementación inicial de Servicios de dominio de Active Directory® (AD DS), las tareas más frecuentes
que realiza un administrador de AD DS son la configuración y la administración de los objetos de AD DS. En la mayoría
de las organizaciones, cada empleado recibe una cuenta de usuario que será agregada a uno o varios grupos en los
AD DS. Las cuentas de usuario y de grupo permiten el acceso a los recursos de red basados en Windows Server,
tales como los sitios web, los buzones de correo y las carpetas compartidas.
Este módulo describe el modo de realizar varias de estas tareas administrativas y las opciones disponibles para
delegarlas o automatizarlas. Además, este módulo describe cómo configurar y administrar las confianzas de Active
Directory.
Lección 1: Configuración de los objetos de Active Directory
Lección 2: Estrategias para el uso de grupos
Lección 3: Automatización de la administración de objetos de AD DS
Laboratorio A: Configuración de objetos de Active Directory
Lección 4: Delegación del acceso administrativo a los objetos de AD DS
Lección 5: Configuración de las confianzas de AD DS
Laboratorio B: Configuración de la delegación y las confianzas de Active Directory
Leccion 1: Configuración de los objetos de Active Directory
Lección 1:
Configuración de objetos de Active Directory
Luego de la implementación inicial de Servicios de dominio de Active Directory® (AD DS), las tareas más frecuentes
que realiza un administrador de AD DS son la configuración y la administración de los objetos de AD DS. En la mayoría
de las organizaciones, cada empleado recibe una cuenta de usuario que será agregada a uno o varios grupos en los
AD DS. Las cuentas de usuario y de grupo permiten el acceso a los recursos de red basados en Windows Server,
tales como los sitios web, los buzones de correo y las carpetas compartidas.
Este módulo describe el modo de realizar varias de estas tareas administrativas y las opciones disponibles para
delegarlas o automatizarlas. Además, este módulo describe cómo configurar y administrar las confianzas de Active
Directory.
Tipos de objetos de AD DS
Tipos de objetos de AD DS
Puntos clave
Es posible crear varios objetos diferentes en Active Directory.
Material de lectura adicional
Ayuda para usuarios y equipos de Active Directory
Demostración: Configuración de las cuentas de usuario de AD DS
Demostración: Configuración de las cuentas de usuario de AD DS
Preguntas:
¿Cómo pueden crearse varios objetos de usuario con la misma configuración para atributos tales como Departamento
y Ubicación de la oficina?
¿En qué circunstancias es conveniente deshabilitar una cuenta de usuario en lugar de eliminarla?
Tipos de grupo de AD DS
Tipos de grupo de AD DS
Puntos clave
AD DS es compatible con dos tipos de grupo.
Material de lectura adicional
Ayuda para usuarios y equipos de Active Directory
Ámbitos de grupo de AD DS
Ámbitos de grupo de AD DS
Puntos clave
Windows Server 2008 es compatible con los ámbitos de grupo que se muestran en la diapositiva.
Material de lectura adicional
Ayuda para usuarios y equipos de Active Directory: Administración de grupos
Grupos predeterminados de AD DS
Grupos predeterminados de AD DS
Puntos clave
Windows Server 2008 brinda numerosos grupos integrados que se crean automáticamente al instalar un dominio de
Active Directory. Los grupos integrados pueden usarse para administrar el acceso a los recursos compartidos y para
delegar las funciones administrativas específicas de Active Directory. Por ejemplo, es posible colocar la cuenta de
usuario de un administrador de AD DS en un grupo de Operadores de cuenta a fin de que el administrador pueda crear
cuentas y grupos de usuario.
Material de lectura adicional
Grupos predeterminados de Microsoft Technet
Identidades especiales de AD DS
Identidades especiales de AD DS
Puntos clave
Los servidores con Windows Server 2008 incluyen varias identidades especiales, conocidas generalmente como
grupos especiales o identidades especiales. Estas identidades se presentan de modo adicional a los grupos en los
contenedores de usuarios e integrados.
Material de lectura adicional
Artículo de Microsoft Technet: Identidades especiales de los archivos
Discusión: Uso de identidades especiales y grupos predeterminados
Discusión: Uso de identidades especiales y grupos predeterminados
Escenario
Woodgrove ve Bank posee más de 100 servidores alrededor del mundo. Es necesario determinar si se pueden usar
grupos predeterminados o si se pueden crear grupos y luego asignar derechos o permisos específicos de usuario a
los grupos para realizar las siguientes Tareas administrativas.
Se pueden asignar grupos predeterminados, identidades especiales o crear nuevos grupos para las siguientes tareas.
Escriba el nombre del grupo predeterminado que posea los derechos de usuario más restrictivos a fin de realizar las
siguientes acciones o determinar si puede crearse un nuevo grupo:
1. Hacer una copia de seguridad y restaurar los controladores de dominio
2. Hacer una copia de seguridad de los archivos de los servidores miembro, sin restaurarlos
3. Crear grupos en la unidad organizativa Ventas
4. Conceder el acceso a una carpeta compartida a la que todos los empleados del Woodgrove Bank deben tener
acceso. Los empleados se encuentran en dos dominios diferentes en el mismo bosque
5. Conceder permisos administrativos a un usuario que ha iniciado sesión en un equipo cliente sin garantizar el
acceso a los demás equipos. Los permisos deben aplicarse a todos los usuarios que inicien sesión en un
equipo cliente en la organización
6. Brindar acceso a los empleados de soporte técnico para controlar el escritorio de manera remota
7. Brindar acceso administrativo a todos los equipos en el dominio completo
8. Brindar acceso a una carpeta compartida denominada Datos en un servidor denominado DEN-SRV1
9. Administrar la cola de impresión de una impresora determinada del servidor de impresión
10. Establecer la configuración de red en un servidor miembro
Demostración: Configuración de las cuentas de grupo de AD DS
Demostración: Configuración de las cuentas de grupo de AD DS
Preguntas:
¿Cuáles son las opciones disponibles para cambiar el ámbito y el tipo de un grupo de AD DS?
¿Cuáles son los beneficios de asignar administradores de grupo? ¿Establecería esta configuración en su
organización?
Material de lectura adicional
Ayuda para usuarios y equipos de Active Directory: Administración de grupos
Demostración: Configuración de objetos adicionales de AD DS
Demostración: Configuración de objetos adicionales de AD DS
Preguntas:
¿Cuáles son las razones para crear unidades organizativas?
¿Cuáles son los beneficios y limitaciones de usar objetos de la impresora y objetos de la carpeta compartida en AD
DS?
Material de lectura adicional
Ayuda para usuarios y equipos de Active Directory
Lección 2: Estrategias para el uso de grupos
Lección 2:
Estrategias para el uso de grupos
Los grupos de AD DS se usan para simplificar la administración de AD DS al asignar acceso a los recursos. En lugar
de asignar acceso a los recursos usando las cuentas de usuario, resulta más eficaz agregar usuarios a los grupos y
luego asignar acceso a los grupos. Sin embargo, debido a la gran variedad de opciones de grupo y opciones de
implementación de AD DS, es posible usar diversas estrategias para configurar grupos.
Opciones para asignar acceso a los recursos
Opciones para asignar acceso a los recursos
Puntos clave
Una de las razones principales para crear usuarios y grupos en AD DS es que los usuarios obtengan acceso a los
recursos compartidos, tales como las carpetas compartidas, los sitios de Windows SharePoint® Services u otras
aplicaciones.
Material de lectura adicional
Artículo de Microsoft Technet: Selecting a Resource Authorization Method (Seleccionar un Método de
autorización de
Usar grupos de cuentas para asignar acceso a los recursos
Usar grupos de cuentas para asignar acceso a los recursos
Puntos clave
Al usar grupos de cuentas solamente para asignar acceso a los recursos, primero deben agregarse todas las cuentas
de usuario a los grupos y luego, asignar al grupo un conjunto de permisos de acceso. Por ejemplo, un administrador
puede colocar todas las cuentas de usuarios contables en un grupo global denominado /GG-Todos los contadores y
luego, asignarle a este grupo permisos de acceso a un recurso compartido. En un entorno de dominio único, es
posible usar grupos de dominio locales, globales o universales para asignar acceso a los recursos.
Material de lectura adicional
Artículo de Microsoft Technet: AG/ACL Method (Método AG/ACL)
Discusión: Uso de grupos en un entorno de dominio único y de dominios
múltiples
Discusión: Uso de grupos en un entorno de dominio único y de dominios múltiples
Lea los escenarios y realice un plan para configurar los grupos y asignar acceso a los recursos en cada escenario.
Ejemplo 1
Contoso, Ltd posee un dominio único que se encuentra en París, Francia. Los gerentes de Contoso, Ltd necesitan
obtener acceso a la base de datos Inventario para realizar su trabajo.
Pregunta: ¿Cómo se puede garantizar el acceso de los gerentes a la base de datos Inventario?
Ejemplo 2
Contoso, Ltd determinó que todo el personal de la división Contabilidad debe tener acceso total a los datos contables.
Además, los ejecutivos de Contoso, Ltd deben tener la posibilidad de visualizar los datos. Contoso, Ltd desea crear
una estructura de grupo para la división Contabilidad en su totalidad, que también abarque los departamentos Cuentas
por pagar y Cuentas por cobrar.
Pregunta: ¿Cómo se puede garantizar el acceso requerido a los gerentes y que haya un mínimo de administración?
Ejemplo 3
Contoso, Ltd se expandió para incluir operaciones en América del Sur y Asia y actualmente posee tres dominios: el
dominio Contoso.com, el dominio Asia.contoso.com y el dominio SA.contoso.com. Es necesario garantizar el acceso,
mediante todos los dominios, de los administradores de TI a la carpeta compartida Herramientas_Admin el dominio
Contoso. Además, es necesario asegurar el acceso de los administradores de TI a otros recursos en el futuro.
Pregunta: ¿Cómo puede lograrse el resultado deseado con el menor esfuerzo administrativo posible?
Discusión: Uso de grupos en un entorno de dominio único y de dominios
múltiples
Discusión: Uso de grupos en un entorno de dominio único y de dominios múltiples
Lea los escenarios y realice un plan para configurar los grupos y asignar acceso a los recursos en cada escenario.
Ejemplo 1
Contoso, Ltd posee un dominio único que se encuentra en París, Francia. Los gerentes de Contoso, Ltd necesitan
obtener acceso a la base de datos Inventario para realizar su trabajo.
Pregunta: ¿Cómo se puede garantizar el acceso de los gerentes a la base de datos Inventario?
Ejemplo 2
Contoso, Ltd determinó que todo el personal de la división Contabilidad debe tener acceso total a los datos contables.
Además, los ejecutivos de Contoso, Ltd deben tener la posibilidad de visualizar los datos. Contoso, Ltd desea crear
una estructura de grupo para la división Contabilidad en su totalidad, que también abarque los departamentos Cuentas
por pagar y Cuentas por cobrar.
Pregunta: ¿Cómo se puede garantizar el acceso requerido a los gerentes y que haya un mínimo de administración?
Ejemplo 3
Contoso, Ltd se expandió para incluir operaciones en América del Sur y Asia y actualmente posee tres dominios: el
dominio Contoso.com, el dominio Asia.contoso.com y el dominio SA.contoso.com. Es necesario garantizar el acceso,
mediante todos los dominios, de los administradores de TI a la carpeta compartida Herramientas_Admin el dominio
Contoso. Además, es necesario asegurar el acceso de los administradores de TI a otros recursos en el futuro.
Pregunta: ¿Cómo puede lograrse el resultado deseado con el menor esfuerzo administrativo posible?
Lección 3: Automatización de la administración de objetos de AD DS
Lección 3:
Automatización de la administración de objetos de AD DS
En la mayoría de los casos, es posible crear y configurar los objetos de AD DS por separado. Sin embargo, en
algunos casos, quizá sea necesario crear o modificar la configuración de varios objetos simultáneamente. Por ejemplo,
si la organización contrata a un grupo numeroso de nuevos empleados, es posible que desee automatizar el proceso
de configuración de las cuentas nuevas. Si su organización cambia de ubicación, es posible que desee automatizar la
tarea de asignar nuevas direcciones y números telefónicos a todos los usuarios. Esta lección describe cómo
administrar varios objetos de AD DS.
Herramientas para automatizar la administración de objetos de AD DS
Herramientas para automatizar la administración de objetos de AD DS
Puntos clave
Windows Server 2008 ofrece herramientas que pueden usarse para crear o modificar múltiples cuentas de usuario de
manera automática en AD DS. Algunas de estas herramientas requieren del uso de un archivo de texto que incluye
información acerca de las cuentas de usuario que desean crearse. Además, pueden crearse scripts de Windows®
PowerShell para agregar objetos o realizar cambios en los objetos de Active Directory.
Configuración de objetos de AD DS usando las herramientas de la línea de
comandos
Configuración de objetos de AD DS usando las herramientas de la línea de comandos
Puntos clave
Usar estas herramientas de la línea de comandos para configurar los objetos de AD DS.
Administración de objetos de usuario con LDIFDE
Administración de objetos de usuario con LDIFDE
Puntos clave
Es posible usar la herramienta de la línea de comandos Ldifde para crear y realizar cambios en varias cuentas. Al
aplicar la herramienta Ldifde, se usará un archivo de texto separado por línea para brindar la información de entrada del
comando.
Material de lectura adicional
Artículo de Microsoft Technet: LDIFDE
Administración de objetos de usuario con CSVDE
Administración de objetos de usuario con CSVDE
Puntos clave
Es posible usar la herramienta de la línea de comandos Csvde para crear múltiples cuentas en AD DS; sin embargo,
sólo es posible usar la herramienta Csvde para crear cuentas, no para modificarlas.
Material de lectura adicional
Artículo de Microsoft Technet: CSVDE
¿Qué es Windows Powershell?
¿Qué es Windows Powershell?
Puntos clave
Windows PowerShell es una tecnología de automatización extensible y línea de comandos que los programadores y
los administradores pueden usar para automatizar las tareas en un entorno de Windows. Windows PowerShell usa un
conjunto de pequeños cdmlets que realizan cada uno una tarea específica, aunque también es posible combinarlos en
múltiples cdmlets para realizar tareas administrativas complejas.
Material de lectura adicional
Soporte técnico de Microsoft: Windows PowerShell 1.0 Documentation Pack
Cmdlets de Windows PowerShell
Cmdlets de Windows PowerShell
Puntos clave
Aprender a usar Windows PowerShell es fácil gracias a la aplicación de los Cmdlets. La segmentación es consistente
en todos los cmdlets.
Material de lectura adicional
Windows PowerShell 1.0 Documentation Pack
Demostración: Configuración de objetos de Active Directory usando
Windows PowerShell
Demostración: Configuración de objetos de Active Directory usando Windows PowerShell
Preguntas:
¿Cuáles son las ventajas y desventajas de modificar los objetos de Active Directory usando los scripts de Windows
PowerShell?
¿De qué manera puede hacerse frente a las desventajas?
Material de lectura adicional
Blog de Windows PowerShell
Artículo de Microsoft Technet: Automatizacion con Windows PowerShell
Laboratorio A: Configuración de objetos de Active Directory
Laboratorio A: Configuración de objetos de Active Directory
Escenario
Woodgrove Bank cuenta con varios requisitos para administrar los objetos de Active Directory. Con frecuencia, la
organización contrata a internos que deben contar con permisos limitados y cuyas cuentas deben expirar
automáticamente cuando el internado haya finalizado. Las cuentas de usuario deben establecerse con una
configuración estándar que incluya valores como la configuración del perfil de usuario y las unidades asignadas para
sus carpetas particulares. La organización, además, requiere grupos de AD DS que serán usados para asignar
permisos a una gran variedad de recursos de red. La organización desearía automatizar las tareas de administración
de usuario y de grupo tanto como sea posible.
Ejercicio 1: Configuración de objetos de AD DS
Ejercicio 1: Configuración de objetos de AD DS
En este ejercicio, se instalarán las herramientas de administración de Active Directory en un equipo con Windows
Vista®. Luego, estas herramientas serán usadas para configurar diversos objetos de AD DS en base a la información
que brinde el departamento de Recursos Humanos (RR.HH.). Estas tareas incluyen la creación de nuevas cuentas de
usuario y la modificación de cuentas de usuario ya existentes.
El departamento de RR.HH. ha solicitado los siguientes cambios en AD DS:
Crear nuevas cuentas de usuario para Kerim Hanif y Jun Cao. Las dos cuentas de usuario deben crearse en la
unidad organizativa Admin. TI.
Modificar la cuenta de usuario de Dana Birkby.
Las principales tareas se realizarán como se detalla a continuación:
1. Iniciar las máquinas virtuales y luego iniciar sesión.
2. Crear nuevas cuentas de usuario.
3. Modificar las cuentas de usuario existentes
Tarea 1: Iniciar las máquinas virtuales y luego iniciar sesión
1. En la máquina host, haga clic en Inicio, diríjase a Todos los programas, seleccione Microsoft Learning y
luego, haga clic en 6824A. Se inicia Iniciador de laboratorio.
2. En Iniciador de laboratorio, junto a 6824A-NYC-DC1, haga clic en Iniciar.
3. En Iniciador de laboratorio, junto a 6824A-NYC-CL1, haga clic en Iniciar.
4. Inicie sesión en NYC- DC1 como Administrador, usando la contraseña Pa$$w0rd.
5. Inicie sesión en NYC- CL1 como Administrador, usando la contraseña Pa$$w0rd.
6. Minimice la ventana Iniciador de laboratorio. Encienda 6824A-NYC-DC1 y luego, inicie sesión como
Administrador usando la contraseña Pa$$w0rd.
Tarea 2: Crear nuevas cuentas de usuario
1. En NYC-DC1, abra Usuarios y equipos de Active Directory.
2. En la unidad organizativa AdminsTI, cree un nuevo usuario con los siguientes parámetros:
Nombre: Kerim
Apellido: Hanif
Nombre completo: Kerim Hanif
Nombre de inicio de sesión de usuario: Kerim
Contraseña: Pa$$w0rd
Desactive la casilla El usuario debe cambiar la contraseña al iniciar una sesión de nuevo
3. En NYC-DC1, use la herramienta de la línea de comandos Dsadd para crear una nueva cuenta de usuario a Jun
Cao. La sintaxis del comando dsadd es:
dsadd user "cn=Jun Cao,ou=adminsti,dc=WoodgroveBank,dc=com" -samid Jun -pwd Pa$$w0rd –desc
Administrador
Tarea 3: Modificar las cuentas de usuario existentes
1. En NYC-DC1, cree una nueva carpeta en la unidad D llamada HomeDirs. Comparta la carpeta y luego,
configure los Usuarios del dominio con los permisos del Colaborador.
2. En la carpeta HomeDirs, cree una nueva carpeta llamada Marketing.
3. En Usuarios y equipos de Active Directory, busque la cuenta de Dana Birkby y luego, modifique las
propiedades de usuario de la siguiente manera:
1. En la ficha General, configure:
Número de teléfono: 555-555-0100
Oficina: Casa matriz
Correo electrónico: [email protected]
2. En la ficha Marcado, configure:
Permiso de acceso a redes: Permitir Acceso
3. En la ficha Cuenta, configure:
Horas de inicio de sesión: Configure las horas de inicio de sesión permitidas entre las 8 a.m. y las 5 p.m. y
luego, haga clic en Aceptar.
4. En la ficha Perfil, configure:
Carpeta particular: Asigne la unidad H a:
\\NYC- DC1\HomeDirs\Marketing\%username%
4. En el Explorador de Windows, diríjase a D:\HomeDirs\Marketing. Asegúrese de que se haya creado una
carpeta denominada Dana en la carpeta.
5. En NYC-CL1, cierre sesión y luego inicie sesión como Dana usando la contraseña Pa$$w0rd. Confirme que la
unidad H: ha sido correctamente asignada y que Dana tiene permiso para crear archivos en su carpeta
particular.
Resultado: Al finalizar este ejercicio, habrá configurado los objetos de Active Directory.
Ejercicio 1: Respuestas claves (pasos detallados)
Ejercicio 2: Implementación de una estrategia de grupo de AD DS
Ejercicio 2: Implementación de una estrategia de grupo de AD DS
En este ejercicio, se revisarán los requisitos para la creación de grupos en Woodgrove Bank. Además, podrá crear los
grupos solicitados y configurar la anidación de grupo.
Las principales tareas se realizarán como se detalla a continuación:
1. Encienda la máquina virtual 6824A-LON-DC1 y luego inicie sesión como Administrador.
2. Revise la documentación de requisitos del grupo y cree una estrategia de implementación grupal.
3. Analice la estrategia de implementación grupal.
4. Cree los grupos necesarios para la estrategia de implementación grupal.
5. Anide los grupos necesarios para la estrategia de implementación grupal.
6. Cierre 6824A-LON-DC2 y elimine todos los cambios.
Tarea 1: Iniciar la máquina virtual 6824A-LON-DC1 y luego, iniciar sesión como Administrador
1. En Iniciador de laboratorio, junto a 6824A-LON-DC1, haga clic en Iniciar.
2. Inicie sesión en LON- DC1 como Administrador usando la contraseña Pa$$w0rd.
3. Minimice la ventana Iniciador de laboratorio.
Tarea 2: Revisar la documentación de requisitos del grupo y crear una estrategia de implementación grupal
Woodgrove Bank debe configurar el acceso a las carpetas compartidas para los ejecutivos de la organización. La
organización implementó una carpeta compartida en NYC-DC1 llamada DatosEjec. La siguiente tabla enumera las
carpetas incluidas en la carpeta DatosEjec y sus finalidades:
Carpeta
Contenido
DatosEjec
\Casamatriz
\Sucursal
\Corp
DatosEjec\InformesdelaOficinaCentral Incluye información confidencial relacionada con las
operaciones de la oficina central y el personal. Los
ejecutivos de la oficina central y de las sucursales NYC
deben poder obtener e ingresar información en esta
carpeta.
DatosEjec\InformesdeSucursal
Incluye información confidencial relacionada con las
operaciones de las sucursales y el personal. Se ha
creado una carpeta exclusiva para cada sucursal. Los
ejecutivos de la oficina central deben tener acceso de
lectura a todas las carpetas de las sucursales. Los
gerentes de las sucursales deben tener acceso total a
todas las carpetas de su sucursal.
DatosEjec\Corp
Contiene información relacionada con las operaciones de
Woodgrove Bank. Todos los ejecutivos y gerentes de
sucursales deben ejercer control total sobre los archivos
Carpeta
Contenido
de esta carpeta.
El equipo ejecutivo de Woodgrove Bank se distribuye de la siguiente manera:
Los ejecutivos pueden encontrarse en cualquier lugar. Los ejecutivos se encuentran en América del Norte,
Europa y Asia.
Cada sucursal cuenta con uno o varios gerentes de sucursal. Las sucursales se encuentran en Miami, Nueva
York, Toronto, Londres y Tokio.
El grupo de planeación de AD DS ha establecido el siguiente esquema de nomenclaturas para los grupos de AD DS:
Código de ubicación de tres caracteres: NYC, TOR, MIA, LON y TOK
Para los grupos que contienen cuentas de varios dominios, utilice el código de ubicación WGB.
Para los grupos que no cuentan con una ubicación específica, incluya el nombre de dominio en el nombre del
grupo.
Para los grupos de cuentas, use el nombre del departamento: Gerentes de sucursal, Ejecutivos. A continuación
se colocará el tipo de grupo: GG, UG.
Para los grupos de recursos, use el nombre del recurso: EJ_CMInformes, EJ_LON_InformesSucursal,
EJ_Corp. A continuación se incluye el nivel de acceso: FC, RO.
1. Determine qué grupos globales desea crear:
Determine la agrupación lógica de los usuarios de la organización. No tenga en cuenta los permisos que
requieren los usuarios, solamente los grupos de usuarios.
Establezca un nombre de grupo para cada grupo de usuarios. Anote sus decisiones en la tabla de
Planeamiento de grupo global que se muestra a continuación.
2. Determine qué grupos locales desea crear:
Determine qué permisos se necesitan en cada recurso. No tenga en cuenta quién solicita el permiso, solamente
considere el permiso en sí.
Establezca un nombre de grupo para cada tipo de permiso. Anote sus decisiones en la tabla de Planeamiento
de grupo local que se muestra a continuación.
3. Determine qué grupos necesita anidar. Registre la configuración de anidación de grupos en la tabla de
Planeamiento de Anidación de grupos que aparece a continuación.
4. Determine cómo desearía configurar los permisos de nivel de recursos compartidos en la carpeta DatosEjec.
Tabla de Planeamiento del grupo global
Grupo organizativo
Nombre del grupo
Tabla de Planeación de grupo local
Recurso
Requisitos de acceso
Nombres de grupo
Recurso
Requisitos de acceso
Nombres de grupo
DatosEjec\InformesCasaMatriz
DatosEjec\InformesSucursal\NYC
DatosEjec\InformesSucursal\Toronto
DatosEjec\InformesSucursal\Miami
DatosEjec\InformesSucursal\London
DatosEjec\InformesSucursal\Tokyo
DatosEjec\Corp
Tabla de Planeamiento de anidación de grupos
Nombre del grupo local de dominio
Grupos anidados
Tarea 3: Analizar la estrategia de implementación grupal
Tarea 4: Crear los grupos necesarios para la estrategia de implementación grupal
Nota: Para simplificar el proceso de implementación, es posible que algunos de los grupos requeridos ya
hayan sido creados. Además, se han configurado los grupos requeridos únicamente para
WoodgroveBank.com y EM EA.WoodgroveBank.com.
1. En NYC-DC1, desde Usuarios y equipos de Active Directory, compruebe que se hayan creado todos los
grupos globales requeridos para la asignación de permisos.
2. En LON-DC1, desde Usuarios y equipos de Active Directory, compruebe que se hayan creado todos los
grupos globales requeridos para la asignación de permisos.
3. En NYC-DC1, cree los grupos universales requeridos en base a la estrategia de implementación grupal. Cree
los grupos universales desde la unidad organizativa Ejecutivos.
4. Cree los grupos locales de dominio requeridos en base a la estrategia de implementación grupal.
Tarea 5: Anidar los grupos necesarios para la estrategia de implementación grupal
En NYC-DC1, anide los grupos requeridos para cumplir con la estrategia de implementación grupal.
Tarea 6: Cerrar 6824A-LON-DC1 y eliminar todos los cambios
1. Cierre la ventana Control remoto para máquina virtual 6824A-LON-DC1.
2. En el cuadro Close, seleccione Cerrar el equipo y descartar los cambios. Haga clic en Aceptar.
Resultado: Al finalizar este ejercicio, habrá implementado una estrategia de implementación grupal.
Ejercicio 2: Respuestas claves (pasos detallados)
Ejercicio 3: Automatización de la Administración de los objetos de AD DS
Ejercicio 3: Automatización de la Administración de los objetos de AD DS
Woodgrove Bank abrirá una nueva sucursal en Houston. El departamento de RR.HH. le
brinda un archivo que contiene a todos los nuevos usuarios que han sido contratados para la
sucursal de Houston. Es necesario importar las cuentas de usuarios a AD DS y luego, activar
y asignar contraseñas a todas las cuentas.
Además, es necesario modificar las propiedades de usuario para los usuarios de Houston
actualizando la información de la ciudad.
Woodgrove Bank también planea inaugurar un departamento de Investigación y Desarrollo
en la ciudad de Nueva York (NYC). Se necesita crear una nueva unidad organizativa para el
departamento de Investigación y Desarrollo (R&D) en el dominio de Woodgrove Bank e
importar y configurar las nuevas cuentas de usuario en AD DS.
Las principales tareas se realizarán como se detalla a continuación:
1. Modifique y use el archivo ImportarUsuarios.csv para importar un grupo de usuarios a
AD DS.
2. Modifique y ejecute el script ActivarUsuarios.vbs para activar las cuentas de usuario
importadas y asignar una contraseña para cada cuenta.
3. Modifique y use el archivo ModificarUsuarios.ldf para prepararse para modificar las
propiedades de un grupo de usuarios en AD DS.
4. Modifique y ejecute el script CrearUsuarios.ps1 para agregar nuevos usuarios en AD
DS.
Tarea 1: Modificar y usar el archivo ImportarUsuarios.csv para importar un grupo de
usuarios a AD DS
1. En NYC-DC1, vaya hasta D:\6824\Allfiles\Mod03\Labfiles y abra ImportUsers.csv
usando el bloc de notas. Analice la información del encabezado requerida para crear
unidades organizativas y cuentas de usuario.
2. Copie y pegue el contenido del archivo ImportUsers.txt en el archivo
ImportarUsuarios.csv, comenzando desde la segunda línea. Guarde el archivo como
C:\importar.csv.
3. En el símbolo del sistema, escriba CSVDE –I –F C:\importar.csv y luego presione
ENTRAR.
4. En Usuarios y equipos de Active Directory, compruebe que se haya creado la
unidad organizativa de Houston y cinco unidades organizativas secundarias, además
de que se hayan creado varias cuentas de usuario en cada unidad organizativa.
Tarea 2: Modificar y ejecutar el script ActivarUsuario.vbs para activar las cuentas de
usuario importadas y asignar una contraseña para cada cuenta
1. En NYC-DC1, diríjase a D:\Mod03\6824\Labfiles y edite Activateusers.vbs.
2. Modifique el valor del contenedor en la segunda línea de la siguiente manera:
OU=BranchManagers, OU =Houston,DC=WoodgroveBank,DC=com.
3. Modifique los valores del contenedor en las líneas adicionales al final del script para
incluir las siguientes unidades organizativas y luego, guarde el archivo:
OU= CustomerService, OU =Houston,DC=WoodgroveBank,DC=com
OU = Executives, OU =Houston,DC=WoodgroveBank,DC=com
OU = Investments,OU=Houston,DC=WoodgroveBank,DC=com
OU = ITAdmins,OU=Houston,DC=WoodgroveBank,DC=com
4. Guarde el archivo como c:\ActivarUsuarios.vbs y haga doble clic en
c:\ActivarUsuarios.vbs.
5. En Usuarios y equipos de Active Directory, vaya hasta la unidad organizativa
Houston y luego, confirme que estén activadas las cuentas de usuario en todas las
unidades organizativas secundarias.
Tarea 3: Modificar y usar el archivo ModificarUsuarios.ldf para prepararse para
modificar las propiedades de un grupo de usuarios en AD DS
1. En NYC-DC1, exporte todas las cuentas de usuario en las unidades organizativas
secundarias de Houston usando LDIFDE –f c:\Modificarusuarios.ldf –d
"OU=Houston,DC=WoodgroveBank,DC=com" –r "objectClass=user" –l
physicalDeliveryOfficeName.
2. Edite el archivo C:\Modificarusuario.ldf.
3. En el menú Editar, use la opción Reemplazar para reemplazar todas las instancias de
changetype: add por changetype: modify.
4. Después de cada línea de tipo de modificación, agregue las siguientes líneas:
replace: physicalDeliveryOfficeName
physicalDeliveryOfficeName: Houston
5. Al final de la entrada para cada usuario, agregue un guión (–) seguido de una línea en
blanco.
6. Guarde el archivo como C:\ Modificarusuarios.ldf.
7. En el símbolo del sistema, escriba ldifde –I –f c:\ Modificarusuarios.ldf y luego
presione ENTRAR.
8. En Usuarios y equipos de Active Directory, compruebe que el atributo Oficina para
las cuentas de usuario en Houston haya sido actualizado con la ubicación de Houston.
Tarea 4: Modificar y ejecutar el script CrearUsuariosMúltiples.ps1 para agregar nuevos
usuarios a AD DS
1. En NYC-DC1, diríjase a D:\6824\Allfiles\Mod03\Labfiles y edite
CreateMultipleUsers.ps1.
2. En dos lugares, modifique ADOUName por R&D.
3. Cambie la Ruta de acceso al archivo CSV a D:\6824\Allfiles\Mod03\Labfiles
\Createusers.csv y luego guarde los cambios en el archivo.
4. Inicie Windows PowerShell y en el símbolo PS, escriba Set-executionPolicy
unrestricted y presione Entrar (para ejecutar un script que no posee firma) y luego
escriba D:\6824\Allfiles\Mod03\Labfiles\Createmultipleusers.ps1, y luego presione
ENTRAR nuevamente.
5. En Usuarios y equipos de Active Directory, compruebe que se haya creado la
unidad organizativa R&D y que dicha unidad haya sido rellenada con cuentas de
usuario que poseen los atributos correctos.
Resultado: Al finalizar este ejercicio, habrá analizado varias opciones para automatizar la administración de objetos
de usuario.
Ejercicio 3: Respuestas claves (pasos detallados)
Lección 4: Delegación del acceso administrativo a los objetos de AD DS
Lección 4:
Delegación del acceso administrativo a los objetos de AD DS
Muchas de las tareas de administración de AD DS son fáciles de realizar, pero pueden volverse bastante repetitivas.
Una de las opciones disponibles en AD DS de Windows Server 2008 es delegar algunas de las tareas administrativas
a otros administradores o usuarios. Al delegar control, se les permite a estos usuarios realizar tareas de administración
específicas de Active Directory sin concederles más permisos que los necesarios.
Permisos de objetos de Active Directory
Permisos de objetos de Active Directory
Puntos clave
Los permisos de objetos de Active Directory brindan seguridad a los recursos permitiéndole controlar qué
administradores o usuarios pueden obtener acceso a objetos individuales o atributos de objetos y, además, permite
controlar el tipo de acceso que poseen. Los permisos se usan para asignar privilegios administrativos para una unidad
organizativa o una jerarquía de unidades organizativas a fin de administrar los objetos de Active Directory.
Preguntas:
¿Cuáles son los riesgos de usar permisos especiales para asignar permisos de AD DS?
¿Qué permisos debería tener un usuario en un objeto si se le concedió permiso de control total y se denegó el acceso
de escritura del usuario?
Material de lectura adicional
Artículo de Microsoft Technet: Control de acceso en Active Directory
Artículo de Microsoft Technet: Asignar, cambiar o eliminar permisos en los objetos o atributos de Active
Directory
Demostración: Herencia de permisos de objetos de Servicios de dominio
de Active Directory
Demostración: Herencia de permisos de objetos de Servicios de dominio de Active Directory
Preguntas:
¿Qué sucedería con los permisos de un objeto si se cambia la posición del objeto de una unidad organizativa a otra y
las unidades organizativas tienen diferentes permisos aplicados?
¿Qué sucedería si se eliminan todos los permisos de una unidad organizativa al bloquear la herencia y no se asignan
permisos nuevos?
Material de lectura adicional
Artículo de Microsoft Technet: Asignar, cambiar o eliminar permisos en los objetos o atributos de Active
Directory
¿Qué son los permisos efectivos?
¿Qué son los permisos efectivos?
Puntos clave
La herramienta Permisos efectivos permite determinar los permisos para un objeto de Active Directory. Esta
herramienta calcula los permisos que se conceden a un usuario o grupo determinado y considera los permisos
vigentes de la pertenencia a grupos y los permisos heredados de los objetos primarios.
Material de lectura adicional
Artículo de Microsoft Technet: Herramienta Permisos efectivos
¿Qué es la delegación de control?
¿Qué es la delegación de control?
Puntos clave
La delegación de control es la capacidad de asignar responsabilidad de administración de los objetos de Active
Directory a otro usuario o grupo.
La administración delegada permite reducir la carga administrativa de manejo de red distribuyendo las tareas
administrativas de rutina a varios usuarios. Usando la administración delegada, es posible asignar tareas administrativas
básicas a usuarios o grupos regulares. Por ejemplo, es posible otorgar a los supervisores el derecho de modificar la
pertenencia a grupos en su departamento.
Al delegar tareas administrativas, se le otorga a los grupos de su organización más control de los recursos de red
local. Además, brinda mayor seguridad a la red frente a daños accidentales o malintencionados limitando la
pertenencia a los grupos de administradores.
Discusión: Escenarios para la delegación de control
Discusión: Escenarios para la delegación de control
Responda las preguntas de la diapositiva con el resto de la clase.
Demostración: Configuración de la delegación de control
Demostración: Configuración de la delegación de control
Lección 5: Configuración de las confianzas de AD DS
Lección 5:
Configuración de confianzas de AD DS
Muchas organizaciones que usan AD DS implementarán solamente un dominio. Sin embargo, las organizaciones de
mayor tamaño o aquellas que deben permitir el acceso a los recursos en otras organizaciones o unidades de negocio
pueden implementar varios dominios en el bosque de Active Directory o en un bosque diferente. Para que los usuarios
puedan obtener acceso a los recursos existentes entre los dominios, se deben configurar los dominios o los bosques
usando confianzas. Esta lección describe cómo configurar y administrar las confianzas en un entorno de Active
Directory.
¿Qué son las confianzas de AD DS?
¿Qué son las confianzas de AD DS?
Puntos clave
Las confianzas permiten que los principios de seguridad desplacen sus credenciales de un dominio a otro y, además,
son necesarias para permitir el acceso a los recursos entre los dominios. Al configurar una confianza entre dominios,
es posible autenticar a un usuario en su dominio y, por tanto, sus credenciales de seguridad podrán usarse para
obtener acceso a los recursos en un dominio diferente.
Opciones de confianza de AD DS
Opciones de confianza de AD DS
Puntos clave
El gráfico de la diapositiva describe las opciones de confianza compatibles con Windows Server 2008
Preguntas:
Si desea configurar una confianza entre un dominio de Windows Server 2008 y un dominio de Windows NT 4.0, ¿qué
tipo de confianza configuraría?
Si desea compartir recursos entre dominios pero no desea configurar una confianza, ¿cómo podría brindar acceso a
los recursos compartidos? Un usuario que se encuentra en un dominio diferente del bosque necesita un permiso para
crear Objetos de directiva de grupo (GPO) en su dominio. ¿Cuál es la mejor manera de lograrlo?
Material de lectura adicional
Ayuda para Dominios y confianzas de Active Directory: Administrar confianzas
Desempeño de las confianzas en un bosque
Desempeño de las confianzas en un bosque
Puntos clave
Al establecer confianzas entre dominios, ya sean dentro del mismo bosque, de un bosque a otro o con un dominio
kerberos externo, la información respecto de estas confianzas se almacena en AD DS para que pueda recuperarla si
resulta necesario. Un objeto de dominio de confianza (TDO) almacena esta información.
Los TDO almacenan información acerca de la confianza, como por ejemplo la transitividad o el tipo de confianza. Cada
vez que se crea una confianza, se crea un nuevo TDO y se lo almacena en el contenedor del Sistema en el dominio de
la confianza.
Material de lectura adicional
Ayuda para Dominios y confianzas de Active Directory: Administrar confianzas
Desempeño de las confianzas entre bosques
Desempeño de las confianzas entre bosques
Puntos clave
Windows Server 2008 es compatible con confianzas entre bosques, lo que permite a los usuarios de un bosque
obtener acceso a los recursos de otro bosque. Cuando un usuario intenta obtener acceso a un recurso de un bosque
de confianza, AD DS primero debe encontrar el recurso. Una vez que lo hizo, el usuario será autenticado y se le
garantizará el acceso al recurso.
Material de lectura adicional
Artículo de Microsoft Technet: Desempeño de dominios y bosques
Demostración: Configuración de confianzas
Demostración: Configuración de confianzas
Preguntas:
¿Cuál es la diferencia entre una confianza de acceso directo y una confianza externa?
Al configurar una confianza de bosque, ¿qué información deberá estar disponible en DNS para que funcione la
confianza?
Material de lectura adicional
Ayuda para Dominios y confianzas de Active Directory: Crear una confianza de acceso directo, Crear una
confianza externa, Crear una confianza de bosque
¿Qué es el Nombre principal de usuario?
¿Qué es el Nombre principal de usuario?
Puntos clave
El nombre principal de usuario (UPN) es un nombre de inicio de sesión que se usa únicamente para iniciar sesión en la
red de Windows Server 2008. El UPN consta de dos partes separadas por el símbolo @, como por ejemplo,
[email protected].
El prefijo del nombre principal de usuario, que en el ejemplo es suzan.
El sufijo del nombre principal de usuario, que en el ejemplo es WoodgroveBank.com.
De manera predeterminada, el sufijo es el nombre de dominio en el que se creó la cuenta de usuario. Es posible usar
otros dominios en la red o sufijos adicionales que haya creado para configurar otros sufijos para usuarios. Por ejemplo,
es posible configurar un sufijo para crear nombres de inicio de sesión de usuario que coincidan con las direcciones de
correo electrónico de los usuarios.
Material de lectura adicional
Artículo de Microsoft Technet: Nomenclatura de Active Directory
¿Qué es la configuración de Autenticación selectiva?
¿Qué es la configuración de Autenticación selectiva?
Puntos clave
Otra opción para restringir la autenticación entre confianzas en un bosque de Windows Server 2008 es la autenticación
selectiva. Al usar la autenticación selectiva, es posible limitar el número de equipos de su bosque a los que pueden
obtener acceso otros usuarios del bosque.
Material de lectura adicional
Artículo de Microsoft Technet: Enable selective authorization over a forest trust (Habilitar la autenticación
selectiva en una confianza de bosque)
Artículo de Microsoft Technet: Conceder el Permiso para autenticarse en los equipos del dominio o bosque de
confianza
Demostración: Establecer la configuración avanzada de confianzas
Demostración: Establecer la configuración avanzada de confianzas
Puntos clave
Otra opción para restringir la autenticación entre confianzas en un bosque de Windows Server 2008 es la autenticación
selectiva. Al usar la autenticación selectiva, es posible limitar el número de equipos de su bosque a los que pueden
obtener acceso otros usuarios del bosque.
Preguntas:
¿Qué pasaría si se configura un nuevo sufijo del UPN en un bosque después de que una confianza haya sido
configurada con otro bosque que contiene el mismo sufijo del UPN?
¿En qué situaciones implementaría la autenticación selectiva?
Material de lectura adicional
Artículo de Microsoft Technet: Enable selective authentication over a forest trust (Habilitar la autenticación
selectiva en una confianza de bosque)
Artículo de Microsoft Technet: Conceder el Permiso para autenticarse en los equipos del dominio o bosque de
confianza
Laboratorio B: Configuración de la delegación y las confianzas de Active
Directory
Laboratorio B: Configuración de delegación y confianzas de Active
Directory
Escenario
Para optimizar el tiempo del administrador de AD DS, Woodgrove Bank desearía poder delegar algunas tareas
administrativas a los administradores junior. Se les concederá acceso a estos administradores a fin de que puedan
administrar las cuentas de usuario y de grupo en unidades organizativas diferentes.
Además, Woodgrove Bank se ha asociado con Fabrikam Ltd. Algunos usuarios de las organizaciones deben tener
acceso a los recursos de la otra organización. Sin embargo, el acceso entre las organizaciones debe limitarse a la
menor cantidad de usuarios y servidores posibles.
Ejercicio 1: Delegación de control de objetos de AD DS
Ejercicio 1: Delegación de control de objetos de AD DS
En este ejercicio, se delegará el control de los objetos de AD DS a otros administradores. Además, se podrán
comprobar los permisos de delegación a fin de asegurar que los administradores puedan realizar solamente las
acciones requeridas.
Woodgrove Bank decidió delegar las tareas administrativas a la oficina de Toronto. En esta oficina, los gerentes de la
sucursal deben poder crear y administrar las cuentas de usuario y de grupo. El personal de servicio al cliente debe
poder restablecer las contraseñas de usuario y configurar determinada información del usuario, como por ejemplo el
número de teléfono o la dirección.
Las principales tareas se realizarán como se detalla a continuación:
1. Asigne control total de usuarios y grupos en la unidad organizativa de Toronto.
2. Asigne los derechos para restablecer contraseñas y configurar información personal del usuario en la unidad
organizativa Toronto.
3. Compruebe los permisos efectivos asignados a la unidad organizativa Toronto.
4. Compruebe los permisos delegados a la unidad organizativa Toronto.
Tarea 1: Asignar control total de usuarios y grupos en la unidad organizativa Toronto
1. En NYC-DC1, ejecute el Asistente para delegación de control en la unidad organizativa de Toronto.
2. Asigne el derecho para Crear, eliminar y administrar cuentas de usuarios y para Crear, eliminar y
administrar grupos a Tor_GerentesSucursalGG.
Tarea 2: Asignar los derechos para restablecer contraseñas y configurar información personal del usuario en la unidad organizativa
Toronto
1. En NYC-DC1, ejecute el Asistente para delegación de control en la unidad organizativa Toronto.
2. Asigne el derecho de Restablecer contraseñas de usuario y forzar el cambio de contraseña en el
próximo inicio de sesión al grupo Tor_ AtencionalClienteGG.
3. Vuelva a ejecutar el Asistente para delegación de control. Seleccione la opción para crear una tarea
personalizada.
4. Asigne el permiso de grupo Tor_ AtencionalClienteGG para cambiar la información personal únicamente en
las cuentas de usuario.
Tarea 3: Comprobar los permisos efectivos asignados a la unidad organizativa Toronto
1. En Usuarios y equipos de Active Directory, habilite la visualización de Características avanzadas.
2. Ingrese a la Configuración de seguridad avanzada para la unidad organizativa Toronto.
3. Compruebe los permisos efectivos de Sven Buck. Sven es un miembro del grupo Tor_GerentesSucursalGG.
Compruebe que Sven tenga los permisos para crear o eliminar cuentas de usuario o de grupo.
4. Ingrese a la configuración de seguridad avanzada de Matt Berg, que se encuentra en la unidad organizativa
AtencionalCliente en la unidad organizativa Toronto. Compruebe que Matt tenga los permisos para crear o
eliminar cuentas de usuario o de grupo.
5. Compruebe los permisos efectivos de Helge Hoening. Helge es un miembro del grupo Tor_
AtencionalClienteGG. Compruebe que Helge tenga los permisos para restablecer contraseñas y para ingresar
atributos personales.
Tarea 4: Permitir el inicio de sesión de los Usuarios de dominio en los controladores de dominio
Nota: Este paso se incluye en el laboratorio para permitirle comprobar los permisos delegados. Para obtener
resultados óptimos, debe instalar las herramientas de administración en una estación de trabajo de Windows en lugar
de permitir a los Usuarios de dominio iniciar sesión en los controladores de dominio.
1. En NYC-DC1, inicie Administración de directivas de grupo y luego, edite la Directiva predeterminada de
controladores de dominio.
2. En la ventana Editor de administración de directivas de grupo, ingrese en la carpeta Asignación de
derechos de usuario.
3. Haga doble clic en Permitir el inicio de sesión local. En el cuadro de diálogo Propiedades de Permitir el
inicio de sesión local, haga clic en Agregar usuario o grupo.
4. Conceda al grupo de Usuarios del dominio el derecho de iniciar la sesión local.
5. Abra un símbolo del sistema, escriba GPUpdate /force y luego, presione ENTRAR.
Tarea 5: Comprobar los permisos delegados a la unidad organizativa Toronto
1. Inicie sesión en NYC- DC1 como Sven, usando la contraseña Pa$$w0rd.
2. Inicie Usuarios y equipos de Active Directory y compruebe que Sven pueda crear un nuevo usuario en la
unidad organizativa Toronto.
3. Compruebe que Sven pueda crear un nuevo grupo en la unidad organizativa Toronto.
4. Compruebe que Sven no pueda crear un usuario en la unidad organizativa AdminsTI.
5. Cierre sesión en NYC-DC1 y luego, inicie sesión como Helge usando la contraseña Pa$$w0rd.
6. En Usuarios y equipos de Active Directory, compruebe que Helge no tenga permisos para crear objetos
nuevos en la unidad organizativa Toronto.
7. Compruebe que Helge pueda restablecer las contraseñas de usuario y configurar las propiedades de usuario,
tales como el número de teléfono y la oficina.
Resultado: Al finalizar el ejercicio, habrá delegado las tareas administrativas a la oficina de Toronto.
Ejercicio 1: Respuestas claves (pasos detallados)
Ejercicio 2: Configuración de confianzas de AD DS
Ejercicio 2: Configuración de confianzas de AD DS
En este ejercicio, se configurarán las confianzas en base a un diseño de configuración de confianzas que brinda el
administrador de la empresa. Además, se comprobará la configuración de confianzas para asegurar que éstas estén
configuradas correctamente.
Woodgrove Bank inició una asociación estratégica con Fabrikam. Los usuarios de Woodgrove Bank necesitarán tener
acceso a diversos recursos compartidos de archivos y a las aplicaciones que se ejecutan en los diferentes servidores
de Fabrikam. Únicamente los usuarios de Fabrikam deben tener acceso a los recursos compartidos en NYC-SVR1.
Las principales tareas se realizarán como se detalla a continuación:
Iniciar la máquina virtual VAN-DC1 y luego iniciar sesión.
Establecer la Configuración de red y DNS para habilitar la confianza de bosque.
Configurar una confianza de bosque entre WoodgroveBank.com y NorthwindTraders.com.
Configurar la autenticación selectiva para la confianza de bosque a fin de permitir el acceso a NYC-DC2
únicamente.
Comprobar la autenticación selectiva.
Cerrar todas las máquinas virtuales y descartar los discos para deshacer.
Tarea 1: Iniciar la máquina virtual VAN-DC1 y luego iniciar sesión
1. En Iniciador de laboratorio, junto a 6824A-VAN-DC1, haga clic en Iniciar.
2. Inicie sesión en VAN- DC1 como Administrador, usando la contraseña Pa$$w0rd.
3. Minimice la ventana Iniciador de laboratorio.
Tarea 2: Establecer la Configuración de red y DNS para habilitar la confianza de bosque
1. En VAN-DC1, modifique las propiedades de Red de área local para cambiar la dirección IP a 10.10.0.110, la
Puerta de enlace predeterminada a 10.10.0.1 y el Servidor DNS preferido a 10.10.0.110 y luego, haga clic
en Aceptar.
2. Sincronice la hora en VAN-DC1 con la de NYC-DC1.
3. En Administrador de DNS, agregue un reenviador condicional para reenviar todas las consultas para
Woodgrovebank.com a 10.10.0.10.
4. En Dominios y confianzas de Active Directory, aumente el nivel funcional del bosque a Windows Server
2003.
5. En NYC-DC1, en la consola del Administrador DNS, agregue un reenviador condicional para reenviar todas las
consultas para Fabrikam.com a 10.10.0.110.
6. Cierre la consola del Administrador DNS.
Tarea 3: Configurar una confianza de bosque entre WoodgroveBank.com y Fabrikam.com YEYA
1. En NYC-DC1, inicie Dominios y confianzas de Active Directory desde la carpeta Herramientas
administrativas.
2. Haga clic con el botón secundario en WoodgroveBank.com y luego en Propiedades.
3. Inicie el Asistente para nueva confianza y configure una confianza de bosque con Fabrikam.com.
4. Configure ambos lados de la confianza. Use [email protected] para comprobar la confianza.
5. Acepte la configuración predeterminada de la autenticación de todo el dominio para ambos dominios.
6. Confirme las dos confianzas.
Tarea 4: Configurar la autenticación selectiva para la confianza de bosque a fin de permitir el acceso a NYC-DC2 y NYC-CL1
1. En Dominios y confianzas de Active Directory, modifique la confianza entrante de Fabrikam.com para usar
la autenticación selectiva.
2. En Usuarios y equipos de Active Directory, ingrese a las propiedades de NYC-DC2. En la ficha Seguridad,
conceda permiso al grupo MarketingGG de Fabrikam.com para autenticarse en este servidor.
3. Ingrese a las propiedades de NYC-CL1. En la ficha Seguridad, conceda permiso al grupo MarketingGG de
Fabrikam.com para autenticarse en este servidor.
Tarea 5: Comprobar la autenticación selectiva
1. Inicie sesión en la máquina virtual NYC-CL1 como [email protected] usando la contraseña Pa$$w0rd.
Nota: Adam es un miembro del grupo MarketingGG en Fabrikam. Puede iniciar sesión en un equipo en el dominio de
WoodgroveBank.com gracias a la confianza que existe entre los dos bosques y porque tiene permiso para
autenticarse en NYC-CL1.
2. Intente ingresar a la carpeta \\NYC-DC2\Netlogon. Adam debería tener acceso a la carpeta.
3. Intente ingresar a la carpeta \\NYC-DC1\Netlogon. Adam no debería tener acceso a la carpeta porque el
servidor no está configurado para la autenticación selectiva.
Tarea 6: Cerrar todas las máquinas virtuales y descartar los discos para deshacer
1. Por cada máquina virtual que se encuentre en funcionamiento, cierre la ventana de Control remoto para
máquina virtual.
2. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar.
3. Cierre el Iniciador de laboratorio 6824A.
Resultado: Al finalizar este ejercicio, habrá configurado las confianzas en base a un diseño de configuración de
confianzas.
Ejercicio 2: Respuestas claves (pasos detallados)
Revisión y conclusiones del módulo
Revisión y conclusiones del módulo
Revisión del laboratorio
Preguntas de revisión
1. Tiene la responsabilidad de administrar las cuentas y el acceso a los recursos de los miembros de su grupo. Un
usuario del grupo abandona la compañía y está esperando que llegue su reemplazo en unos días. ¿Qué debe
hacer con la cuenta del usuario anterior?
2. Debe crear un gran número de cuentas en AD DS a fin de que las cuentas estén preconfiguradas para una
instalación desatendida. ¿Cuál es la mejor manera de lograrlo?
3. Un usuario notifica que no puede iniciar sesión en su equipo. El mensaje de error indica que la confianza entre
el equipo y el dominio se ha roto. ¿Cómo solucionará el problema?
4. Ha creado un grupo global llamado Soporte técnico que incluye todas las cuentas del soporte técnico. Desea
ayudar al personal de soporte técnico a realizar cualquier operación desde los equipos de escritorio locales,
incluyendo la obtención de propiedad de los archivos. ¿Qué grupo integrado es mejor usar?
5. Se le concedió al grupo Admins_Sucursal el control total de todas las cuentas de usuario en UO_Sucursal.
¿Qué permisos debería usar Admins_Sucursal para una cuenta de usuario que se trasladó de UO_Sucursal a
UO_Oficina.central?
6. Su organización cuenta con un entorno de bosque de Windows Server 2008, pero adquirió recientemente otra
organización con un entorno de bosque de Windows 2000, que contiene un dominio único. Los usuarios de
ambas organizaciones deben tener acceso a los recursos del bosque de la otra organización. ¿Qué tipo de
confianza debe crear entre el dominio raíz de bosque de cada bosque?
Observaciones para configurar los objetos de Active Directory
Complementar o modificar los siguientes procedimientos recomendados según las situaciones de trabajo:
Cree un esquema de nomenclatura para los objetos de AD DS antes de comenzar a implementar AD DS. Por
ejemplo, es necesario planear cómo creará nombres de inicio de sesión de usuarios e ideará la estrategia de
nomenclatura de grupo. Es más fácil planear las estrategias de nomenclatura al principio de la implementación
de AD DS que cambiar los nombres con posterioridad.
Planee la estrategia de grupo de AD DS antes de implementar AD DS. Al planear la estrategia de grupo, tenga
en cuenta los planes de la organización respecto del crecimiento futuro. Aunque la organización tenga
solamente una pequeña cantidad de usuarios en un dominio único, es posible que desee implementar una
estrategia de grupo de cuentas/ grupo de recursos si la organización posee una estrategia de crecimiento
agresiva y posiblemente establezca asociaciones claves que pueden requerir confianzas de bosque.
Busque oportunidades para automatizar las tareas de administración de AD DS. Es posible que se requiera
tiempo para crear archivos csvde y ldifde o bien, escribir scripts VBScript o Windows PowerShell. Sin embargo,
una vez que estas herramientas se implementan permiten ahorrar una significativa cantidad de tiempo.
Otra opción para reducir la carga de trabajo para los administradores de AD DS es delegar tareas. Una
estrategia para determinar qué tareas deben delegarse es analizar cuáles son las que más tiempo le demandan
a los administradores de AD DS. Si las tareas de rutina, como crear cuentas de usuarios, restablecer
contraseñas o actualizar la información del usuario, demandan una cantidad significativa de tiempo, considere
delegar estas tareas específicas a otros usuarios.
Herramientas
Usar las siguientes herramientas al configurar objetos y confianzas de AD DS:
Herramienta
Usar para
Dónde encontrarla
Administrador del
Obtener acceso a las
Haga clic en Inicio, luego
Herramienta
Usar para
Dónde encontrarla
servidor
Herramientas de administración diríjase a Herramientas
de AD DS en una única
administrativas y haga clic
consola.
en Administrador del
Servidor.
Usuarios y equipos
de Active Directory
Crear y configurar todos los
objetos de AD DS.
Haga clic en Inicio, luego
diríjase a Herramientas
administrativas y haga clic
en Usuarios y equipos de
Active Directory.
Dominios y
Crear y configurar confianzas.
confianzas de Active
Directory
Haga clic en Inicio, luego
diríjase a Herramientas
administrativas y haga clic
en Dominios y confianzas
de Active Directory.
Herramientas de la
Crear y configurar los objetos
línea de comandos de AD DS
(incluyendo Csvde y
Ldifde
Están instaladas de manera
predeterminada y puede
obtener acceso a ellas desde
un símbolo del sistema.
Windows
PowerShell
Escribir scripts que puedan
Windows PowerShell está
automatizar la administración de disponible como una
objetos
descarga de Microsoft y
puede instalarse como una
característica en Windows
Server 2008. Después de
instalar Windows PowerShell,
se tiene acceso a los cmdlets
mediante el shell de
comando de Windows
PowerShell.
1. Tiene la responsabilidad de administrar las cuentas y el acceso a los recursos de los miembros de su grupo. Un
usuario del grupo abandona la compañía y está esperando que llegue su reemplazo en unos días. ¿Qué debe
hacer con la cuenta del usuario anterior?
2. Debe crear un gran número de cuentas en AD DS a fin de que las cuentas estén preconfiguradas para una
instalación desatendida. ¿Cuál es la mejor manera de lograrlo?
3. Un usuario notifica que no puede iniciar sesión en su equipo. El mensaje de error indica que la confianza entre
el equipo y el dominio se ha roto. ¿Cómo solucionará el problema?
4. Ha creado un grupo global llamado Soporte técnico que incluye todas las cuentas del soporte técnico. Desea
ayudar al personal de soporte técnico a realizar cualquier operación desde los equipos de escritorio locales,
incluyendo la obtención de propiedad de los archivos. ¿Qué grupo integrado es mejor usar?
5. Se le concedió al grupo Admins_Sucursal el control total de todas las cuentas de usuario en OU_Sucursal.
¿Qué permisos debería usar Admins_Sucursal para una cuenta de usuario que se trasladó de OU_Sucursal a
OU_Oficina.central?
6. Su organización cuenta con un entorno de bosque de Windows Server 2008, pero adquirió recientemente otra
organización con un entorno de bosque de Windows 2000, que contiene un dominio único. Los usuarios de
ambas organizaciones deben tener acceso a los recursos del bosque de la otra organización. ¿Qué tipo de
confianza debe crear entre el dominio raíz de bosque de cada bosque?
Observaciones para configurar los objetos de Active Directory
Complementar o modificar los siguientes procedimientos recomendados según las situaciones de trabajo:
Cree un esquema de nomenclatura para los objetos de AD DS antes de comenzar a implementar AD DS. Por
ejemplo, es necesario planear cómo creará nombres de inicio de sesión de usuarios e ideará la estrategia de
nomenclatura de grupo. Es más fácil planear las estrategias de nomenclatura al principio de la implementación
de AD DS que cambiar los nombres con posterioridad.
Planee la estrategia de grupo de AD DS antes de implementar AD DS. Al planear la estrategia de grupo, tenga
en cuenta los planes de la organización respecto del crecimiento futuro. Aunque la organización tenga
solamente una pequeña cantidad de usuarios en un dominio único, es posible que desee implementar una
estrategia de grupo de cuentas/ grupo de recursos si la organización posee una estrategia de crecimiento
agresiva y posiblemente establezca asociaciones claves que pueden requerir confianzas de bosque.
Busque oportunidades para automatizar las tareas de administración de AD DS. Es posible que se requiera
tiempo para crear archivos csvde y ldifde o bien, escribir scripts VBScript o Windows PowerShell. Sin embargo,
una vez que estas herramientas se implementan permiten ahorrar una significativa cantidad de tiempo.
Otra opción para reducir la carga de trabajo para los administradores de AD DS es delegar tareas. Una
estrategia para determinar qué tareas deben delegarse es analizar cuáles son las que más tiempo le demandan
a los administradores de AD DS. Si las tareas de rutina, como crear cuentas de usuarios, restablecer
contraseñas o actualizar la información del usuario, demandan una cantidad significativa de tiempo, considere
delegar estas tareas específicas a otros usuarios.
Herramientas
Usar las siguientes herramientas al configurar objetos y confianzas de AD DS:
Herramienta
Usar para
Dónde encontrarla
Administrador del
servidor
Obtener acceso a las
Herramientas de
administración de AD DS
en una única consola.
Haga clic en Inicio, luego diríjase a Herramientas
administrativas y haga clic en Administrador del Servidor.
Usuarios y equipos de
Active Directory
Crear y configurar todos
los objetos de AD DS.
Haga clic en Inicio, luego diríjase a Herramientas
administrativas y haga clic en Usuarios y equipos de
Active Directory.
Dominios y confianzas
de Active Directory
Crear y configurar
confianzas.
Haga clic en Inicio, luego diríjase a Herramientas
administrativas y haga clic en Dominios y confianzas de
Active Directory.
Herramientas de la
línea de comandos
(incluyendo Csvde y
Ldifde
Crear y configurar los
objetos de AD DS
Están instaladas de manera predeterminada y puede obtener
acceso a ellas desde un símbolo del sistema.
Windows PowerShell
Escribir scripts que puedan Windows PowerShell está disponible como una descarga de
automatizar la
Microsoft y puede instalarse como una característica en
administración de objetos
Windows Server 2008. Después de instalar Windows
PowerShell, se tiene acceso a los cmdlets mediante el shell
de comando de Windows PowerShell.
Modulo 4 : Configuración de sitios y replicación de Active Directory
Modulo 4
Configuración de sitios y replicación de Active Directory
En un entorno de Servicios de dominio de Active Directory (AD DS) de Windows Server 2008, se pueden implementar
controladores de dominio múltiples en el mismo dominio, o en otros dominios dentro del mismo bosque. La
información de AD DS se replica automáticamente entre todos los controladores de dominio.
Este módulo describe cómo funciona la replicación de AD DS, lo que le permitirá administrar el tráfico de red en la
replicación, mientras que garantiza la consistencia de los datos de AD DS en toda su red.
Lección 1: Descripción general de la replicación de los Servicios de dominio de Active Directory
Lección 2: Descripción general de los sitios y replicación de AD DS
Lección 3: Configuración y supervisión de la replicación de AD DS
Laboratorio: Configuración de sitios y replicación de Active Directory
Lección 1: Descripción general de la replicación de los Servicios de
dominio de Active Directory
Lección 1:
Descripción general de la replicación de Servicios de dominio de Active
Directory
Cuando un usuario o un administrador realizan una actualización de AD DS, se actualiza la base de datos de AD DS de
un controlador de dominio. Esta actualización luego se replica a todos los demás controladores dentro del dominio y,
en algunos casos, a todos los demás controladores de dominio del bosque. AD DS emplea un modelo de replicación
con varios maestros. Esto significa que la mayoría de los cambios se pueden realizar en cualquier controlador de
dominio y se replicarán todos a los demás controladores de dominio.
Esta lección describe cómo funciona la replicación de AD DS en Windows Server 2008.
Cómo funciona la replicación de AD DS
Cómo funciona la replicación de AD DS
Puntos clave
La diapositiva describe cómo funcionan los diferentes componentes en la replicación de AD DS.
Material de lectura adicional
Ayuda para Sitios y servicios de Active Directory: Comprender sitios, subredes y vínculos de sitio
Artículo de Microsoft TechNet: Replication Model Components (Componentes del modelo de replicación)
Artículo de Microsoft Technet: How the Active Directory Replication Model Works (Cómo funciona el modelo de
replicación de Active Directory)
Cómo funciona la replicación de AD DS dentro de un sitio
Cómo funciona la replicación de AD DS dentro de un sitio
Puntos clave
Dentro de un sitio, una notificación del controlador de dominio remitente da inicio al proceso de replicación. Cuando se
realiza un cambio en la base de datos, el equipo remitente notifica al socio de replicación que existen cambios
disponibles. El socio de replicación extrae los cambios del controlador de dominio remitente usando una conexión de
llamada a procedimiento remoto (RPC). Una vez completa la replicación, el controlador de dominio remitente espera
tres segundos y luego notifica a otro socio de replicación, que también extrae los cambios. De manera
predeterminada, un controlador de dominio esperará 15 segundos luego de que se haya realizado un cambio y
comenzará a replicar los cambios a otros controladores de dominio del mismo sitio.
Material de lectura adicional
Ayuda para Sitios y servicios de Active Directory: Comprender sitios, subredes y vínculos de sitio
Artículo de Microsoft Technet: How the Active Directory Replication Model Works (Cómo funciona el modelo de
replicación de Active Directory)
Resolución de conflictos de replicación
Resolución de conflictos de replicación
Puntos clave
Existen tres tipos de conflictos:
Modificar en forma simultánea el mismo valor de atributo de un objeto en dos controladores de dominio.
Agregar o modificar un objeto en un controlador de dominio al mismo tiempo que el objeto contenedor de dicho
objeto es eliminado en otro controlador de dominio.
Agregar objetos con el mismo nombre distintivo relativo en el mismo contenedor.
Material de lectura adicional
Artículo de Microsoft Technet How the Active Directory Replication Model Works (Cómo funciona el modelo de
replicación de Active Directory)
Optimización de la replicación
Optimización de la replicación
Puntos clave
Durante la replicación los controladores de dominio pueden seguir múltiples rutas para enviar y recibir actualizaciones.
Aunque usar diversas rutas ofrece tolerancia a errores y un rendimiento mejorado, puede causar que las
actualizaciones se repliquen en el mismo controlador de dominio más de una vez a través de diferentes rutas de
replicación. Para impedir estas replicaciones repetidas, la replicación de AD DS emplea reducción de propagación.
Este es el proceso por el que se reduce la cantidad de datos innecesarios que viajan desde un controlador de dominio
a otro.
Material de lectura adicional
Artículo de Microsoft Technet: How the Active Directory Replication Model Works (Cómo funciona el modelo de
replicación de Active Directory)
¿Qué son las particiones de directorio?
¿Qué son las particiones de directorio?
Puntos clave
La base de datos de AD DS se encuentra lógicamente dividida en particiones de directorio: una partición de esquema,
una partición de configuración, particiones de dominio y particiones de aplicación. Cada partición es una unidad de
replicación y cuenta con su propia topología de replicación.
Material de lectura adicional
Artículo de Microsoft Technet: How The Data Store Works (Directory Partition section) (Cómo funciona el
Almacén de datos (sección partición de directorio))
How the Active Directory Replication Model Works (Cómo funciona el modelo de replicación de Active
Directory)
¿Qué es la topología de replicación?
¿Qué es la topología de replicación?
Puntos clave
La topología de replicación es la ruta por la que viajan los datos de replicación a través de una red. Para crear una
topología de replicación, AD DS debe determinar qué controladores de dominio replican los datos con otros
controladores de dominio.
Pregunta: ¿Qué particiones de aplicación se crean de manera predeterminada en AD DS?
Material de lectura adicional
Artículo de Microsoft Technet: What is Active Directory Replication Topology? (¿Qué es la Topología de
replicación de Active Directory?)
Cómo se replican las particiones de directorio y el catálogo global
Cómo se replican las particiones de directorio y el catálogo global
Puntos clave
La replicación tanto de las particiones de esquema como de las particiones de configuración sigue el mismo proceso
que las demás particiones de directorio. Sin embargo, debido a que estas particiones son de todo el bosque y no de
todo el dominio, se pueden crear los objetos de conexión para estas particiones entre dos controladores de dominio,
sin importar el dominio de dicho controlador. Todos los controladores de dominio del bosque están incluidos en la
topología de replicación para estas particiones.
Material de lectura adicional
Artículo de Microsoft Technet: What is Active Directory Replication Topology? (¿Qué es la Topología de
replicación de Active Directory?)
Cómo se genera la topología de replicación
Cómo se genera la topología de replicación
Puntos clave
Cuando se agregan controladores de dominio a un sitio, AD DS emplea el Comprobador de coherencia de la
información (KCC) para establecer una ruta de replicación entre controladores de dominio.
Material de lectura adicional
Artículo de Microsoft Technet: How the Active Directory Replication Model Works? (¿Qué es la Topología de
replicación de Active Directory?)
Demostración: Creación y configuración de objetos de conexión
Demostración: Creación y configuración de objetos de conexión
Pregunta: ¿Cuándo se configuran los objetos de conexión en forma manual?
Lección 2: Descripción general de los sitios y replicación de AD DS
Lección 2:
Descripción general de sitios y replicación de AD DS
Dentro de un sitio, la replicación de AD DS ocurre en forma rápida y automática, sin tener en cuenta el uso de red.
Sin embargo, algunas organizaciones tienen múltiples ubicaciones y están conectadas por medio de conexiones de
red lenta. Se pueden usar Sitios de AD DS para controlar la replicación y otros tipos de tráfico de AD DS a través de
estos vínculos de red.
¿Qué son los sitios y vínculos de sitio de AD DS?
¿Qué son los sitios y vínculos de sitio de AD DS?
Puntos clave
Los sitios se usan para controlar el tráfico de replicación, el tráfico de inicio de sesión y las solicitudes del equipo
cliente al servidor de catálogo global.
Material de lectura adicional
Ayuda para Sitios y servicios de Active Directory: Comprender sitios, subredes y vínculos de sitio
Discusión: ¿Por qué implementar sitios adicionales?
Discusión: ¿Por qué implementar sitios adicionales?
Material de lectura adicional
Ayuda para Sitios y servicios de Active Directory: Comprender sitios, subredes y vínculos de sitio
Cómo funciona la replicación entre sitios
Cómo funciona la replicación entre sitios
Puntos clave
Dentro de un sitio se tiene poco control sobre el proceso de replicación de AD DS. Cuando se implementan sitios
múltiples en un bosque de AD DS, también se puede configurar la replicación de AD DS para garantizar el óptimo uso
de red.
Demostración: Configuración de sitios de AD DS
Demostración: Configuración de sitios de AD DS
Preguntas:
¿Qué le sucedería a la topología de replicación si se desplaza un controlador de dominio de un sitio a otro?
Se mueve un controlador de dominio a un nuevo sitio usando Sitios y servicios de Active Directory. Seis horas más
tarde se determina que el controlador de dominio no está replicando con ningún otro controlador de dominio. ¿Qué se
debe comprobar?
Material de lectura adicional
Ayuda para Sitios y servicios de Active Directory: Crear un sitio, crear una subred.
Comparación de la replicación en sitios y entre sitios
Comparación de la replicación en sitios y entre sitios
Puntos clave
Para obtener comparaciones, consulte la diapositiva.
Material de lectura adicional
Ayuda para Sitios y servicios de Active Directory: Comprender la replicación entre sitios
Artículo de Microsoft Technet: What is Active Directory Replication Topology? (¿Qué es la Topología de
replicación de Active Directory?)
Demostración: Configuración de vínculos de sitio de AD DS
Demostración: Configuración de vínculos de sitio de AD DS
Preguntas:
Si todas las ubicaciones se encuentran conectadas por una red de área extensa que tiene el mismo ancho de banda
disponible, ¿es necesario crear vínculos de sitio adicionales?
La organización cuenta con dos sitios y un único dominio. ¿Se puede usar SMTP como protocolo de replicación entre
ambos sitios?
Material de lectura adicional
Ayuda para Sitios y servicios de Active Directory: Crear un vínculo de sitio
¿Qué es el generador de topología entre sitios?
¿Qué es el generador de topología entre sitios?
Puntos clave
El KCC de un controlador de dominio en el sitio, se designa en el mismo como el Generador de topología entre sitios
(ISTG). Sólo hay un ISTG por sitio, sin importar cuántos dominios o particiones de directorio tiene. ISTG es
responsable de calcular la topología de replicación ideal para el sitio.
Material de lectura adicional
Artículo de Microsoft Technet: How the Active Directory Replication Model Works (Cómo funciona el modelo de
replicación de Active Directory)
Cómo funciona la replicación unidireccional
Cómo funciona la replicación unidireccional
Puntos clave
Debido a que ningún cambio se escribe directamente en el Controlador de dominio de sólo lectura (RODC), ningún
cambio tiene origen en el RODC. En consecuencia, los controladores de dominio grabables que son socios de
replicación no tienen que extraer cambios del RODC. Esto significa que cualquier cambio o daño que un usuario
malintencionado pueda hacer en alguna sucursal, no se puede replicar desde el RODC al bosque. Esto también
reduce la carga de trabajo de los servidores cabeza de puente del concentrador y el esfuerzo requerido para
supervisar la replicación.
Material de lectura adicional
Artículo de Microsoft Technet: AD DS: Controladores de dominio de sólo lectura
Lección 3: Configuración y supervisión de la replicación de AD DS
Lección 3:
Configuración y supervisión de replicación de servicios de dominio de
Active Directory
Una vez que se configuran los sitios y los vínculos de sitio para el entorno de AD DS, se puede configurar la
replicación de AD DS. AD DS en Windows Server 2008 ofrece varias opciones que se pueden usar para administrar el
flujo de replicación entre sitios. Debido a que la replicación de AD DS es tan importante en el entorno, también es
necesario saber cómo se la debe supervisar.
¿Qué es un servidor cabeza de puente?
¿Qué es un servidor cabeza de puente?
Puntos clave
El servidor cabeza de puente en una topología de replicación de AD DS, es el único controlador de dominio,
responsable en cada sitio de intercambiar los datos replicados con otros sitios. El servidor cabeza de puente del sitio
original, recoge todos los cambios de replicación en su sitio y luego los envía al servidor cabeza de puente del sitio
receptor, que replica los cambios a todos los controladores de dominio del sitio.
De manera predeterminada, el ISTG identifica un controlador de dominio en cada sitio como servidor cabeza de
puente para cada vínculo de sitio. Si este servidor cabeza de puente no se encuentra disponible, el ISTG identifica a
otro controlador de dominio como el servidor cabeza de puente.
Material de lectura adicional
Artículo de Microsoft Technet: How the Active Directory Replication Model Works (Cómo funciona el modelo de
replicación de Active Directory)
¿Qué es un servidor cabeza de puente?
Demostración: Configuración de servidores cabeza de puente
Pregunta:
La organización cuenta con dos sitios y dos dominios en el mismo bosque con controladores de dominios para ambos
dominios en ambos sitios. Se configura un controlador de dominio en cada sitio como el servidor cabeza de puente
preferido. Tiempo después se advierte que los controladores de dominio para uno de los dominios no están
replicando a través del vínculo de sitio. ¿Qué se debe hacer para solucionarlo?
Material de lectura adicional
Artículo de Microsoft Technet: Administración de la replicación entre sitios
Demostración: Configuración de la disponibilidad y frecuencia de la
replicación
Demostración: Configuración de la disponibilidad y frecuencia de la replicación
Preguntas:
Se configuran los vínculos de sitio entre Nueva York y Toronto y entre Nueva York y Londres. El sitio Nueva
York-Toronto se encuentra disponible desde las 2 a.m. hasta las 5 a.m. EST. El vínculo al sitio Nueva York-Londres se
encuentra disponible desde las 8 p.m. hasta las 11 p.m. EST. Se puede crear un nuevo usuario en Toronto. ¿Cuándo
aparecerá el usuario nuevo en AD DS en un controlador de dominio de Londres?
La organización cuenta con 4 sitios. Todos los sitios se incluyen en el VínculoSitioIPPredeterminado. Se desea
modificar el programa de replicación de todos los sitios para que la replicación entre sitios ocurra cada 15 minutos.
¿Qué se debe hacer?
Material de lectura adicional
Ayuda para Sitios y servicios de Active Directory: Configurar la replicación entre sitios
¿Qué son los puentes de vínculos de sitio?
¿Qué son los puentes de vínculos de sitio?
Puntos clave
De manera predeterminada, todos los vínculos de sitio de AD DS son transitivos o tienen puentes. Esto significa que si
el sitio A tiene un vínculo de sitio en común con el sitio B, el sitio B también cuenta con un sitio en común con el sitio C
y los dos vínculos de sitio tienen puentes entre sí. Los controladores de dominio del sitio A pueden luego replicarse
directamente con los controladores de dominio del sitio C, aunque no existan vínculos de sitio entre los sitios A y C.
Se puede modificar la configuración predeterminada de los puentes de vínculos de sitios, deshabilitando los puentes
de vínculos de sitios y luego aquellos vínculos de sitio que sean transitivos.
Material de lectura adicional
Artículo de Microsoft Technet: How the Active Directory Replication Model Works (Cómo funciona el modelo de
replicación de Active Directory)
Demostración: Modificación de los puentes de vínculos de sitio
Demostración: Modificación de los puentes de vínculos de sitio
Pregunta:
Su organización cuenta con cinco sitios. Cuatro de los sitios se encuentran conectados con vínculos de red de área
extensa (WAN), con ancho de banda extra, mientras que uno de los sitios se encuentra conectado a los demás sitios
por un vínculo WAN con escaso ancho de banda disponible. Se deshabilitan los puentes de vínculos de sitios en la
organización y luego se detecta que lleva más tiempo de lo normal el replicar los cambios de AD DS entre sitios. ¿Qué
se debe hacer para optimizar la replicación entre los cuatro sitios con ancho de banda disponible mientras que se
reduce el uso de red del sitio con menos ancho de banda disponible?
Material de lectura adicional
Artículo de Microsoft Technet: Administración de la replicación entre sitios
¿Qué es la memoria caché de pertenencia al grupo universal?
¿Qué es la memoria caché de pertenencia al grupo universal?
Puntos clave
Uno de los problemas que puede requerir atención al configurar la replicación de AD DS es si se deben implementar
servidores de catálogo global en cada sitio. Debido a que se requieren servidores de catálogo global cuando los
usuarios inician sesión en el dominio, el hecho de implementar un servidor de catálogo global en cada sitio optimiza la
experiencia del usuario. Sin embargo, implementar un servidor de catálogo global en un sitio genera tráfico de
replicación adicional, lo que puede llegar a ser un problema si la red de conexión entre los sitios de AD DS cuenta con
un ancho de banda limitado. En estos casos, se pueden implementar controladores de dominio con Windows Server
2008 y así habilitar la caché de pertenencia al grupo universal para el sitio.
Material de lectura adicional
Artículo de Microsoft Technet: Diseño de la ubicación del servidor de catálogo global
Demostración: Configuración de la memoria caché de pertenencia al grupo
universal
Demostración: Configuración de la memoria caché de pertenencia al grupo universal
Material de lectura adicional
Artículo de Microsoft Technet: Cache universal group memberships (Pertenencia al grupo universal de la
memoria caché)
Demostración: Herramientas para supervisar y administrar la replicación
Demostración: Herramientas para supervisar y administrar la replicación
Preguntas:
¿En qué circunstancias puede que se desee saber cuál de los controladores de dominio en un sitio es el ISTG?
¿Qué información se encuentra disponible en las herramientas de línea de comandos, que no se encuentra disponible
en las herramientas de la interfaz gráfica de usuario (GUI)?
Laboratorio: Configuración de sitios y replicación de Active Directory
Laboratorio: Configuración de sitios y replicación de Active Directory
Laboratorio: Configuración de sitios y replicación de Active Directory
Escenario
El Woodgrove Bank cuenta con muchas oficinas en todo el mundo. Para optimizar el tráfico de inicio de sesión de los
clientes y administrar la replicación de AD DS, el administrador de la empresa ha creado un nuevo diseño para la
configuración de sitios de AD DS y para configurar la replicación entre los sitios. Se deben crear sitios de AD DS y
configurar la replicación basada en el diseño del administrador de la empresa, supervisar la replicación del sitio y
garantizar que todos los componentes que se requieren para la replicación son funcionales.
El diseño que se usa actualmente en el Woodgrove Bank, continúa siendo el predeterminado, no se le han realizado
cambios. Aparte del sitio predeterminado, no se encuentran configurados otros sitios de AD DS ni vínculos a sitios.
El administrador de la empresa ha creado el siguiente diseño de sitio:
Nueva York tiene una conexión de red de área extensa (WAN) a una velocidad de 1,544 megabits por segundo
(Mbps) con Londres, que tiene el 50% de ancho de banda disponible. Nueva York y Tokio también se
encuentran conectados por una conexión WAN a una velocidad de 1.544 Mbps, que tiene el 50% de ancho de
banda disponible. Cualquier cambio realizado a AD DS en cualquiera de estas tres ubicaciones debe ser
replicado a las otras en el término de una hora.
Miami se encuentra conectado a Nueva York por una conexión WAN a una velocidad de 256 kilobits por
segundo (kbps), que tiene menos del 20% de ancho de banda disponible durante el horario de oficina habitual.
Los cambios realizados a AD DS en cualquier sitio dentro de la organización no deben ser replicados a Miami
durante el horario de oficina habitual.
El controlador de dominio que se encuentra en Miami, debe recibir las actualizaciones solo desde un
controlador de dominio en Nueva York. Los controladores de dominio en Nueva York, Tokio y Londres pueden
recibir actualizaciones de cualquier otro controlador de dominio en uno de estos tres sitios.
El controlador de dominio en Miami, no está configurado como un servidor de catálogo global debido a
cuestiones relacionadas con la replicación de catálogo global. Para reducir el tráfico de red que se requiere
para la autenticación, se debe habilitar la caché de pertenencia al grupo universal en el Sitio-Miami. Se debe
configurar cada ubicación de la compañía como un sitio separado, con el siguiente nombre: Sitio-nombre de la
ciudad
Los vínculos de sitio se deben nombrar según el siguiente formato: Nombre de la ciudad-Nombre de la
ciudad-Vínculo a sitio.
La configuración de las direcciones de red para cada ubicación de la compañía se realizará como se detalla a
continuación:
Nueva York: 10.10.0.0/16
Londres: 10.20.0.0/16
Miami: 10.30.0.0/16
Tokio: 10.40.0.0/16
Nota: Debido a las limitaciones que presenta el laboratorio virtual, se configurarán sólo los sitios de las ubicaciones
de Nueva York, Londres y Miami.
Nota: El siguiente laboratorio requiere que se ejecuten cuatro máquinas virtuales al mismo tiempo. Se recomienda
que los equipos de los estudiantes estén configurados con un GB adicional de memoria RAM (para alcanzar un total
de 3 GB) y así mejorar el rendimiento de la máquina virtual en el laboratorio.
Ejercicio 1: Configuración de sitios y subredes de AD DS
Ejercicio 1: Configuración de sitios y subredes de AD DS
En este ejercicio, se modificará la configuración existente del sitio, basada en el diseño del administrador de la
empresa. Las tareas incluyen la creación de subredes y sitios nuevos, la creación de vínculos de sitio y el
desplazamiento de los servidores a los sitios adecuados.
Las principales tareas se realizarán como se detalla a continuación:
1. Iniciar las máquinas virtuales y luego iniciar sesión.
2. Comprobar la configuración y la topología de replicación actual del sitio.
3. Crear sitios de AD DS.
Tarea 1: Iniciar las máquinas virtuales y luego iniciar sesión.
1. En la máquina host, haga clic en Inicio, elija Todos los programas, luego a Microsoft Learning y haga clic
en 6824A. Se inicia Iniciador de laboratorio.
2. En Iniciador de laboratorio, junto a 6824A-NYC-DC1, haga clic en Iniciar.
3. En Iniciador de laboratorio, junto a 6824A-LON-DC1, haga clic en Iniciar.
4. En Iniciador de laboratorio, junto a 6824A-MIA-RODC, haga clic en Iniciar.
5. En Iniciador de laboratorio, junto a 6824A-NYC-RAS, haga clic en Iniciar.
6. Inicie sesión en NYC-DC1 como Administrador, usando la contraseña Pa$$w0rd.
7. Inicie sesión en LON-DC1 como Administrador, usando la contraseña Pa$$w0rd.
8. Inicie sesión en MIA-RODC como Administrador, usando la contraseña Pa$$w0rd.
9. Inicie sesión en NYC-RAS como Administrador, usando la contraseña Pa$$w0rd.
10. Minimice la ventana Iniciador de laboratorio.
Tarea 2: Comprobar la configuración y la topología de replicación actual del sitio.
1. En NYC-DC1, abra Sitios y servicios de Active Directory y luego vaya a propiedades de NTDS Settings
para NYC-DC1.
2. Compruebe que los objetos de conexión estén configurados en NYC-DC1. Confirme que los objetos de
conexión se usen para replicar todas las particiones de directorio relevantes.
3. Compruebe que las conexiones estén configuradas para replicar siempre y para comprobar la existencia de
actualizaciones disponibles cada hora.
4. Examine los objetos de conexión configurados en MIA-RODC. Compruebe que el RODC sólo tenga socios de
replicación entrante y ningún socio de replicación saliente.
Tarea 3: Crear sitios de AD DS
1. En Sitios y servicios de Active Directory, cambie el Default-First-Site-Name a Sitio-NuevaYork.
2. Cree nuevos sitios llamados Sitio-Miami, Sitio-Londres y Sitio-Tokio.
3. Cree nuevos objetos de subred con las siguientes propiedades:
Prefijo: 10.10.0.0/16, Sitio: Sitio-Nueva York
Prefijo: 10.20.0.0/16, Sitio: Sitio-Londres
Prefijo: 10.30.0.0/16, Sitio: Sitio-Miami
Prefijo: 10.40.0.0/16, Sitio: Sitio-Tokio
4. Compruebe que las subredes correctas estén asociadas con cada sitio.
Resultado: Al finalizar este ejercicio, sabrá configurar sitios y subredes de AD DS y vincular las subredes a los sitios
adecuados.
Ejercicio 1: Respuestas claves (pasos detallados)
Ejercicio 2: Configuración de la replicación de AD DS
Ejercicio 2: Configuración de la replicación de AD DS
En este ejercicio se configurará la replicación de AD DS entre sitios. Las tareas incluyen la creación de nuevos
vínculos de sitios, la configuración de puentes de vínculos de sitio y finalmente, el movimiento de los controladores de
dominio a los sitios adecuados.
Las principales tareas se realizarán como se detalla a continuación:
1. Crear los objetos de vínculos de sitios.
2. Configurar los puentes de vínculos de sitios.
3. Modificar la configuración de la dirección IP del controlador de dominio.
4. Desplazar los controladores de dominio hacia los sitios adecuados.
5. Configurar la memoria caché de catálogo global para el Sitio-Miami.
Tarea 1: Crear los objetos de vínculos de sitios
1. En Sitios y servicios de Active Directory, cambie el nombre predeterminado del sitio DEFAULTIPSITELINK
a Vínculo-Sitio-NuevaYork-Londres. Configure el vínculo de sitio para incluir sólo Sitio-NuevaYork y SitioLondres y replicar cada 30 minutos.
2. Haga clic con el botón secundario en el vínculo de Vínculo-Sitio-NuevaYork-Londres y luego haga clic en
Propiedades.
3. Cree un nuevo vínculo a sitio llamado vínculo de Vínculo-Sitio-NuevaYork-Tokio, que incluya Sitio-NuevaYork
y Sitio-Tokio y que se replique cada treinta minutos.
4. Cree otro nuevo vínculo de sitio llamado vínculo de Vínculo-Sitio-NuevaYork-Miami, que incluya SitioNuevaYork y Sitio-Miami. Modifique el programa para que el vínculo de sitio no permita la replicación entre las 7
a.m. y las 7 p.m., de lunes a viernes.
Tarea 2: Configurar puentes de vínculos de sitios
En Sitios y servicios de Active Directory, desactive los puentes de vínculos a sitios para los vínculos de sitios
IP.
Cree un nuevo puente de vínculos de sitios denominado Puente-Vínculo-Sitio-NuevaYork-Londres-Tokio,
que incluya todos los sitios excepto el Sitio-Miami.
Tarea 3: Modificar la configuración de dirección IP del controlador de dominio
1. En LON-DCI, vaya a propiedades de Conexión de área local. Cambie la configuración de la dirección IP para
usar la dirección IP 10.20.0.110 y la puerta de enlace predeterminada 10.20.0.1.
2. Asegúrese de que se puede rastrear 10.10.0.10 desde LON- DC1 y fuerce al servidor para que registre su IP
en DNS.
3. En MIA-RODC, en la ventana del símbolo del sistema, use el comando Netsh interface ipv4 show interfaces
para identificar el valor Idx asignado a la conexión de área local.
4. Use el comando netsh interface ipv4 set address name="ID" source=static address=10.30.0.15
mask=255.255.0.0 gateway=10.30.0.1 para cambiar la dirección IP por MIA-RODC.
5. Asegúrese de que se puede rastrear 10.10.0.10 desde MIA-RODC y luego fuerce al servidor para que registre
su dirección IP en DNS.
6. En NYC-DC1, compruebe que las direcciones IP para LON-DC1 y MIA-RODC hayan sido actualizadas en el
DNS.
7. Modifique el registro de delegación para que EMEA use 10.20.0.110 como dirección del servidor EMEA DNS.
Tarea 4: Desplazar los controladores de dominio hacia los sitios adecuados
1. En NYC-DC1, en Sitios y servicios de Active Directory, desplace LON-DC1 desde el Sitio-NuevaYork, a
Sitio-Londres.
2. Desplace MIA-RODC desde Sitio-Nueva York a Sitio-Miami.
Tarea 5: Configurar la memoria caché de catálogo global para el Sitio-Miami
1. En NYC-DC1, en Sitios y servicios de Active Directory, vaya a Propiedades de NTDS Site Settings para
Sitio-Miami.
2. Habilite la Caché de pertenencia al grupo universal y luego configúrela para que se actualice desde el SitioNuevaYork.
Resultado: Al finalizar este ejercicio, sabrá configurar la replicación de AD DS.
Ejercicio 2: Respuestas claves (pasos detallados)
Ejercicio 3: Supervisión de la replicación de AD DS
Ejercicio 3: Supervisión de la replicación de AD DS
En este ejercicio se supervisará la replicación de AD DS entre sitios. Se usarán los comandos DCDiag y NLTest para
comprobar la disponibilidad del servidor; y el comando Replmon para supervisar la replicación entre sitios.
Las principales tareas se realizarán como se detalla a continuación:
1. Comprobar que se haya actualizado la topología de replicación.
2. Comprobar que la replicación funcione entre sitios.
3. Usar el comando DCDiag para comprobar la topología de replicación.
4. Usar el comando repadmin para comprobar que la replicación se haya realizado correctamente.
5. Apagar todas las máquinas virtuales y eliminar todos los cambios.
Tarea 1: Comprobar que se haya actualizado la topología de replicación.
En NYC-DC1, en Sitios y servicios de Active Directory, vaya a NTDS Settings para NYC-DC1 y luego
fuerce al servidor para que compruebe la topología de replicación.
Vaya a NTDS Settings para MIA-RODC en el Sitio-Miami y luego fuércela para que compruebe la topología de
replicación. Esta tarea llevará unos minutos para completarse.
Vaya a propiedades de NTDS Site Settings para el Sitio-NuevaYork y luego verifique que NYC-DC1 esté
configurado como Generador de topologías entre sitios.
Vaya a NTDS Site Settings para Sitio-Miami y luego compruebe que MIA-RODC no esté configurado como
ISTG. Debido a que MIA-RODC es un RODC, no puede funcionar como un servidor cabeza de puente o un
ISTG.
Tarea 2: Comprobar que la replicación funcione entre sitios
1. En NYC-DC1, en Sitios y servicios de Active Directory, vaya a NTDS Settings para NYC-DC1.
2. En el panel de detalles, compruebe que se haya creado un objeto de conexión entre NYC-DC1 y LON-DC1 y
luego fuerce la replicación en el objeto de conexión.
3. En LON-DC1, abra Sitios y servicios de Active Directory, vaya al objeto de conexión configurado en
LON-DC1 entre LON-DC1 y NYC-DC1 y luego fuerce la replicación en el objeto de conexión.
4. En NYC-DC1, en Usuarios y equipos de Active Directory, cree en el Contenedor de usuarios, un nuevo
usuario con UsuariodePrueba como nombre y nombre de inicio de sesión y use la contraseña Pa$$w0rd.
5. En Sitios y servicios de Active Directory, vaya al objeto de conexión configurado en MIA-RODC entre
NYC-DC1 y MIA-RODC y luego fuerce la replicación en el objeto de conexión.
6. En Usuarios y equipos de Active Directory, cambie el foco a MIA-RODC. WoodgroveBank.com.
7. En el cuadro de diálogo Cambiar el controlador de dominio, haga clic en
MIA-RODC.WoodgroveBank.com, luego haga clic en Aceptar y compruebe que la cuenta UsuariodePrueba
haya sido replicada a MIA-RODC.
Tarea 3: Usar el comando DCDiag para comprobar la topología de replicación
En NYC-DC1, en un símbolo del sistema, escriba DCDiag / test:replications para comprobar que NYC-DC1
pase todas las pruebas de conectividad.
Nota: Aparecerán errores de replicación porque NYC-DC2 y TOK-DC1 no se están ejecutando y se ha intentado
realizar la replicación.
Tarea 4: Usar el comando Repadmin para comprobar que la replicación se haya realizado correctamente
1. En NYC-DC1, en el símbolo del sistema, escriba repadmin /showrepl y luego compruebe que la replicación
con LON-DC1 se haya realizado correctamente durante la última actualización de la replicación.
2. En el símbolo del sistema, escriba repadmin /showrepl MIA-RODC.WoodgroveBank.com y luego
compruebe que todas las particiones de directorio hayan sido actualizadas sin errores durante la última
actualización de la replicación.
3. En el símbolo del sistema, escriba repadmin /bridgeheads y luego compruebe que NYC-DC1 y LON-DC1
estén configurados como servidores cabeza de puente para su sitio.
4. En el símbolo del sistema, escriba repadmin / replsummary, y luego examine el resumen de replicación y
cierre el símbolo del sistema.
Tarea 5: Apagar todas las máquinas virtuales y eliminar todos los cambios
1. Por cada máquina virtual que se encuentre en funcionamiento, cierre la ventana de Control remoto para
máquina virtual.
2. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar.
3. Cierre el Iniciador de laboratorio 6824A.
Resultado: Al finalizar este ejercicio, se habrá comprobado que la replicación de AD DS está en funcionamiento.
Ejercicio 3: Respuestas claves (pasos detallados)
Revision del laboratorio
Revisión del laboratorio
Revisión del laboratorio
Preguntas de revisión
1. ¿Cómo se pueden reducir las posibilidades de que se generen conflictos de replicación en su organización?
2. Se han implementado nueve controladores de dominio dentro del mismo dominio. Cinco de estos
controladores de dominio se encuentran en un sitio, mientras que cuatro están en un sitio distinto. No se ha
modificado la frecuencia de replicación predeterminada para la replicación dentro del sitio y entre sitios. Se crea
una cuenta de usuario en un controlador de dominio. ¿Cuál es el tiempo máximo que le llevará a dicha cuenta
de usuario replicarse a todos los controladores del dominio?
3. Se agrega un nuevo controlador de dominio a un dominio ya existente en el bosque. ¿Qué particiones de AD
DS serán modificadas como consecuencia de esto?
4. La organización tiene un dominio con tres sitios: Un sitio para la oficina central y dos sitios para las sucursales.
Los controladores de dominio en los sitios de las sucursales se pueden comunicar con los controladores de
dominio de la oficina central, pero no pueden comunicarse directamente con los controladores de dominio de la
otra sucursal, debido a restricciones de firewall. ¿Cómo se puede configurar la arquitectura de los vínculos de
sitios en AD DS para integrar el firewall y garantizar que el Comprobador de coherencia de la información (KCC)
no cree una conexión en forma automática entre los sitios de las sucursales?
5. La organización tiene una oficina central y 20 sucursales. Cada oficina se encuentra configurada como un sitio
separado. Se cuenta con tres controladores de dominio implementados en la oficina central. Uno de los
controladores de dominio de la oficina central tiene un procesador más rápido y una memoria mayor que los
otros dos. Se quiere garantizar que la carga de trabajo de la replicación de AD DS sea asignada al mejor
equipo. ¿Qué se debe hacer?
Observaciones al momento de configurar Sitios y la replicación de AD DS
Complementar o modificar los siguientes procedimientos recomendados según las situaciones de trabajo:
En una organización con un solo sitio, la mayoría de las veces se puede aceptar la configuración
predeterminada de replicación. Aunque se pueden modificar los tiempos de notificación predeterminados para
la replicación de AD DS, rara vez existe razón alguna para hacerlo.
En una organización con sitios múltiples se debe planear el diseño del sitio para optimizar el uso de la WAN,
minimizando el tráfico de replicación de Active Directory y de inicio de sesión de los clientes.
Usar los servidores cabeza de puente preferidos sólo si se desea que algunos controladores de dominio del
sitio no sean servidores cabeza de puente. Algunos controladores de dominio pueden no ser lo suficientemente
potentes como para replicarse en forma confiable entre sitios. De lo contrario, se debe permitir que el
generador de topología entre sitios seleccione automáticamente servidores cabeza de puente.
La configuración del sitio y las ubicaciones de los controladores de dominio dentro de los sitios, puede ser
modificada luego de su instalación. Si se detecta que la replicación de AD DS resulta ineficiente, o la
organización crece, es muy fácil modificar el proceso de replicación de AD DS, agregando o quitando sitios, o
modificando la configuración de los vínculos de sitio.
El tráfico de replicación de AD DS entre sitios se comprime. Esto significa que, excepto en las grandes
organizaciones, el tráfico de replicación no consumirá una gran cantidad de ancho de banda entre sitios.
Herramientas
Usar las siguientes herramientas cuando se configuran los Sitios y replicación de AD DS:
Herramienta
Usar para
Dónde encontrarla
Administrador del
Servidor
Obtener acceso a las Herramientas de
administración de AD DS en una única
consola.
Sitios y servicios de Crear y configurar sitios, subredes,
Active Directory
desplazar controladores de dominio entre
sitios y forzar la replicación.
Repadmin
DCDiag
Haga clic en Inicio, luego vaya a Herramientas
administrativas y haga clic en Administrador
del servidor.
Haga clic en Inicio, luego vaya a Herramientas
administrativas y haga clic en Usuarios y equipos
de Active Directory.
Recopilar datos sobre la topología de
replicación actual y su estado y crear nuevos Instalada de manera predeterminada y se puede
obtener acceso desde un símbolo del sistema.
objetos de replicación.
Recopilar datos sobre los controladores de Instalada de manera predeterminada y se puede
dominio, incluyendo asociados de
obtener acceso desde un símbolo del sistema.
replicación y estado.
Modulo 5 : Creación y configuración de las directivas de grupo
Módulo 5
Creación y configuración de las directivas de grupo
Los administradores enfrentan desafíos cada vez más complejos al administrar la infraestructura de la Tecnología de
la información (TI). Deben ofrecer y mantener configuraciones de escritorio personalizadas para una mayor variedad
de empleados; como usuarios móviles, trabajadores de la información u otros asignados a tareas estrictamente
definidas, como ingreso de datos.
La Directiva de grupo y la infraestructura de Servicios de dominio de Active Directory® (AD DS) de Windows
Server®°2008 permiten a los administradores de TI automatizar la administración de usuarios y equipos, simplificando
así las tareas administrativas y reduciendo los costos de TI. Gracias a la Directiva de grupo y a AD DS, los
administradores pueden implementar configuraciones de seguridad y aplicar directivas de TI eficazmente y distribuir
software de manera constante a través de un determinado sitio, dominio o rango de unidades organizativas (OU).
Lección 1: Descripción general de la Directiva de grupo
Lección 2: Configuración del ámbito de la Directiva de grupo
Lección 3: Evaluación de la aplicación de objetos de Directiva de grupo
Lección 4: Administración de objetos de directiva de grupo
Lección 5: Delegación del control administrativo de Directiva de grupo
Laboratorio: Creación y configuración de objetos de Directiva de grupo
Lección 1: Descripción general de la Directiva de grupo
Lección 1:
Descripción general de las directivas de grupo
Esta lección describe cómo usar la Directiva de grupo para simplificar la administración de equipos y usuarios en un
entorno de Directorio activo. Aprenderá cómo se estructuran y aplican los Objetos de directiva de grupo (GPO) y
algunas de las excepciones para la aplicación de los GPO.
Asimismo, detalla las características de la Directiva de grupo que están incluidas con Windows Server 2008, que
también facilitarán la administración de equipos y usuarios.
¿Qué son las directivas de seguridad?
¿Qué son las directivas de seguridad?
Puntos clave
La Directiva de grupo es una tecnología de Microsoft® que admite la administración de equipos y usuarios del tipo uno
a varios en un entorno de Active Directory. Al editar la configuración de la Directiva de grupo y orientar un Objeto de
directiva de grupo hacia los usuarios y equipos deseados, puede administrar valores de configuración específicos de
manera centralizada. Así, es posible administrar prácticamente miles de equipos o usuarios cambiando sólo un GPO.
Un Objeto de directiva de grupo es el conjunto de valores que se aplican a los usuarios y equipos seleccionados.
La Directiva de grupo puede controlar muchos aspectos del entorno de un objeto de destino, incluyendo el registro, la
seguridad del sistema de archivos NTFS, las directivas de auditoría y seguridad, la instalación y restricción de
software, el entorno de escritorio, los scripts de inicio y fin de sesión, etc.
Es posible asociar un GPO a múltiples contenedores en AD DS mediante la vinculación. Del mismo modo, es posible
vincular múltiples GPO a un contenedor.
Pregunta: ¿Cuándo sería útil la Directiva de grupo local en un entorno de dominio?
Material de lectura adicional
Artículo de Microsoft Technet: Directiva de grupo de Windows Server
Configuración de Directiva de grupo
Configuración de Directiva de grupo
Puntos clave
La Directiva de grupo tiene miles de valores configurables (alrededor de 2.400). Dichos valores pueden influir en casi
todas las áreas del entorno de computación. No es posible aplicar todos los valores a todas las versiones de sistemas
operativos Windows. Por ejemplo, muchos de los nuevos valores del sistema operativo Windows® XP Professional,
Service Pack (SP) 2, como las directivas de restricción de software, sólo se aplicaban a ese sistema operativo.
Asimismo, muchos de los cientos de valores nuevos sólo se aplican al sistema operativo Windows°Vista® y a
Windows Server 2008. Si a un equipo se le aplica un valor que no puede procesar, simplemente lo ignora.
Pregunta: ¿Cuál de las nuevas características le resultará más útil en su entorno?
Material de lectura adicional
Artículo de Microsoft Technet: Resumen de la configuración de la Directiva de grupo nueva o ampliada
Artículo de Microsoft Technet: Novedades sobre Directivas de grupo en Windows Vista y Windows Server
2008
Cómo se aplican las directivas de grupo
Cómo se aplican las directivas de grupo
Puntos clave
Los clientes inician la aplicación de la Directiva de grupo solicitando los GPO desde AD DS. Cuando se aplica una
Directiva de grupo a un usuario o equipo, el componente cliente interpreta la directiva y realiza los cambios de entorno
correspondientes. Dichos componentes se denominan Extensiones de cliente de directivas de grupo. A medida que
se procesan los GPO, el proceso de Winlogon envía la lista de los GPO a procesar a todas las Extensiones de cliente
de directivas de grupo. Entonces, la extensión usa la lista para procesar la directiva correcta cuando corresponda.
Pregunta: ¿Cuáles serían algunas de las ventajas y desventajas de reducir el intervalo de actualización?
Material de lectura adicional
Artículo de Microsoft Technet: Directiva de grupo de Windows Server
Excepciones al procesamiento de Directiva de grupo
Excepciones al procesamiento de Directiva de grupo
Puntos clave
Existen diversos factores que pueden alterar el procesamiento normal de la Directiva de grupo; como por ejemplo el
uso de una conexión lenta. Además, dependiendo de los diversos tipos de conexiones o sistemas operativos, varía la
administración del procesamiento de Directiva de grupo.
Pregunta: ¿En qué aspecto el Reconocimiento de ubicación de red (NLA) es superior al Protocolo de mensaje de
control de Internet (ICMP) para la correcta aplicación de la Directiva de grupo?
Material de lectura adicional
Controlar las Extensiones de cliente mediante la Directiva de grupo
Componentes de Directiva de grupo
Componentes de Directiva de grupo
Puntos clave
Es posible usar las plantillas de Directiva de grupo para crear y establecer valores de Directiva de grupo, almacenados
por los GPO. Los GPO se almacenan a su vez en el Contenedor de volumen de sistema (SYSVOL) en AD DS. El
contenedor de SYSVOL funciona como repositorio central de los GPO. De este modo, una directiva podría estar
relacionada con múltiples contenedores de Active Directory mediante la vinculación. Del mismo modo, varias directivas
podrían vincularse a un contenedor.
La Directiva de grupo cuenta con tres componentes principales:
Plantillas de Directiva de grupo
Contenedor de Directiva de grupo
Objetos de directiva de grupo
¿Qué son los archivos ADM y ADMX?
¿Qué son los archivos ADM y ADMX?
Puntos clave
Archivos ADM
Tradicionalmente, los archivos ADM se usan para definir los valores que puede configurar el administrador a través de
la Directiva de grupo. Todos los sistemas operativos y los service pack Windows consecutivos incluyen una versión
más actualizada de dichos archivos. Los archivos ADM usan su propio lenguaje de marcado. Por este motivo, es difícil
personalizar archivos ADM. Las plantillas de ADM se encuentran en la carpeta %SystemRoot%\Inf.
Archivos ADMX
Windows Vista y Windows Server 2008 presentan un nuevo formato para mostrar valores de directivas basadas en el
registro. Los valores de la directiva basada en el registro se definen usando un formato de archivo XML basado en los
estándares, denominado archivos ADMX. Estos nuevos archivos reemplazan los archivos ADM. Las herramientas de
Directiva de grupo de Windows Vista y Server 2008 continuarán reconociendo los archivos ADM personalizados que
poseen en su ámbito anterior, pero omitirán todo archivo ADM que haya sido suplantado por archivos ADMX.
Pregunta: ¿Cómo podría discernir si un GPO se ha creado o editado usando archivos ADM o ADMX?
Material de lectura adicional
Artículo de Microsoft Technet: Guía paso a paso para la administración de archivos ADMX de directiva de grupo
Soporte técnico de Microsoft: Ubicación de los archivos ADM (Plantilla administrativa) en Windows
¿Qué es el almacén central?
¿Qué es el almacén central?
Puntos clave
Para empresas basadas en el dominio, los administradores pueden crear una ubicación de almacén central de
archivos ADMX a la que puede obtener acceso cualquiera que tenga permiso para crear o editar Objetos de directiva
de grupo. El editor de GPO de Windows Vista y Windows Server 2008 lee y muestra automáticamente la configuración
de la directiva de Plantillas administrativas de archivos ADMX que el almacén central almacena en la memoria caché y
omite los que están almacenados localmente. Si el controlador de dominio no se encuentra disponible, se usa el
almacén central.
Debe crearse el almacén central y actualizarse manualmente en un controlador de dominio. El uso de archivos ADMX
dependerá del sistema operativo del equipo en el que se está creando o editando el GPO. Por lo tanto, el controlador
de dominio puede ser un servidor con Windows 2000, Windows Server®°2003 o Windows Server 2008. El Servicio
de replicación de archivos (FRS) replicará el controlador del dominio a otros controladores de ese dominio.
Pregunta: ¿Cuál sería la ventaja de crear el almacén central en el emulador PDC?
Material de lectura adicional
Soporte técnico de Microsoft: Cómo crear un almacén central para plantillas administrativas de Directiva de
grupo en Windows Vista
Demostración: Configuración de objetos de directiva de grupo
Demostración: Configuración de objetos de directiva de grupo
Pregunta: Cuando se abre la GPMC en un equipo con Windows XP, no se ve la nueva configuración de Windows
Vista en el Editor de objetos de directiva de grupo. ¿Por qué?
Lección 2: Configuración del ámbito de la Directiva de grupo
Lección 2:
Configuración del ámbito de la Directiva de grupo
Existen diversas técnicas en la Directiva de grupo que permiten a los administradores manipular el modo de aplicación
de la Directiva de grupo. Es posible controlar el orden de procesamiento de directivas predeterminado mediante la
aplicación de: bloqueo de la herencia, filtros de seguridad, filtros del Instrumental de administración de Windows
(WMI), o usando la característica de bucle invertido. En esta lección se describen estas técnicas.
Orden de procesamiento de directiva de grupo
Orden de procesamiento de directiva de grupo
Puntos clave
No todos los GPO que se aplican a un usuario o equipo tienen la misma precedencia. Los GPO se aplican en un
determinado orden. Dicho orden implica que los primeros valores que se procesan pueden sobrescribirse con valores
que se procesan luego. Por ejemplo, una directiva aplicada a nivel de la OU para esa OU en particular puede revertir
una directiva que restringe el acceso al Panel de control a nivel del dominio.
Pregunta: Su organización tiene diversos dominios en múltiples sitios. Se desea aplicar una Directiva de grupo a
todos los usuarios de dos dominios diferentes. ¿Cuál es la mejor manera de lograrlo?
Material de lectura adicional
Artículo de Microsoft Technet: Group Policy processing and precedence (Procesamiento y precedencia de la
Directiva de grupo)
(Procesamiento y precedencia de la Directiva de grupo)
¿Qué son las directivas de grupo local múltiples?
¿Qué son las directivas de grupo local múltiples?
Puntos clave
En los sistemas operativos de Microsoft anteriores al Windows Vista, sólo era posible establecer una configuración en
la Directiva de grupo local. Dicha configuración se aplicaba a todos los usuarios que iniciaban sesión desde el equipo
local. Si bien esto no ha cambiado, Windows Vista y Windows Server 2008 tienen una característica adicional. Con
Windows Vista y Windows Server 2008, ahora los usuarios locales pueden establecer diversos valores de usuario. No
obstante, continúa habiendo sólo una configuración de equipo disponible, que afecta a todos los usuarios.
Pregunta: ¿Cuándo serían útiles los Objetos de directiva de grupo local múltiples en un entorno de dominio?
Material de lectura adicional
Artículo de Microsoft Technet: Step-by-Step Guide to Managing Multiple Local Group Policy Objects (Guía paso
a paso para la administración de Objetos de directiva de grupo local múltiples)
Opciones para modificar el procesamiento de la directiva de grupo
Opciones para modificar el procesamiento de la directiva de grupo
Puntos clave
Puede haber ocasiones en las que el funcionamiento de la Directiva de grupo no sea el deseado. Por ejemplo, puede
resultar necesario que determinados usuarios o grupos estén exentos de la configuración restrictiva o que un GPO
tuviera que aplicarse sólo a equipos con determinadas características de hardware o software. De manera
predeterminada, todos los valores de la Directiva de grupo se aplican al grupo de Usuarios autenticados de un
determinado contenedor. Sin embargo, es posible modificar dicho comportamiento mediante diversos métodos.
Pregunta: Ha creado una directiva de restricción de escritorio y la ha vinculado a la Unidad organizativa de finanzas. La
Unidad organizativa de finanzas tiene varias unidades organizativas secundarias que poseen GPO independientes que
revocan algunas de las restricciones de su escritorio. ¿Cómo se aseguraría de que todos los usuarios del
Departamento de finanzas recibieran su directiva de escritorio?
Material de lectura adicional
Artículo de Microsoft Technet: Controlar el ámbito de los Objetos de directiva de grupo usando la GPMC
Demostración: Configurar vínculos de objetos de directiva de grupo
Demostración: Configurar vínculos de objetos de directiva de grupo
Pregunta: Verdadero o falso: si se vincula un GPO a múltiples contenedores, la modificación de la configuración de
uno de esos vínculos sólo afectará ese contenedor.
Demostración: Configurar la herencia de directivas de grupo
Demostración: Configurar la herencia de directivas de grupo
Pregunta: Su dominio tiene dos directivas de nivel de dominio: GPO1 y GPO2. Debe asegurarse de que todas las
unidades organizativas reciban el GPO 1; pero dos de ellas no pueden verse afectadas por el GPO2. ¿Cómo se
puede lograr esto?
Demostración: Filtración de objetos de directiva de grupo usando grupos
de seguridad
Demostración: Filtración de objetos de directiva de grupo usando grupos de seguridad
Pregunta: Desea garantizar que una directiva específica vinculada a una unidad organizativa sólo repercutirá sobre los
miembros del grupo global Administrador. ¿Cómo se lograría esto?
Demostración: Filtrar objetos de directivas de grupo usando filtros de WMI
Demostración: Filtrar objetos de directivas de grupo usando filtros de WMI
Pregunta: Necesita implementar una aplicación de software que requiere que los equipos tengan más de 1 GB de
RAM. ¿Cuál es la mejor manera de lograrlo?
¿Cómo funciona el procesamiento de bucle invertido?
¿Cómo funciona el procesamiento de bucle invertido?
Puntos clave
La configuración de la directiva del usuario suele derivar exclusivamente de los GPO asociados a la cuenta del usuario,
según la ubicación de su AD DS. No obstante, el procesamiento de bucle invertido indica al sistema que debe aplicar
un conjunto de valores del usuario alternativo al equipo para cualquier usuario que inicie sesión en un equipo afectado
por dicha directiva. El procesamiento de bucle invertido está pensado para equipos de uso especial en los que se
debe modificar la directiva de uso según el equipo, como es el caso de los equipos de lugares públicos o aulas. Al
aplicar bucle invertido, se verán afectados todos los usuarios, excepto los locales.
El bucle invertido funciona usando los dos modos que se presentan a continuación:
Modo de fusión
Modo de reemplazo
Material de lectura adicional
Artículo de Microsoft Technet: El procesamiento de bucle invertido con fusión o reemplazo
Artículo de Microsoft Technet: Procesamiento de bucle invertido de Directiva de grupo
Discusión: Configuración del ámbito de procesamiento de directiva de
grupo
Discusión: Configuración del ámbito de procesamiento de directiva de grupo
Escenario
Use el siguiente escenario para la discusión.
Estructura física
El Woodgrove Bank posee un único dominio que abarca dos sitios: la oficina central y Toronto. El sitio Toronto está
conectado al sitio de la oficina central a través de un vínculo de alta velocidad. Dentro de la oficina central, hay una
sucursal en Winnipeg. Esta oficina está conectada a la oficina central a través de un vínculo lento. En la oficina de
Winnipeg hay cinco usuarios. La oficina de Winnipeg no cuenta con un controlador de dominio sino con un servidor
SQL server.
Esta organización abarca equipos con Windows XP Professional y Windows Vista.
Requisitos
Todos los equipos del dominio que tienen instalado el Windows XP Professional contarán con una pequeña aplicación
de software distribuida a través de la Directiva de grupo.
Los usuarios del dominio no deberían tener acceso a las propiedades de pantalla del escritorio. El grupo
Administradores estará exento de esta restricción.
Tanto a los usuarios de Winnipeg como a los de la sucursal de Toronto se les aplicarán más restricciones de
escritorio.
Ambas sucursales contarán con un equipo quiosco en el lobby para acceso público a Internet. Es necesario bloquear
este equipo para que el usuario no pueda modificar la configuración. Las cuentas de sus equipos se ubican en las
unidades organizativas de sus respectivas sucursales.
Las cuentas de los equipos de todos los servidores, a excepción de los controladores de dominio, se ubicarán en la
unidad organizativa del servidor o en una unidad organizativa anidada dentro de la unidad organizativa del servidor. Se
debe aplicar la configuración de Seguridad de línea de base a todos los servidores.
Se debe aplicar la configuración de Seguridad de línea de base a todos los servidores SQL server.
Pregunta: ¿Cómo construiría un esquema de Directiva de grupo para cumplir con los requisitos?
Lección 3: Evaluación de la aplicación de objetos de Directiva de grupo
Lección 3:
Evaluación de la aplicación de objetos de Directiva de grupo
Los administradores de sistema necesitan saber de qué modo la configuración de la Directiva de grupo afecta los
equipos y usuarios de un entorno administrado. Esta información es esencial cuando se planea la Directiva de grupo
para una red y cuando se depuran Objetos de directiva de grupo existentes. Obtener la información puede ser una
tarea compleja si se tiene en cuenta la gran cantidad de posibles combinaciones de sitios, dominios y unidades
organizativas, y los numerosos tipos de configuraciones de Directiva de grupo que puede haber. Los filtros de los
grupos de seguridad y la herencia, el bloqueo y la implementación de GPO complican aún más la tarea. La herramienta
de la línea de comandos Resultados de directiva de grupo (GPResult.exe) y la GPMC ofrecen informes para
simplificar dichas tareas.
¿Qué es el informe de directiva de grupo?
¿Qué es el informe de directiva de grupo?
Puntos clave
El informe de Directiva de grupo es una característica de la Directiva de grupo que facilita la implementación y la
solución de problemas. Dos herramientas principales para la solución de problemas son la herramienta de la línea de
comandos GPResult.exe y el asistente para Resultados de directiva de grupo de la GPMC. La característica de
Resultados de directiva de grupo permite a los administradores determinar el conjunto de directivas resultante aplicado
a un determinado equipo y/o usuario que ha iniciado sesión en ese equipo. Si bien estas herramientas son similares,
cada una de ellas brinda distinta información.
Pregunta: Desea saber qué controlador de dominio ofreció Directiva de grupo a un cliente. ¿Qué utilidad usaría para
averiguarlo?
Material de lectura adicional
Recursos de Microsoft: Gpresult
Artículo de Microsoft Technet: Resultados de directiva de grupo (Administrar Directivas de grupo con la
Consola de administración de Directivas de grupo)
¿Qué es la modelación de directivas de grupo?
¿Qué es la modelación de directivas de grupo?
Puntos clave
Otro método para evaluar Directivas de grupo es usar el Asistente para Modelación de directivas de grupo en la GPMC
para modelar cambios del entorno antes de hacerlos efectivos. El Asistente para Modelación de directivas de grupo
calcula el efecto neto de los GPO. El Asistente para Modelación de directiva de grupo también simula, por ejemplo, la
pertenencia al grupo de seguridad, la evaluación del filtro de WMI y las consecuencias de mover los objetos de un
usuario o equipo a otra unidad organizativa o sitio. También es posible especificar la detección de vínculo lento, el
procesamiento de bucle invertido, o ambos usando el Asistente para Modelación de directivas de grupo.
De hecho, el proceso de Modelación de directiva de grupo se ejecuta en un controlador de dominio en su dominio de
Active Directory. Como el asistente nunca consulta el equipo cliente, no puede considerar las directivas locales.
Pregunta: ¿Qué simulaciones se pueden realizar con el Asistente para Modelación de directivas de grupo? Elija todas
las que correspondan.
1. Procesamiento de bucle invertido
2. Mover un usuario a otro dominio del mismo bosque.
3. Filtro de grupo de seguridad
4. Detección de vínculo lento
5. Filtro de WMI
6. Todas las anteriores
Material de lectura adicional
Artículo de Microsoft Technet: Usar Modelación de directivas de grupo y Resultados de directivas de grupo
para evaluar los valores de la Directiva de grupo
Demostración: Cómo evaluar la aplicación de la directiva de grupo
Demostración: Cómo evaluar la aplicación de la directiva de grupo
Pregunta: Un usuario informa que no puede obtener acceso al Panel de control. Otros usuarios del departamento
pueden obtener acceso al Panel de control. ¿Qué herramientas usaría para solucionar el problema?
Lección 4: Administración de objetos de directiva de grupo
Lección 4:
Administración de objetos de Directiva de grupo
La GPMC brinda mecanismos para realizar copias de seguridad, restaurar, migrar y copiar los GPO existentes. Es de
vital importancia para conservar las instalaciones de su Directiva de grupo en caso de error o desastre. Ayuda a evitar
la recreación manual de los GPO perdidos o dañados y a tener que realizar la planificación, evaluación e instalación de
las fases nuevamente. Parte de su plan de operaciones de Directiva de grupo actual debe incluir copias de seguridad
regulares de todos los GPO.
La GPMC también permite copiar e importar Objetos de directiva de grupo tanto del mismo dominio como entre
dominios.
Tareas de administración de GPO
Tareas de administración de GPO
Puntos clave
Al igual que con los datos críticos y los recursos relacionados con Active Directory, se deben realizar copias de
seguridad de los GPO para proteger la integridad del AD DS y los GPO. La GPMC ofrece las opciones de copia de
seguridad y restauración básicas, pero también brinda control adicional sobre los GPO para fines administrativos.
Pregunta: Se realizan copias de seguridad regulares de los GPO. Un administrador cambió varios valores del GPO
incorrecto inadvertidamente. ¿Cuál es la manera más rápida de resolver el problema?
Material de lectura adicional
Biblioteca de Windows Server: Copia de seguridad, restauración, migración y copia de los GPO.
Artículo de Microsoft Technet: Importar usando la GPMC
¿Qué es un GPO de inicio?
¿Qué es un GPO de inicio?
Puntos clave
Los GPO de inicio almacenan un grupo de valores de la Directiva de la plantilla administrativa de un solo objeto. Los
GPO de inicio sólo contienen Plantillas administrativas. Es posible importar y exportar los GPO de inicio para
distribuirlos a otras áreas de la empresa.
Al crear un nuevo GPO desde un GPO de inicio, el nuevo GPO posee todos los valores de la Plantilla administrativa
que el GPO de inicio definió. De este modo, los GPO de inicio funcionan como plantillas para crear GPO; lo que ayuda
a obtener consistencia en entornos distribuidos.
Es posible exportar los GPO de inicio individuales a archivos .Cab para facilitar la distribución. Luego, es posible volver
a importar estos archivos a la GPMC La GPMC almacena los GPO de inicio en una carpeta denominada GPO de inicio,
ubicada en SYSVOL.
Material de lectura adicional
Temas de ayuda: Trabajar con GPO de inicio
Demostración: Cómo copiar un GPO
Demostración: Cómo copiar un GPO
Pregunta: ¿Cuál es la ventaja de copiar un GPO y vincularlo a una unidad organizativa sobre vincular el GPO original a
múltiples unidades organizativas?
Demostración: Realización de copias de seguridad y restauración de GPO
Demostración: Realización de copias de seguridad y restauración de GPO
Pregunta: ¿Qué permisos se necesitan para realizar una copia de seguridad de un GPO?
Demostración: Importación de un GPO
Demostración: Importación de un GPO
Pregunta: ¿Cuál es el propósito de una tabla de migración?
Migración de objetos de directiva de grupo
Migración de objetos de directiva de grupo
Puntos clave
El Migrador ADMX permite convertir plantillas de ADM personalizadas a plantillas ADMX. También se crea el archivo
ADML asociado. Los archivos convertidos se guardan en la carpeta de documentos del usuario de manera
predeterminada. Una vez creados los nuevos archivos, se debe copiar el archivo ADMX en la carpeta Definiciones de
directiva o en otro almacén central, y copiar el archivo ADML en la subcarpeta correspondiente. Entonces, las nuevas
Plantillas administrativas comienzan a estar disponibles en la GPMC.
Material de lectura adicional
Sitio web de Microsoft: Migrador ADMX
Lección 5: Delegación del control administrativo de Directiva de grupo
Lección 5:
Delegación del control administrativo de directivas de grupo
En un ámbito distribuido, es habitual encontrar diversos grupos delegados a la realización de diferentes tareas
administrativas. La Administración de directivas de grupo es una de las tareas administrativas que se pueden delegar.
Opciones para delegar el control de los GPO
Opciones para delegar el control de los GPO
Puntos clave
La delegación permite la distribución de la carga de trabajo administrativo a través de la empresa. Un grupo podría
encargarse de la creación y edición de los GPO, mientras otro grupo realiza los informes y análisis. Un grupo
independiente podría encargarse de los filtros de WMI.
Es posible delegar de manera independiente las siguientes tareas de Directiva de grupo:
Crear los GPO
Editar los GPO
Administrar vínculos de Directiva de grupo para un sitio, dominio o unidad organizativa
Realizar análisis de Modelación de directiva de grupo en un determinado dominio o unidad organizativa
Leer los datos de Resultados de directivas de grupo para objetos en un determinado dominio o unidad
organizativa
Crear filtros de WMI en un dominio
Pregunta: Se realizan copias de seguridad regulares de los GPO. Un administrador cambió varios valores del GPO
incorrecto inadvertidamente. ¿Cuál es la manera más rápida de resolver el problema?
Material de lectura adicional
Artículo de Microsoft Technet: Delegar la Directiva de grupo
Demostración: Cómo delegar el control administrativo de los GPO
Demostración: Cómo delegar el control administrativo de los GPO
Pregunta: Un usuario que se encuentra en un dominio diferente del bosque necesita un permiso para crear Objetos
de directiva de grupo (GPO) en su dominio. ¿Cuál es la mejor manera de lograrlo?
Laboratorio: Creación y configuración de objetos de Directiva de grupo
Laboratorio: Creación y configuración GPO
Escenario
El Woodgrove Bank ha decidido implementar la Directiva de grupo para administrar los escritorios de los usuarios y
configurar la seguridad de los equipos. La organización ya ha implementado una configuración de unidades
organizativas que incluye unidades organizativas de máximo nivel agrupadas por ubicación, con unidades organizativas
adicionales dentro de cada ubicación para los distintos departamentos. Las cuentas de usuario se encuentran dentro
del mismo contenedor que las cuentas del equipo de la estación de trabajo. Las cuentas del equipo del servidor se
encuentran distribuidas entre diversas unidades organizativas.
El administrador de la empresa ha creado un plan de implementación de GPO. Se le ha solicitado que cree GPO para
que se puedan aplicar determinadas directivas a todos los objetos de dominio. Algunas directivas son obligatorias.
También desea crear valores de directiva que se apliquen sólo a subconjuntos de objetos de dominio y desea que las
directivas de la configuración de los equipos y de los usuarios sean independientes. Debe delegar la administración de
GPO a los administradores dentro de cada empresa.
Nota: Algunas de las tareas de este laboratorio están diseñadas para ilustrar las técnicas de administración y
configuración de GPO y puede que no siempre sigan los procedimientos recomendados.
Requisitos de Directiva de grupo
Los usuarios del dominio no tendrán acceso al menú Ejecutar. La directiva se aplicará a todos los usuarios,
excepto a los de la unidad organizativa Admins TI.
Los ejecutivos no tendrán acceso a la configuración de pantalla de escritorio.
Los usuarios de las sucursales de NYC, Miami y Toronto no tendrán acceso al Panel de control. Todos los
administradores de sucursales estarán exentos de esta restricción.
Se aplicará a todos los equipos del dominio una directiva de Seguridad de línea de base, obligatoria, que no
mostrará el nombre del último usuario que ha iniciado sesión.
A los equipos con Windows Vista o Windows XP se les aplicará una configuración adicional para que esperen
la red en el inicio.
Los usuarios del grupo de administradores tendrán la URL de soporte técnico de Microsoft en Favoritos.
En los equipos quiosco de las sucursales se habilitará el procesamiento de bucle invertido.
Ejercicio 1: Creación y configuración de objetos de directiva de grupo
Ejercicio 1: Creación y configuración de objetos de directiva de grupo
Creará y vinculará los GPO que especifique el diseño del administrador de la empresa. Las tareas incluyen modificar la
directiva de domino predeterminada y crear directivas vinculadas a unidades organizativas y sitios específicos.
Las principales tareas se realizarán como se detalla a continuación:
1. Encender e iniciar la sesión en NYC-DC1.
2. Crear los GPO.
3. Configurar los GPO
4. Vincular los GPO.
Tarea 1: Encender e iniciar la sesión en NYC-DC1
En la máquina host, haga clic en Inicio, elija Todos los programas, seleccione Microsoft Learning y luego,
haga clic en 6824A. Se inicia Iniciador de laboratorio.
En Iniciador de laboratorio, junto a 6824A-NYC-DC1, haga clic en Inicio.
Inicie sesión en NYC- DC1 como Administrador usando la contraseña Pa$$w0rd.
Minimice la ventana Iniciador de laboratorio.
Tarea 2: Crear los GPO
Use la GPMC para hacer lo siguiente:
Crear un GPO llamado Restringir panel de control.
Crear un GPO llamado Restringir pantalla del escritorio.
Crear un GPO llamado Restringir comando de ejecución.
Crear un GPO llamado Seguridad de línea de base.
Crear un GPO llamado Seguridad de Vista y XP
Crear un GPO llamado Admin Favoritos.
Crear un GPO llamado Seguridad de equipo quiosco
Tarea 3: Configurar los GPO
1. Edite el GPO Restringir comando ejecutar para impedir el acceso al menú Ejecutar.
2. Edite el GPO Seguridad de línea de base de manera tal que no muestre el nombre del último usuario que ha
iniciado sesión.
3. Edite el GPO Seguridad de Vista y XP para que siempre espere que la red reinicie los equipos.
4. Edite el GPO Admin Favoritos de manera tal que incluya la URL de soporte técnico de Microsoft
(http://support.microsoft.com) en los Favoritos de Internet.
5. Edite el GPO Restringir panel de control para evitar el acceso de los usuarios al Panel de control.
6. Edite el GPO Restringir pantalla de escritorio para evitar el acceso a la configuración de pantalla de
escritorio.
7. Edite el GPO Seguridad de equipo quiosco de manera tal que use el procesamiento de bucle invertido y
oculte e inhabilite todos los elementos del escritorio al usuario que ha iniciado sesión.
Nota: Algunos de los pasos de esta tarea, están dispuestos en otro orden en la guía de laboratorio, ambos son
correctos, solo se encuentran en un orden diferente.
Tarea 4: Vincular los GPO
Use la GPMC para hacer lo siguiente:
Vincular el GPO Restringir comando ejecutar al contenedor de dominio.
Vincular el GPO Seguridad de línea de base al contenedor de dominio.
Vincular el GPO Seguridad de Vista y XP al contenedor de dominio.
Vincular el GPO Seguridad del equipo quiosco al contenedor de dominio.
Vincular el GPO Admin Favoritos a la unidad organizativa Admin.
Vincular el GPO Restringir panel de control a las unidades organizativas de Miami, NYC y Toronto.
Vincular el GPO Restringir pantalla del escritorio a la unidad organizativa Ejecutivos.
Resultado: Al finalizar este ejercicio, habrá creado y configurado Objetos de directiva de grupo.
Ejercicio 1: Respuestas claves (pasos detallados)
Ejercicio 2: Administración del ámbito de aplicación de GPO
Ejercicio 2: Administración del ámbito de aplicación de GPO
En este ejercicio, se configurará el ámbito de la configuración de GPO basada en el diseño del administrador de la
empresa. Las tareas incluyen deshabilitar partes de los GPO, bloquear e implementar herencia y aplicar filtros en base
a los grupos de seguridad y a los filtros de WMI.
Las principales tareas se realizarán como se detalla a continuación:
1. Configurar la administración de directivas de grupo para el contenedor de dominio.
2. Configurar la administración de Directivas de grupo para la unidad organizativa Admins TI
3. Configurar la administración de Directivas de grupo para las unidades organizativas de las sucursales.
4. Crear y aplicar un filtro de WMI para el GPO Seguridad de Vista y XP.
Tarea 1: Configurar la administración de directivas de grupo para el contenedor de dominio
1. Configure el vínculo Seguridad de línea de base para que esté en modo Exigido y deshabilitar la directiva
para el Usuario.
2. Configure Seguridad de Vista y XP para que esté en modo Exigido.
3. Use el filtro de pertenencia al grupo de seguridad para configurar el GPO Seguridad del equipo quiosco de
manera tal que se aplique sólo al grupo global Equipos quiosco.
Tarea 2: Configurar la administración de Directivas de grupo para la unidad organizativa Admins TI
Bloquee la herencia en la unidad organizativa Admins TI de manera tal que los usuarios de Admins TI estén
exentos del GPO Restringir comando ejecutar.
Tarea 3: Configurar la administración de Directivas de grupo para las unidades organizativas de las sucursales
Use el filtro de pertenencia al grupo de seguridad para configurar el GPO Restringir panel de control de
manera tal que deniegue el permiso Aplicar directiva de grupo a los siguientes grupos:
Mia_GerentesSucursalGG
NYC_GerentesSucursalGG
Tor_GerentesSucursalGG
Resultado: Al finalizar este ejercicio, habrá configurado el ámbito de la configuración de los GPO.
Ejercicio 2: Respuestas claves (pasos detallados)
Ejercicio 3: Comprobación de la aplicación de GPO
Ejercicio 3: Comprobación de la aplicación de GPO
En este ejercicio se comprobará la aplicación de los GPO para garantizar que los GPO se apliquen como se
especifica en el diseño. Los estudiantes iniciarán sesión como usuarios específicos y también usarán la Modelación
de directivas de grupo y el Conjunto de directivas resultante (RSoP) para comprobar que los GPO se estén aplicando
correctamente.
Las principales tareas se realizarán como se detalla a continuación:
1. Iniciar NYC-CL1.
2. Comprobar que un usuario de la sucursal de Miami está recibiendo la directiva correcta.
3. Comprobar que un administrador de la sucursal de Miami está recibiendo la directiva correcta.
4. Comprobar que un usuario de la unidad organizativa Admins TI está recibiendo la directiva correcta.
5. Comprobar que un usuario de la unidad organizativa ejecutiva está recibiendo la directiva correcta.
6. Comprobar que no aparezca el nombre de usuario.
7. Usar la modelación de Directiva de grupo para comprobar la configuración del equipo quiosco.
Tarea 1: Iniciar NYC-CL1
Tarea 2: Comprobar que un usuario de la sucursal de Miami está recibiendo la directiva correcta
1. Inicie sesión en NYC-CL1 como Anton, usando la contraseña Pa$$w0rd.
2. Asegúrese de que no haya vínculo al menú Ejecutar en la carpeta Accesorios en el menú Inicio.
3. Asegúrese de que no haya vínculo al Panel de control en el menú Inicio.
4. Cierre sesión.
Tarea 3: Comprobar que un administrador de la sucursal de Miami está recibiendo la directiva correcta
1. Inicie sesión en NYC-CL1 como Roya, usando la contraseña Pa$$w0rd.
2. Asegúrese de que no haya vínculo al menú Ejecutar en la carpeta Accesorios del menú Inicio.
3. Asegúrese de que aparezca un vínculo a Panel de control en el menú Inicio.
4. Cierre sesión.
Tarea 4: Comprobar que un usuario de la unidad organizativa Admins TI está recibiendo la directiva correcta
1. Inicie sesión en NYC-CL1 como Betsy, usando la contraseña Pa$$w0rd.
2. Asegúrese de que un vínculo al menú Ejecutar aparezca en la carpeta Accesorios en el menú Inicio.
3. Asegúrese de que aparezca un vínculo a Panel de control en el menú Inicio.
4. Inicie Explorador de Internet, abra Favoritos y asegúrese de que aparezca el vínculo a Soporte técnico.
5. Cierre sesión.
Tarea 5: Comprobar que un usuario de la unidad organizativa Executivos está recibiendo la directiva correcta
1. Inicie sesión en NYC-CL1 como Chase, usando la contraseña Pa$$w0rd.
2. Asegúrese de que no haya vínculo al menú Ejecutar en la carpeta Accesorios en el menú Inicio.
3. Asegúrese de que aparezca un vínculo a Panel de control en el menú Inicio.
4. Asegúrese de que no haya acceso a la configuración de pantalla de escritorio.
Pista: Al intentar obtener acceso a la configuración de pantalla, recibirá un mensaje que informa que la función ha sido
deshabilitada.
5. Cierre sesión.
Tarea 6: Comprobar que no aparezca el nombre de usuario.
Compruebe que no aparezca el nombre del último usuario que inició sesión.
Tarea 7: Usar la modelación de Directiva de grupo para comprobar la configuración del equipo quiosco
1. Inicie sesión en NYC-DC1 como Administrador, usando la contraseña Pa$$w0rd.
2. Inicie la GPMC, haga clic con el botón secundario en la carpeta Modelado de directivas de grupo, haga clic
en el Asistente de modelado de directivas de grupo y luego haga clic en Siguiente dos veces.
3. En la pantalla de Selección de usuario y equipo, haga clic en Equipo, escriba Woodgrovebank\NYC-CL1 y
haga clic en Siguiente tres veces.
4. En la pantalla de Grupos de seguridad del equipo, haga clic en Agregar.
5. En el cuadro de diálogo Seleccionar grupos, escriba Equipos quiosco y luego haga clic en Siguiente.
6. En la pantalla de Filtros WMI para equipos, haga clic en Siguiente dos veces, haga clic en Finalizar y luego
visualice el informe.
Resultado: Al finalizar este ejercicio, habrá comprobado y verificado una aplicación de GPO.
Ejercicio 3: Respuestas claves (pasos detallados)
Ejercicio 4: Administración de GPO
Ejercicio 4: Administración de GPO
En este ejercicio, se usará la GPMC para hacer copias de seguridad, restaurar e importar Objetos de directiva de
grupo.
Las principales tareas se realizarán como se detalla a continuación:
1. Hacer una copia de seguridad de una directiva individual.
2. Hacer copia de seguridad de todos los GPO.
3. Eliminar y restaurar un GPO individual.
4. Importar un GPO.
Tarea 1: Hacer una copia de seguridad de una directiva individual
1. En la GPMC, abra la carpeta Carpeta de directiva de grupo.
2. Haga clic con el botón secundario en la directiva Restringir panel de control y luego haga clic en Copia de
Seguridad.
3. Vaya hasta D:\6824\Copia de Seguridad GPO.
4. Haga clic en Hacer Copia de Seguridad y luego haga clic en Aceptar después de que la copia de seguridad
se haya realizado correctamente.
Tarea 2: Hacer copia de seguridad de todos los GPO
1. Haga clic con el botón secundario en la carpeta Carpeta de directivas de grupo y luego haga clic en Hacer
Copias de seguridad de todos.
2. Asegúrese de que la ubicación de la copia de seguridad sea D:\6824\Copias de Seguridad GPO. Confirme la
eliminación.
Tarea 3: Eliminar y restaurar un GPO individual
1. Haga clic con el botón secundario en la directiva Admin Favoritos y luego haga clic en Borrar Haga clic en Sí
y luego haga clic en Aceptar cuando la eliminación se haya realizado correctamente.
2. Haga clic con el botón secundario en la carpeta Carpeta de directivas de grupo y luego haga clic en
Administrar copias de seguridad.
3. Restaure el GPO Admin Favoritos.
4. Confirme que la directiva Admin Favoritos aparece en la carpeta Objetos de directivas de grupo.
Tarea 4: Importar un GPO
1. Cree un nuevo GPO denominado Importar a la carpeta de directivas de grupo.
2. Haga clic con el botón secundario en el GPO Importar y luego haga clic en Importar configuración.
3. En el Asistente para Importar configuración, haga clic en Siguiente.
4. En la ventana Hacer Copia de seguridad del GPO, haga clic en Siguiente.
5. Asegúrese de que la ubicación de la carpeta Copia de seguridad sea D:\6824\Copias de Seguridad GPO.
6. En la pantalla GPOde origen, haga clic en Restringir panel de control y luego haga clic en Siguiente
7. Cierre Importar configuración del asistente.
8. Haga clic en el Importar GPO, haga clic en la ficha Configuraciones y luego asegúrese de que el valor
Prohibir acceso al panel de control esté en posición Habilitado.
Resultado: Al finalizar este ejercicio, habrá hecho copias de seguridad, restaurado e importado Objetos de directiva
de grupo.
Ejercicio 4: Respuestas claves (pasos detallados)
Ejercicio 5: Delegación del control administrativo de los GPO
Ejercicio 5: Delegación del control administrativo de los GPO
En este ejercicio, delegará el control administrativo de los GPO basado en el diseño del administrador de la empresa.
Las tareas incluyen configurar permisos para crear, editar y vincular Objetos de directiva de grupo. Luego se
comprobará la configuración de permisos.
Las principales tareas se realizarán como se detalla a continuación:
1. Otorgar a Betsy el derecho de crear Objetos de directiva de grupo en el dominio.
2. Delegar a Betsy el derecho de editar el Importar GPO.
3. Delegar a Betsy el derecho de vincular Objetos de directiva de grupo a la unidad organizativa Ejecutivos.
4. Permitir el inicio de sesión de los usuarios de dominio en los controladores de dominio.
5. Comprobar la delegación.
6. Cerrar todas las máquinas virtuales y descartar los discos para deshacer.
Tarea 1: Otorgar a Betsy el derecho de crear Objetos de directiva de grupo en el dominio
1. Seleccione la carpeta Objetos de directivas de grupo, haga clic en la ficha de Delegación y luego haga clic
en Agregar
2. En el cuadro de diálogo Seleccionar usuarios, escriba Betsy en el campo Nombre del objeto y luego haga
clic en Aceptar.
Tarea 2: Delegar a Betsy el derecho de editar el GPO Importar
1. En la carpeta Objetos de directivas de grupo, seleccione la GPO Importar, haga clic en la ficha Delegación
y luego haga clic en Agregar
2. En el cuadro de diálogo Seleccionar usuarios, escriba Betsy en el campo y luego haga clic en Aceptar.
3. En el cuadro de diálogo Agregar grupo o usuario, seleccione Editar configuración en la lista desplegable y
luego haga clic en Aceptar.
Tarea 3: Delegar a Betsy el derecho de vincular Objetos de directiva de grupo a la unidad organizativa Ejecutivos
1. Seleccione la unidad organizativa Ejecutivos, haga clic en la ficha Delegación y luego haga clic en Agregar.
2. En el cuadro de diálogo Seleccionar usuarios, escriba Betsy en el campo Nombre del objeto y luego haga
clic en Aceptar.
3. En el cuadro de diálogo Agregar grupo o usuario, seleccione Sólo este contenedor y haga clic en Aceptar.
Tarea 4: Permitir el inicio de sesión de los Usuarios de dominio en los controladores de dominio
Nota: Este paso se incluye en el laboratorio para permitirle comprobar los permisos delegados. Para obtener
resultados óptimos, debe instalar las herramientas de administración en una estación de trabajo de Windows en lugar
de permitir a los Usuarios de dominio iniciar sesión en los controladores de dominio.
1. En NYC-DC1, inicie Administración de directiva de grupo y luego edite la Default Domain Controllers
Policy.
2. En la ventana Editor de administración de directiva de grupo, ingrese en la carpeta Asignación de
derechos del usuario.
3. Haga doble clic en Permitir inicio de sesión localmente. En el cuadro de diálogo Propiedades de Permitir
inicio de sesión localmente, haga clic en Agregar grupo o usuario.
4. Conceda al grupo Usuarios de dominio el derecho de iniciar la sesión local.
5. Abra un símbolo del sistema, escriba gpupdate /force y luego presione Enter.
Tarea 5: Comprobar la delegación
1. Inicie sesión en NYC-CL1 como Betsy.
2. Abra una Consola de Administración de directiva de grupo.
3. Haga clic con el botón secundario en la carpeta Objetos de directiva de grupo y luego haga clic en Nuevo.
4. Cree una nueva directiva denominada Prueba. Esta operación se completará correctamente.
5. Haga clic con el botón secundario en el GPO Importar y luego haga clic en Editar Esta operación se
completará correctamente.
6. Haga clic con el botón secundario en la unidad organizativa Ejecutivos y vincule a ésta el GPO Prueba. Esta
operación se completará correctamente.
7. Haga clic con el botón secundario en la directiva de Admin Favoritos e intente editarla. No es posible realizar
esta operación.
8. Cierre la GPMC.
Tarea 6: Cerrar todas las máquinas virtuales y descartar los discos para deshacer
1. Por cada máquina virtual que se encuentre en funcionamiento, cierre la ventana Control remoto para máquina
virtual.
2. En el cuadro Cierre, seleccione Apagar el equipo y descartar los cambios y después haga clic en Aceptar.
3. Cierre el Iniciador de laboratorio 6824A.
Resultado: Al finalizar este ejercicio, habrá hecho copias de seguridad, restaurado e importado
Objetos de directiva de grupo.
Ejercicio 5: Respuestas claves (pasos detallados)
Revision y conclusiones del modulo
Revisión y conclusiones del módulo
Observaciones
Tenga en cuenta las siguientes observaciones al crear y configurar la Directiva de grupo:
Múltiples objetos de directiva de grupo local
Los archivos ADMX y ADML reemplazan los archivos ADM
Métodos para controlar la directiva de grupo, la herencia, los filtros y la implementación
Herramientas e informes de la Directiva de grupo
Preguntas de revisión
1. Desea forzar la aplicación de determinados valores de Directiva de grupo a través de un vínculo lento. ¿Qué se
puede hacer?
2. Debe asegurarse de que se aplique una directiva de nivel de dominio; pero el grupo global Administrators debe
estar excluido de dicha directiva. ¿Cómo se lograría esto?
3. Desea que se habiliten determinadas plantillas administrativas a todos los GPO que contienen valores de
usuario. Debe ser posible enviar dichas directivas a otros administradores de la empresa. ¿Cuál es el mejor
método?
4. Desea controlar el acceso a los dispositivos de almacenamiento extraíbles en todas las estaciones de trabajo
cliente a través de la Directiva de grupo. ¿Es posible usar la Directiva de grupo para lograrlo?
Modulo 6 : Configuración de entornos de usuario usando la directiva de
grupo
Módulo 6
Configuración de entornos de usuario usando la directiva de grupo
Este módulo es una introducción a la tarea de configurar el entorno de usuario usando la Directiva de grupo.
Específicamente, lo que este módulo describe son las destrezas y el conocimiento necesarios para usar la Directiva
de grupo para configurar la redirección de carpetas y también para saber cómo usar scripts. También describe de qué
modo las plantillas administrativas afectan Windows Vista y Windows Server 2008 y cómo implementar software
usando la Directiva de grupo.
Lección 1: Establecimiento de la configuración de la Directiva de grupo
Lección 2: Configuración de los scripts y la redirección de carpetas usando la Directiva de grupo
Lección 3: Configuración de plantillas administrativas
Lección 4: Configuración de las preferencias de la Directiva de grupo
Lección 5: Implementación de software usando la Directiva de grupo
Laboratorio: Configuración de entornos de usuario usando la Directiva de grupo
Lección 1: Establecimiento de la configuración de la Directiva de grupo
Lección 1:
Establecimiento de la configuración de la directiva de grupo
La Directiva de grupo puede ofrecer distintos tipos de configuración. En el caso de algunas configuraciones, es
simplemente una cuestión de “activarlas” mientras que en otros casos son más complejas de configurar. Esta lección
describe cómo establecer las diversas configuraciones de la Directiva de grupo.
Opciones para establecer la configuración de la directiva de grupo
Opciones para establecer la configuración de la directiva de grupo
Puntos clave
Para que la configuración de una Directiva de grupo produzca efecto alguno, se la debe establecer. La mayoría de las
configuraciones de la Directiva de grupo cuenta con tres estados. Éstos son:
Habilitada
Deshabilitada
Sin configurar
También se deben establecer los valores para algunas de las configuraciones de la Directiva de grupo. Por ejemplo,
se deben configurar las necesidades y valores de la pertenencia restringida a grupos, para los grupos y usuarios.
Pregunta: Una directiva en el nivel de dominio restringe el acceso al Panel de control. Se desea que los usuarios de la
unidad organizativa (OU) Administradores tengan acceso al Panel de control, pero no se desea bloquear la herencia.
¿Cómo se puede lograr esto?
Material de lectura adicional
Artículo de Microsoft Technet: How Core Group Policy Works (Cómo funciona
Demostración: Establecimiento de la configuración de la Directiva de
grupo usando el Editor de directiva de grupo
Demostración: Establecimiento de la configuración de la Directiva de grupo usando el Editor de
directiva de grupo
Pregunta: ¿Cómo se puede impedir que una directiva de nivel inferior invierta la configuración de una directiva de
nivel superior?
Lección 2: Configuración de los scripts y la redirección de carpetas
usando la Directiva de grupo
Lección 2:
Configuración de scripts y la redirección de carpetas usando directivas
de grupo
Windows Server 2008 permite usar la Directiva de grupo para distribuir scripts a los usuarios y a los equipos. También
se pueden redirigir carpetas que se encuentran en el perfil del usuario, desde el disco duro local del usuario a un
servidor central.
Opciones de configuración para la redirección de carpetas
Puntos clave
Existen tres tipos de configuración disponibles para la redirección de carpetas: ninguna, básica y avanzada. La
Redirección básica de carpetas apunta a usuarios que deban redirigir carpetas a un área común y a usuarios que
necesitan que sus datos sean privados. La Redirección avanzada permite especificar diferentes ubicaciones de red
para diferentes grupos de seguridad de Active Directory.
Pregunta: Los usuarios de un mismo departamento suelen iniciar sesión en equipos diferentes. Necesitan tener
acceso a la carpeta Mis documentos. También necesitan que los datos sean privados. ¿Qué configuración de
redirección de carpetas elegiría?
Material de lectura adicional
Artículo de Microsoft Technet: Recomendaciones para la Redirección de carpetas
¿Qué son los scripts de directiva de grupo?
¿Qué son los scripts de directiva de grupo?
Puntos clave
Los scripts de la Directiva de grupo se pueden usar para realizar una gran cantidad de tareas. Puede que se desee
realizar tareas cada vez que se inicia o apaga el equipo o cuando los usuarios cierran o inician sesión. Por ejemplo, se
pueden usar scripts para limpiar los escritorios cuando los usuarios cierran sesión y apagan sus equipos, o eliminar el
contenido de directorios temporales o limpiar el archivo de paginación para que el entorno sea más seguro.
Pregunta: Se mantienen scripts de inicio de sesión en una carpeta compartida en la red. ¿Cómo podemos
asegurarnos de que esos scripts estarán siempre disponibles para los usuarios, en todas las ubicaciones?.
Material de lectura adicional
Artículo de Microsoft Technet: Los dos aspectos del procesamiento de extensión de la secuencia de
comandos de Directiva de grupo
Artículo de Microsoft Technet: Los dos aspectos del procesamiento de extensión de la secuencia de
comandos de Directiva de grupo (Parte 2)
Soporte técnico de Microsoft: Descripción general de los scripts para inicio de sesión, cierre de sesión, inicio y
apagado, en Windows 2000.
Los scripts de la Directiva de grupo se pueden usar para realizar una gran cantidad de tareas. Puede que se desee
realizar tareas cada vez que se inicia o apaga el equipo o cuando los usuarios cierran o inician sesión. Por ejemplo, se
pueden usar scripts para limpiar los escritorios cuando los usuarios cierran sesión y apagan sus equipos, o eliminar el
contenido de directorios temporales o limpiar el archivo de paginación para que el entorno sea más seguro.
Pregunta: Se mantienen scripts de inicio de sesión en una carpeta compartida en la red. ¿Cómo podemos
asegurarnos de que esos scripts estarán siempre disponibles para los usuarios, en todas las ubicaciones?
Material de lectura adicional
Artículo de Microsoft Technet: Los dos aspectos del procesamiento de extensión de la secuencia de
comandos de Directiva de grupo
Artículo de Microsoft Technet: Los dos aspectos del procesamiento de extensión de la secuencia de
comandos de Directiva de grupo (Parte 2)
Soporte técnico de Microsoft: Descripción general de los scripts para inicio de sesión, cierre de sesión, inicio y
apagado, en Windows 2000.
Demostración: Configuración de scripts usando Directiva de grupo
Demostración: Configuración de scripts usando Directiva de grupo
Pregunta: ¿Qué otro método puede usarse para asignar scripts de inicio de sesión a los usuarios?
¿Qué es la redirección de carpetas?
¿Qué es la redirección de carpetas?
Puntos clave
Cuando se redirigen carpetas se cambia la ubicación de almacenamiento de la carpeta, desde el disco duro local del
equipo del usuario a una carpeta compartida en un servidor de archivos en la red. Luego de redirigir una carpeta a un
servidor de archivos, al usuario aún le aparece como si ésta estuviera almacenada en el disco duro local.
La redirección de carpetas hace que las tareas de administración y realización de copias de seguridad de datos sean
más fáciles. Al redirigir carpetas, se puede garantizar el acceso de los usuarios a los datos, sin importar desde qué
equipos inician sesión.
Pregunta: Escriba algunas desventajas de la redirección de carpetas.
Material de lectura adicional
Artículo de Microsoft Technet: La característica Redirección de carpetas en Windows
MSDN: IE7 en Vista: Redirección de carpetas a Favoritos en una misma máquina
Descargas de Microsoft: Administrar la guía para la implementación de datos de usuarios móviles
Opciones de configuración para la redirección de carpetas
Opciones de configuración para la redirección de carpetas
Puntos clave
Existen tres tipos de configuración disponibles para la redirección de carpetas: ninguna, básica y avanzada. La
Redirección básica de carpetas apunta a usuarios que deban redirigir carpetas a un área común y a usuarios que
necesitan que sus datos sean privados. La Redirección avanzada permite especificar diferentes ubicaciones de red
para diferentes grupos de seguridad de Active Directory.
Pregunta: Los usuarios de un mismo departamento suelen iniciar sesión en equipos diferentes. Necesitan tener
acceso a la carpeta Mis documentos. También necesitan que los datos sean privados. ¿Qué configuración de
redirección de carpetas elegiría?
Material de lectura adicional
Artículo de Microsoft Technet: Recomendaciones para la Redirección de carpetas
Opciones para brindar seguridad a las carpetas redirigidas
Opciones para brindar seguridad a las carpetas redirigidas
Puntos clave
Mientras que debe crear, en forma manual, una carpeta de red compartida en la cual almacenar las carpetas
redirigidas, la redirección de carpetas puede crear las carpetas redirigidas del usuario por usted. Cuando se usa esta
opción, los permisos apropiados se establecen en forma automática. Si se crean carpetas manualmente, se deben
conocer los permisos apropiados.
Pregunta: ¿Qué pasos se podrían seguir para proteger los datos mientras se encuentran en tránsito entre el cliente y
el servidor?
Material de lectura adicional
Soporte técnico de Microsoft: Característica Redirección de carpetas en Windows
Biblioteca de Windows Server:Consideraciones de seguridad para configurar la redirección de carpetas
Demostración: Configuración de la redirección de carpetas
Demostración: Configuración de la redirección de carpetas
Pregunta: Los usuarios de un mismo departamento desean tener acceso a los Favoritos de Internet de los demás.
¿Qué opciones de redirección de carpetas elegiría?
Lección 3: Configuración de plantillas administrativas
Lección 3:
Configuración de Plantillas administrativas
Los archivos de plantillas administrativas proveen la mayor parte de la configuración de directivas disponible, que está
diseñada para modificar claves específicas del registro. Esto se conoce como directiva basada en el registro. En
muchas aplicaciones, el uso de las directivas basadas en el registro que proveen los archivos de plantillas
administrativas, es la mejor manera de ofrecer compatibilidad para la administración centralizada de los valores de
directivas y la más sencilla. En esta lección se describe cómo configurar plantillas administrativas.
¿Qué son las Plantillas administrativas?
¿Qué son las Plantillas administrativas?
Puntos clave
Las Plantillas administrativas permiten tener el control del entorno del sistema operativo y la experiencia del usuario.
Existen dos tipos de plantillas administrativas: una para los usuarios y una para los equipos.
Las Plantillas administrativas son el principal medio para establecer la configuración del registro del equipo cliente por
medio de la Directiva de grupo. Las Plantillas administrativas son un repositorio de los cambios basados en el registro.
Al usar las secciones de Plantillas administrativas de GPO, se puede implementar una gran cantidad de modificaciones
tanto al equipo (el subárbol HKEY_MÁQUINA-LOCAL del registro) como al usuario (el subárbol
HKEY_USUARIO_ACTUAL del registro) del registro.
Pregunta: ¿Qué secciones de las Plantillas administrativas resultarán más útiles en su entorno?
Material de lectura adicional
Artículo de Microsoft Technet: Usar archivos de Plantillas administrativas con Directiva de grupo basada en el
Registro.
Artículo de Microsoft Technet: Referencia técnica de la extensión de las Plantillas administrativas
Demostración: Configuración de Plantillas administrativas
Demostración: Configuración de Plantillas administrativas
Pregunta: Se debe garantizar que Windows Messenger no se pueda ejecutar en un equipo en particular. ¿Cómo
podrían usarse las plantillas administrativas para implementar esto?
Modificación de Plantillas administrativas
Modificación de Plantillas administrativas
Puntos clave
Debido a que los archivos ADMX están basados en XML, se puede usar cualquier editor de textos para editar o crear
nuevos archivos ADMX. Sin embargo, también existen programas compatibles con XML (como Microsoft Visual
Studio) que los administradores o programadores pueden usar para crear o modificar archivos ADMX.
Una vez que se cuenta con un archivo ADMX válido, sólo se debe ubicarlo en la carpeta Definiciones de directivas o en
el almacén central, si alguno de los dos existe.
Material de lectura adicional
Artículo de Microsoft Technet: Crear un archivo personalizado con base ADMX
Descargas de Microsoft: Muestra de archivos ADMX de Directiva de grupo
Demostración: Agregado de Plantillas administrativas para aplicaciones de
Office
Demostración: Agregado de Plantillas administrativas para aplicaciones de Office
Pregunta: ¿Pueden usarse aún archivos ADM personalizados para entregar la configuración de Directiva de grupo en
Windows Server 2008?
Discusión: Opciones para el uso de Plantillas administrativas
Discusión: Opciones para el uso de Plantillas administrativas
Lección 4: Configuración de las preferencias de la Directiva de grupo
Lección 4:
Configuración de las preferencias de la Directiva de grupo
Muchos valores comunes que afectan al entorno de usuario y de equipo pueden no ser entregados por medio de la
Directiva de grupo, por ejemplo, las unidades asignadas. Estos valores, por lo general, eran entregados por medio de
scripts de inicio de sesión o soluciones de digitalización. Windows Server 2008 incluye las nuevas Preferencias de la
directiva de grupo, integradas a la Consola de administración de directivas de grupo (GPMC). Además, los
administradores pueden configurar las preferencias, instalando las Herramientas de administración de servidor remoto
(RSAT) en un equipo con Windows Vista Service Pack 1 (SP1). Esto permite que muchos valores comunes sean
entregados por medio de la Directiva de grupo.
Qué son las preferencias de la Directiva de grupo?
Qué son las preferencias de la Directiva de grupo?
Puntos clave
Las extensiones de preferencia de la Directiva de grupo son más de veinte extensiones de la Directiva de grupo que
expanden el intervalo de valores configurables dentro de un GPO. La mayor diferencia entre los valores de directivas y
los valores de preferencia, es que los valores de preferencia no son impuestos. Esto significa que el usuario final
puede modificar cualquier valor de preferencia que se aplica por medio de la Directiva de grupo, sin embargo, la
configuración de las directivas impide que los usuarios las modifiquen.
Diferencia entre la configuración de la Directiva de grupo y las preferencias
Diferencia entre la configuración de la Directiva de grupo y las preferencias
Puntos clave
La diferencia clave entre las preferencias y la configuración de la Directiva de grupo es la obligatoriedad.
Características de las preferencias de la Directiva de grupo
Características de las preferencias de la Directiva de grupo
Puntos clave
La mayoría de las extensiones de preferencia de la Directiva de grupo son compatibles con las siguientes acciones
para cada elemento de preferencia.
Crear. Crear un nuevo elemento en el equipo de destino.
Eliminar. Eliminar un elemento existente en el equipo de destino.
Reemplazar. Eliminar y crear un elemento en el equipo de destino. El resultado es que las preferencias de la
Directiva de grupo reemplazan toda la configuración existente y los archivos que se relacionan con el elemento
de preferencia.
Actualizar. Modificar un elemento existente en el equipo de destino.
Implementación de las preferencias de la Directiva de grupo
Implementación de las preferencias de la Directiva de grupo
Puntos clave
Las preferencias de la Directiva de grupo no requieren que se instale servicio o servidor alguno. Windows Server 2008
incluye las preferencias de la Directiva de grupo de manera predeterminada, como parte de la Consola de
administración de directivas de grupo (GPMC). Los administradores pueden configurar e implementar las preferencias
de la Directiva de grupo en un entorno de Windows Server 2003, instalando las Herramientas de administración de servidor
remoto (RSAT) en un equipo con Windows Vista con SP1.
Demostración: Implementación de las preferencias de la Directiva de grupo
Demostración: Implementación de las preferencias de la Directiva de grupo
Pregunta: Se ha implementado un cierto número de preferencias de la Directiva de grupo. Los usuarios informan que
no pueden modificar algunos de esos valores. ¿Cuál podría ser el problema?
Opciones para modificar la distribución de software
Opciones para modificar la distribución de software
La implementación de software en la Directiva de grupo incluye las opciones para configurar el software instalado. Se
pueden categorizar los programas que son publicados en el Panel de control y asociar las extensiones de los
nombres de archivos con las aplicaciones. También se pueden agregar modificaciones al software implementado.
Material de lectura adicional
Artículo de Microsoft Technet: Especificar categorías para la administración de aplicaciones
Artículo de Microsoft Technet: Procedimientos recomendados para la Instalación de software de directiva de
grupo, especificar opciones de instalación automática basada en la sección de extensión del nombre del
archivo
Artículo de Microsoft Technet: Agregar y eliminar modificaciones de un paquete de aplicaciones
Demostración: Modificación de la distribución de software
Demostración: Modificación de la distribución de software
Pregunta: Se quiere implementar una utilidad administrativa para los miembros del grupo de seguridad
Administradores de dominio. Estas utilidades deben estar disponibles en cualquier equipo en que un administrador
inicie sesión, pero sólo deben instalarse cuando sea necesario. ¿Cuál es el mejor método para lograrlo?
Realización del mantenimiento de software usando la Directiva de grupo
Realización del mantenimiento de software usando la Directiva de grupo
Puntos clave
A veces un paquete de software necesitará ser actualizado a una nueva versión. La ficha Actualizaciones permite
actualizar un paquete usando el GPO. También se puede re-implementar un paquete si el archivo original de Instalador
de Windows ha sido modificado. Se pueden eliminar paquetes de software si fueron distribuidos originariamente
usando la Directiva de grupo. La eliminación puede ser obligatoria u opcional.
Pregunta: La organización se está actualizando a una nueva versión de un paquete de software. Algunos usuarios de
la organización necesitan la versión anterior. ¿Cómo se implementaría la actualización?
Material de lectura adicional
Artículo de Microsoft Technet: Establecer las predeterminaciones de la Instalación de software de la directiva
de grupo
Discusión: Evaluación del uso de la Directiva de grupo para implementar
software
Discusión: Evaluación del uso de la Directiva de grupo para implementar software
Pregunta: Se quiere implementar una utilidad administrativa para los miembros del grupo de seguridad
Administradores de dominio. Estas utilidades deben estar disponibles en cualquier equipo en que un administrador
inicie sesión, pero sólo deben instalarse cuando sea necesario. ¿Cuál es el mejor método para lograrlo?
Laboratorio: Configuración de entornos de usuario usando la Directiva de
grupo
Laboratorio: Configuración de entornos de usuario usando la Directiva
de grupo
Escenario
El Woodgrove Bank ha decidido implementar la Directiva de grupo para administrar los escritorios de los usuarios. La
organización ya ha implementado una configuración de unidad organizativa (OU) que incluye unidades organizativas de
máximo nivel agrupadas por ubicación, con unidades organizativas adicionales dentro de cada ubicación para los
distintos departamentos. Las cuentas de usuario se encuentran ubicadas dentro del mismo contenedor que las
cuentas del equipo de la estación de trabajo. Las cuentas del equipo servidor se encuentran distribuidas entre diversas
unidades organizativas.
El administrador de la empresa ha creado un diseño de GPO que será usado para administrar el entorno de escritorio
de usuario. Se le ha solicitado que configure los Objetos de la directiva de grupo para que se apliquen valores
específicos a los escritorios y equipos de los usuarios.
Nota: Algunas de las tareas de este laboratorio están diseñadas para ilustrar las técnicas de administración y
configuración de GPO, pero puede que no siempre sigan los procedimientos recomendados.
Ejercicio 1: Configuración de scripts y la redirección de carpetas
Ejercicio 1: Configuración de scripts y la redirección de carpetas
Escenario
Se le ha encargado la tarea de crear un script que asignará una unidad de red a la carpeta compartida denominada
Datos en NYC-DC1. Luego usará la Directiva de grupo para asignar el script a todos los usuarios en las unidades
organizativas Toronto, Miami y NYC. El script debe ser almacenado en una ubicación altamente disponible. También
establecerá permisos para compartir y asegurar una carpeta en NYC-DC1. La carpeta de Documentos será redirigida
allí para todos los miembros de la unidad organizativa ejecutiva.
Las principales tareas para este ejercicio son:
1. Iniciar las máquinas virtuales y luego iniciar sesión.
2. Crear un script de inicio de sesión para asignar la carpeta compartida Datas.
3. Usar la Directiva de grupo para copiar el script a los recursos compartidos NetLogon y luego asignar el script a
las unidades organizativas apropiadas.
4. Compartir y asegurar una carpeta para el grupo Ejecutivos.
5. Redirigir la carpeta Documentos para el grupo Ejecutivos.
Tarea 1: Iniciar las máquinas virtuales y luego iniciar sesión.
1. En la máquina host, haga clic en Inicio, elija Todos los programas, seleccione Microsoft Learning y luego,
haga clic en 6824A. Se inicia Iniciador de laboratorio.
2. En Iniciador de laboratorio, junto a 6824A-NYC-DC1, haga clic en Iniciar.
3. Inicie sesión en NYC-DC1 como Administrador, usando la contraseña Pa$$w0rd.
4. Minimice la ventana Iniciador de laboratorio.
Tarea 2: Crear un script de inicio de sesión para asignar la carpeta compartida Datos.
1. Inicie Bloc de notas.exe
2. En Bloc de notas, escriba el comando Net Use J: \\NYC-DC1\Datos
3. Cierre y guarde el archivo como C:\Map.bat.
4. Asegúrese de que el campo de tipo Guardar como diga Todos los archivos.
Tarea 3: Usar la Directiva de grupo para copiar el script a los recursos compartidos NetLogon y luego asignar el script a las
unidades organizativas apropiadas.
1. Abra la ventana Explorador de Windows y copie C:\map.bat al portapapeles y luego cierre la ventana
Explorador de Windows.
2. Inicie la GPMC y luego cree una nueva Directiva de grupo denominada Script de inicio de sesión.
3. Edite la directiva expandiendo la Configuración del usuario y Configuración de Windows y luego haciendo clic
en Scripts (Inicio de sesión o cierre de sesión).
4. Abra Propiedades del script de inicio de sesión del GPO, haga clic en Mostrar archivos, haga clic con el
botón secundario y clic en Pegar para copiar el script desde el portapapeles a la carpeta de scripts, luego
cierre el Explorador.
5. En el cuadro de diálogo Propiedades de inicio de sesión, haga clic en Agregar.
6. En el cuadro de diálogo Agregar un script haga clic en Buscar.
7. En el cuadro de diálogo Buscar, seleccione el archivo Map.bat.
8. Cierre Editor de administración de directiva de grupo.
9. Establezca un vínculo entre la Directiva script de inicio de sesión y las unidades organizativas de Miami, NYC y
Toronto.
Tarea 4: Compartir y asegurar una carpeta para el grupo Ejecutivos.
1. En el Windows Explorer, abra Propiedades de la carpeta D:\6824\EjecDatos.
2. Haga clic en la ficha Compartir y luego en Uso compartido avanzado.
3. Seleccione la casilla Compartir esta carpeta y luego haga clic en Permisos.
4. Eliminar el grupo Todos.
5. Agregar Ejecutivos_WoodgroveGG y luego concédales Control total.
6. Haga clic en la ficha Seguridad y luego en Avanzado.
7. En la ficha Permisos, haga clic en Editar, desactive la casilla junto a Incluir permisos heredables del
primario de este objeto y luego copie los permisos.
8. Elimine todos los usuarios y grupos excepto Dueño creador y Sistema.
9. Agregue los Ejecutivos_WoodgroveGG y luego asigne los permisos Listar carpetas/Leer datos y Crear
carpetas/anexar datos, Sólo a esta carpeta.
10. Cierre las propiedades y luego cierre el Explorador de Windows.
Tarea 5: Redirigir la carpeta Documentos al grupo Ejecutivos.
1. Cree un nuevo GPO denominado Redireccionamiento ejecutivo.
2. Edite la directiva: Expanda Configuración de usuario, Directivas, Configuración de Windows y
Redirección de carpetas, haga clic con el botón secundario en Documentos y luego haga clic en
Propiedades.
3. En la ficha Destino, establezca la configuración para que sea: Básico: Redirigir la carpeta de todos a la
misma ubicación.
4. Deje la ubicación de la carpeta de destino con la configuración predeterminada y luego escriba: \\NYCDC1\Ejec Datos en el campo Ruta de raíz.
5. Establezca un vínculo entre la directiva y la unidad organizativa Ejecutivos.
Resultado: Al finalizar este ejercicio, habrá configurado la redirección de scripts y carpetas.
Ejercicio 1: Respuestas claves (pasos detallados)
Ejercicio 2: Configuración de plantillas administrativas
Ejercicio 2: Configuración de plantillas administrativas
Escenario
Se le ha solicitado que cree y asigne Plantillas administrativas de Directiva de grupo para controlar el entorno de
equipos y usuarios. Todos los equipos tendrán aplicada la siguiente configuración:
Permitir la administración remota entrante.
Detección de vínculo lento configurado a 800 kbps.
Los equipos de las unidades organizativas Miami, Toronto y NYC, impedirán la instalación de dispositivos extraíbles.
Los equipos de la unidad organizativa Ejecutiva tendrán cifrados los archivos sin conexión.
Todos los usuarios de dominio tendrán aplicada la siguiente configuración:
Las herramientas para editar el registro estarán prohibidas.
Se quitará el reloj de la barra de tareas.
Además, los usuarios de las unidades organizativas Miami, Toronto y NYC tendrán aplicada la siguiente configuración:
Los perfiles estarán limitados a 1 gigabyte (GB) de tamaño.
La Barra lateral de Windows estará desactivada.
Las principales tareas para este ejercicio son:
1. Modificar las Directivas de dominio predeterminadas para que contengan la configuración de todos los equipos.
2. Crear y asignar un GPO para impedir la instalación de dispositivos extraíbles en los equipos de las sucursales.
3. Crear y asignar un GPO para cifrar los archivos sin conexión en los equipos ejecutivos.
4. Crear y asignar un GPO en el nivel de dominio para todos los usuarios de dominio.
5. Crear y asignar un GPO para limitar el tamaño del perfil y desactivar la Barra lateral de Windows para los
usuarios de las sucursales.
Tarea 1: Modificar las Directivas de dominio predeterminadas para que contengan la configuración de todos los equipos.
1. En la GMPC, edite la Directiva de dominio predeterminado: expanda Configuración del equipo, expanda
Directivas, luego Plantillas administrativas, Red, Conexiones de red, Firewall de Windows y luego Perfil
del dominio. En el panel de detalles, haga doble clic en Firewall de Windows: Permitir la excepción de
administración remota de entrada.
2. Habilite la directiva para la subred local en Permitir mensajes entrantes no solicitados de estas
direcciones IP:
3. Expanda Configuración del equipo, luego expanda Plantillas administrativas, Sistema y Directivas de
grupo.
4. Habilite Detección de vínculo de baja velocidad de la Directiva de grupo para que sea a 800kbps.
Tarea 2: Crear y asignar un GPO para impedir la instalación de dispositivos extraíbles en los equipos de las sucursales.
1. Cree un nuevo GPO denominado Impedir dispositivos extraíbles.
2. Edite el GPO expandiendo Configuración del equipo, luego Directivas, Plantillas administrativas,
Sistema, Instalación de dispositivos y luego Restricciones de la instalación de dispositivos.
3. Habilite la configuración Impedir la instalación de dispositivos extraíbles.
4. Establezca un vínculo entre la directiva Impedir dispositivos extraíbles y las unidades organizativas Miami,
NYC y Toronto.
Tarea 3: Crear y asignar un GPO para cifrar los archivos sin conexión en los equipos ejecutivos.
1. Cree un nuevo GPO denominado Cifrado de archivos sin conexión.
2. Edite la directiva expandiendo Configuración del equipo, luego Directivas, Plantillas administrativas, Red
y por último Archivos sin conexión.
3. Habilite el Cifrado de la memoria caché de archivos sin conexión.
4. Establezca un vínculo entre el GPO y la unidad organizativa Ejecutivos.
Tarea 4: Crear y asignar un GPO en el nivel de dominio para todos los usuarios de dominio.
1. Cree un Nuevo GPO denominado Directiva para todos los usuarios.
2. Expanda Configuración del usuario, luego Directivas, Plantillas administrativas y, por último, Sistema.
3. Habilite la configuración Impedir acceso a herramientas de edición del registro.
4. Haga clic en el menú Inicio y Barra de tareas.
5. Habilite Quitar el reloj del área de notificación del sistema.
6. Establezca un vínculo entre el GPO y el domino Woodgrovebank.com.
Tarea 5: Crear y asignar una directiva para limitar el tamaño del perfil y desactivar la Barra lateral de Windows para los usuarios de
las sucursales.
1. Cree un nuevo GPO denominado Directivas para los usuarios de sucursales.
2. Edite el GPO expandiendo Configuración del usuario, luego Directivas, Plantillas administrativas,
Sistema y por último Perfiles del usuario.
3. Habilite el Límite de tamaño para el perfil a un valor de 1000000.
4. Expanda Configuración del usuario, luego expanda Directivas, Plantillas administrativas, Componentes
de Windows y luego Windows Sidebar.
5. Habilite la configuración Windows Sidebar.
6. Establezca un vínculo entre el GPO denominado Directivas para usuarios de sucursales y las unidades
organizativas de Miami, NYC y Toronto.
Resultado: Al finalizar este ejercicio, habrá configurado Plantillas administrativas.
Ejercicio 2: Respuestas claves (pasos detallados)
Ejercicio 3: Configuración de preferencias
Ejercicio 3: Configuración de preferencias
Escenario
Se le ha solicitado que cree y asigne Preferencias de directiva de grupo para controlar el entorno de equipos y
usuarios.
Agregue un acceso directo a Bloc de notas.exe al escritorio NYC-DC1.
Cree una carpeta nueva denominada Informes en la unidad C: de todos los equipos que se estén ejecutando.
Configure el menú Inicio para equipos con Windows Vista.
Las principales tareas para este ejercicio son:
1. Agregar un acceso directo a Bloc de notas.exe al escritorio NYC-DC1.
2. Crear una carpeta nueva denominada Informes en la unidad C: de todos los equipos con Windows Server
2008.
3. Configurar el menú Inicio para equipos con Windows Vista.
Tarea 1: Agregar un acceso directo a Bloc de notas.exe al escritorio NYC-DC1.
1. En la GMPC, edite las Preferencias de directivas de dominio predeterminado:
2. Edite las preferencias de Configuración de Windows para crear un acceso directo denominado Bloc de
notas, con los siguientes parámetros:
3. Ubicación: Todos los usuarios\ Escritorio
4. Ruta de destino: C:\Windows\Sistema32\Bloc de notas.exe
5. En la ficha Común, configure el nivel del elemento que tiene como destino el nombre de equipo NYC-DC1.
Tarea 2: Crear una carpeta nueva denominada Informes en la unidad C: de todos los equipos con Windows Server 2008
1. En la Configuración del equipo, Preferencias de la configuración de Windows, cree una nueva carpeta.
2. Configure la ruta para que sea: C:\Informes.
3. En la ficha Común, configure el nivel del elemento que tiene como destino el Sistema operativo Windows
Server 2008.
Tarea 3: Configurar el menú Inicio para los equipos con Windows Vista.
1. Expanda Configuración del usuario, luego Preferencias y luego Configuración del panel de control y
cree un nuevo objeto de menú Inicio para Windows Vista.
2. Configure el menú Inicio para que elimine la carpeta Juegos y para que agregue las herramientas
administrativas del sistema al menú Todos los programas.
Resultado: Al finalizar este ejercicio, habrá configurado las Preferencias.
Ejercicio 3: Respuestas claves (pasos detallados)
Ejercicio 4: Comprobación de la aplicación de GPO
Ejercicio 4: Comprobación de la aplicación de GPO
Escenario
Inicie sesión como diversos usuarios de dominio para comprobar la aplicación de Directiva de grupo. Use el Conjunto
resultante de directivas (RSoP) de la directiva de grupo para comprobar que los GPO se están aplicando
correctamente.
Las principales tareas para este ejercicio son:
1. Comprobar que las preferencias hayan sido aplicadas.
2. Iniciar la máquina virtual 6824A-NYC-CL1 y luego iniciar sesión como Woodgrovebank\Administrador y
observar la configuración aplicada.
3. Iniciar sesión como usuario en la unidad organizativa Ejecutivos y observar la configuración aplicada.
4. Iniciar sesión como usuario de una sucursal y observar la configuración aplicada.
5. Usar la GPMC en NCY-DC1 para la revisar los resultados de la Directiva de grupo.
6. Cerrar todas las máquinas virtuales y descartar los discos para deshacer.
Tarea 1: Comprobar que las preferencias hayan sido aplicadas.
1. Cierre sesión en NYC-DC1 y luego, inicie sesión como Administrador usando la contraseña Pa$$w0rd.
2. En el escritorio, compruebe que se ha creado un acceso directo para el Bloc de notas.
3. Compruebe que se haya creado una carpeta denominada Informes en la unidad C:.
4. Compruebe que las Herramientas administrativas aparezcan en el menú Inicio y que la carpeta Juegos no se
muestre.
Tarea 2: Iniciar la máquina virtual 6824A-NYC-CL1 y luego, iniciar sesión como Woodgrovebank\Administrador y observar la
configuración aplicada.
1. Abra el Cliente de control remoto para servidor virtual y luego haga doble clic en 6824A-NYC-CL1.
2. Inicie sesión en NYC-CL1 como Administrador, usando la contraseña Pa$$w0rd. Cierre sesión y luego inicie
sesión como Administrador.
Nota: Se requieren dos inicios de sesión debido a las credenciales almacenadas en una memoria caché.
3. Asegúrese de que el Reloj no se muestre en el Área de notificación.
4. Haga clic con el botón secundario en la Barra de tareas, luego en Propiedades y por último haga clic en la
ficha del Área de notificación. Compruebe que no tiene habilitada la opción Mostrar reloj y luego haga clic en
Aceptar.
5. Cierre sesión en NYC-CL1.
Tarea 3: Iniciar sesión como usuario en la unidad organizativa Ejecutivos y observar la configuración aplicada.
1. Inicie sesión en NYC-CL1 como Tony, usando la contraseña Pa$$w0rd. Asegúrese de que el Reloj no se
muestre en el Área de notificación.
2. Haga clic en Inicio, haga clic con el botón secundario en la carpeta Documentos y luego en Propiedades.
Asegúrese de que la ubicación sea \\nyd-dc1\execdata\tony.
3. Haga clic en Inicio, escriba Regedt32 en el cuadro de búsqueda y luego presione ENTER. Asegúrese de que
se ha deshabilitado la Modificación del registro.
4. Asegúrese de que no se muestre la Barra lateral de Windows.
5. Cierre sesión en NYC-CL1.
Tarea 4: Iniciar sesión como usuario en una sucursal y observar la configuración aplicada.
1. Inicie sesión en NYC-CL1 como Roya, usando la contraseña Pa$$w0rd. Asegúrese de que el Reloj no se
muestre en el Área de notificación.
2. Haga clic en Inicio, haga clic con el botón secundario en la carpeta Documentos y luego en Propiedades.
Asegúrese de que la ubicación sea C:\Usuarios\Roya.
3. Haga clic en Inicio, escriba Regedt32 en el cuadro de búsqueda y luego presione ENTER. Asegúrese de que
se ha deshabilitado la Modificación del registro.
4. Asegúrese de que no se muestre la Barra lateral de Windows.
5. Haga clic en Inicio y luego abra Equipo. Asegúrese de que la unidad J: se encuentre asignada para Compartir
datos.
6. Cierre sesión en NYC-CL1.
Tarea 5: Usar la GPMC en NCY-DC1 para revisar los resultados de la Directiva de grupo.
1. Restaure la GPMC en NYC-DC1.
2. Haga clic con el botón secundario en Resultados de directivas de grupo y luego haga clic en el Asistente
para los resultados de directivas de grupo.
3. Seleccione el equipo Woodgrovebank\NYC-CL1.
4. Seleccione Woodgrovebank\Tony como usuario.
5. En la pantalla Resumen, haga clic en Siguiente y luego en Finalizar.
6. En el Resumen del informe de los resultados de directivas de grupo, expanda la sección Objetos de directiva
de grupo.
7. Haga clic en la ficha Configuración y luego expanda Plantillas administrativas.
8. Cierre la GPMC.
Tarea 6: Cerrar todas las máquinas virtuales y descartar los discos para deshacer
1. Por cada máquina virtual que se encuentre en funcionamiento, cierre la ventana de Control remoto de la
máquina virtual.
2. En el cuadro Cerrar, seleccione Cerrar el equipo y descartar los cambios y después haga clic en Aceptar.
3. Cierre el Iniciador de laboratorio 6824A.
Resultado: Al finalizar este ejercicio, habrá comprobado una aplicación de GPO.
Ejercicio 4: Respuestas claves (pasos detallados)
Revision y conclusiones del modulo
Revisión y conclusiones del módulo
Observaciones
Cuando se configuran entornos de usuario usando la Directiva de grupo, se debe considerar lo siguiente:
La Configuración de directivas habilitada, impone una configuración.
La Configuración de directivas deshabilitada, revierte una configuración.
La Configuración de directivas que no se encuentra establecida no es afectada por la Directiva de grupo.
Los scripts pueden ser aplicados al usuario o equipo por medio de la Directiva de grupo.
Los scripts pueden ser escritos en múltiples lenguajes.
Almacenar los scripts usando los recursos compartidos NetLogon hace que estén altamente disponibles.
Algunas carpetas pueden ser redirigidas desde el perfil de los usuarios a una carpeta compartida en la red.
Distintos grupos de seguridad pueden ser redirigidos a diferentes ubicaciones de red.
Las Plantillas administrativas aplican configuraciones modificando el registro para el usuario y el equipo.
Los archivos ADMX se pueden personalizar.
Se puede distribuir software vía Directiva de grupo por medio de archivos .MSI.
Se puede publicar software a usuarios o asignarlos a usuarios o equipos.
El software asignado a los usuarios son específicos para esos usuarios.
El software asignado a los equipos se encuentra disponible para todos los usuarios de ese equipo.
El software puede ser modificado y mantenido por medio de la Directiva de grupo.
El software puede ser eliminado por medio de la Directiva de grupo.
Preguntas de revisión
1. Se le ha asignado un script de inicio de sesión en una unidad organizativa por medio de la Directiva de grupo. El
script se encuentra ubicado en una carpeta de red compartida denominada Scripts. Algunos usuarios de la
unidad organizativa reciben el script y otros no. ¿Cuál puede ser la causa de esto?
2. ¿Qué pasos se podrían seguir para evitar que vuelva a ocurrir este tipo de problemas?
3. Tiene dos scripts de inicio de sesión asignado a los usuarios. – script1 y script2. El Script2 depende de la
correcta compleción del script1. Los usuarios informan que el script2 nunca se ejecuta. ¿Cuál es el problema y
cómo lo resolvería?
Modulo 7 : Implementación de la seguridad usando Directiva de grupo
Módulo 7
Implementación de la seguridad usando Directiva de grupo
No contar con las directivas de seguridad adecuadas puede traer muchos riesgos para una organización. Una directiva
de seguridad diseñada de manera apropiada ayuda a proteger la inversión de una organización en lo que se refiere a la
información corporativa y los recursos internos, como por ejemplo hardware y software. Sin embargo, contar solamente
con una directiva de seguridad no es suficiente. Se debe implementar la directiva para que sea efectiva. Se puede
aprovechar Directiva de grupo para estandarizar la seguridad y de este modo controlar el entorno.
Lección 1: Configuración de directivas de seguridad
Lección 2: Implementación de directivas de contraseña de personalización avanzada
Lección 3: Restricción de pertenencia a grupos y acceso a software
Lección 4: Administración de la seguridad usando plantillas de seguridad
Laboratorio: Implementación de la seguridad usando la Directiva de grupo
Lección 1: Configuración de directivas de seguridad
Lección 1:
Configuración de directivas de seguridad
Directiva de grupo brinda una configuración que se puede usar para implementar la seguridad en su organización. Por
ejemplo, se puede usar la configuración de Directiva de grupo para brindar mayor seguridad a las contraseñas, al inicio
y a los permisos para los servicios del sistema.
Esta lección describe la información y las destrezas necesarias para configurar las directivas de seguridad.
¿Qué son las directivas de seguridad?
¿Qué son las directivas de seguridad?
Puntos clave
Las directivas de seguridad son reglas para proteger los recursos en los equipos y las redes. Directiva de grupo
permite configurar varias de dichas reglas como valores de Directiva de grupo. Por ejemplo, se pueden configurar
directivas de contraseña como parte de Directiva de grupo.
Directiva de grupo cuenta con una amplia sección de seguridad para configurar la seguridad tanto de los usuarios
como de los equipos. De esta manera, se puede implementar la seguridad de manera constante en todas las unidades
organizativas (OU) en Servicios de dominio de Active Directory® (AD DS), definiendo la configuración de seguridad en
un Objeto de directiva de grupo que está asociado a un sitio, dominio o unidad organizativa.
Material de lectura adicional
Artículo de Microsoft Technet: Configuración de seguridad
Artículo de Microsoft Technet: Group Policy Security Settings (Configuración de seguridad de Directiva de
grupo)
¿Qué es Directiva de seguridad de dominio predeterminada?
¿Qué es Directiva de seguridad de dominio predeterminada?
Puntos clave
La directiva de dominio predeterminada está vinculada al dominio y por lo tanto influye en todos los objetos del dominio
a menos que un GPO que se ha aplicado en un nivel inferior bloquee o invalide los valores antes mencionados. Esta
directiva cuenta con muy pocos valores configurados de manera predeterminada.
Aunque Directiva predeterminada de dominio cuenta con todos los valores y capacidades de cualquier GPO, se
recomienda usar dicha directiva solamente para entregar Directivas de cuenta. Se debe crear otros GPO para entregar
una configuración diferente.
Material de lectura adicional
Artículo de Microsoft Technet: Guía de seguridad de Windows Server 2003, Capítulo 3: Directiva de dominio
¿Qué son las directivas de cuenta?
¿Qué son las directivas de cuenta?
Puntos clave
Las directivas de cuenta protegen las cuentas y los datos de su organización mitigando la amenaza de que las
contraseñas de las cuentas puedan ser descifradas por fuerza bruta. En los sistemas operativos de Windows y en
muchos otros, el método más común para autenticar la identidad de un usuario se basa en usar una contraseña
secreta. Una mayor seguridad para su entorno de red exige que todos los usuarios usen contraseñas seguras. La
configuración de la directiva de contraseña controla la complejidad y la duración de las contraseñas. Se puede
establecer la configuración de la directiva de contraseña a través de Directiva de grupo.
Material de lectura adicional
Artículo de Microsoft Technet: Account Passwords and Policies (Directivas y contraseñas de cuenta)
¿Qué son las directivas locales?
¿Qué son las directivas locales?
Puntos clave
Cada uno de los equipos con Windows°2000 Server o posterior cuentan exactamente con un Objeto de directiva de
grupo local (LGPO). En este objeto, los valores de Directiva de grupo se almacenan en equipos individuales, sin
importar si forman parte de un entorno de Active Directory. El LGPO se almacena en una carpeta oculta denominada
%windir%\sistema32\Directiva de grupo. Esta carpeta no existirá hasta que se haya configurado un LGPO.
¿Qué son las Directivas de seguridad de red?
¿Qué son las Directivas de seguridad de red?
Puntos clave
Automatizar los valores de configuración de un equipo cliente es un paso fundamental para reducir el costo de
implementación de la seguridad de redes y reducir los problemas de compatibilidad que resultan de los valores
configurados incorrectamente.
Con Windows Server 2003, se podía automatizar la configuración inalámbrica del cliente usando la configuración de
Directivas de red inalámbrica en Directiva de grupo. Windows Server 2008 y Windows Vista incluyen nuevas
características para las directivas de red y Directiva de grupo es compatible con la configuración de autenticación
802.1X para conexiones alámbricas e inalámbricas.
Material de lectura adicional:
Artículo de Microsoft Technet: Joining a Windows Vista Wired Client to a Domain (Unir un cliente alámbrico de
Windows Vista a un dominio)
Artículo de Microsoft Technet: Capítulo 6: Diseño de la seguridad para LAN inalámbrica mediante 802.1X
Artículo de Microsoft Technet: Configuración de la Directiva de grupo inalámbrica para Windows Vista
Artículo de Microsoft Technet: Definir directivas de red inalámbrica basadas en Active Directory
Firewall de Windows con seguridad avanzada
Firewall de Windows con seguridad avanzada
Puntos clave
Windows Vista y Windows Server 2008 incluyen una nueva y mejorada versión del Firewall de Windows. El nuevo
Firewall de Windows es un firewall basado en host con estado que permite o bloquea el tráfico de red según su
configuración.
Material de lectura adicional
Artículo de Microsoft Technet: The New Windows Firewall in Windows Vista and Windows Longhorn (Nuevo
Firewall de Windows en Windows Vista y Windows Longhorn)
Demostración: Descripción general de la configuración de seguridad
adicional
Demostración: Descripción general de la configuración de seguridad adicional
Pregunta: Es necesario garantizar que no se permita la ejecución de servicio particular en cualquiera de los
servidores de red. ¿Cómo se lograría esto?
Demostración: ¿Qué es Directiva de seguridad de controlador de dominio
predeterminada?
Demostración: ¿Qué es Directiva de seguridad de controlador de dominio predeterminada?
Pregunta: ¿Cuál es el intervalo de actualización predeterminado de Directiva de grupo para los controladores de
dominio?
Lección 2: Implementación de directivas de contraseña de personalización
avanzada
Lección 2:
Implementación de directivas de contraseña de personalización
avanzada
En Windows Server 2008, usando directivas de contraseña de personalización avanzada se pueden permitir diferentes
requisitos de contraseña y directivas de bloqueo de cuenta para diversos usuarios o grupos de Active Directory.
Esta lección describe la información y las destrezas para implementar directivas de contraseña de personalización
avanzada.
¿Qué son las directivas de contraseña de personalización avanzada?
¿Qué son las directivas de contraseña de personalización avanzada?
Puntos clave
En versiones anteriores de AD DS, se podía aplicar solamente una directiva de contraseña y de bloqueo de cuenta a
todos los usuarios del dominio. Las directivas de contraseña de personalización avanzada permiten contar con
requisitos de contraseña y directivas de bloqueo de cuenta diferentes para diversos usuarios o grupos de Active
Directory. Esto es conveniente cuando se desea que conjuntos diferentes de usuarios cuenten con requisitos de
contraseña distintos, pero no se desean dominios individuales. Por ejemplo, es posible que el grupo Admins de
Dominio necesite requisitos de contraseña estrictos a los que no deben estar sujetos los usuarios comunes. En caso
de no implementar contraseñas de personalización avanzada, las directivas de cuenta de dominio predeterminadas
normales se aplicarán a todos los usuarios.
Pregunta: ¿Cómo usaría contraseñas de personalización avanzada en su entorno?
Material de lectura adicional
Artículo de Microsoft Technet: AD DS: Fine-Grained Password Policies (AD DS: Directivas de contraseña de
personalización avanzada)
Cómo se implementan las directivas de contraseña de personalización
avanzada
Cómo se implementan las directivas de contraseña de personalización avanzada
Puntos clave
Para almacenar directivas de contraseña de personalización avanzada, Windows Server 2008 incluye dos nuevas
clases de objetos en el esquema de Active Directory. Estos son:
Contenedor de configuraciones de contraseña (PSC)
Objeto de configuración de contraseñas (PSO)
La clase del objeto del PSC se crea de manera predeterminada en el Contenedor del sistema en el dominio, que
almacena los PSO del dominio. No se puede cambiar el nombre, mover o eliminar este contenedor.
Pregunta: ¿Cómo se podría ver el Contenedor de configuraciones de contraseña en Usuarios y equipos de Active
Directory?
Material de lectura adicional
Artículo de Microsoft Technet: AD DS: Fine-Grained Password Policies (AD DS: Directivas de contraseña de
personalización avanzada)
Implementación de directivas de contraseña de personalización avanzada
Implementación de directivas de contraseña de personalización avanzada
Puntos clave
Existen tres pasos principales necesarios para la implementación de contraseñas de personalización avanzada:
Crear grupos necesarios y agregar usuarios apropiados.
Crear los PSO para todas las directivas de contraseña definidas.
Aplicar los PSO para los usuarios apropiados o grupos de seguridad global.
Pregunta: En su organización, un grupo de usuarios trabaja regularmente con archivos confidenciales. Es necesario
garantizar que todos estos usuarios tengan implementadas directivas de cuenta estrictas. Las cuentas de usuario están
distribuidas en múltiples unidades organizativas. ¿Cómo lograría esto con el menor esfuerzo administrativo posible?
Material de lectura adicional
Artículo de Microsoft Technet: Step by Step Guide for Fine-Grained Password and Account Lockout Policy
Configuration (Guía paso a paso para la configuración de contraseñas de personalización avanzada y directivas
de bloqueo de cuenta)
Demostración: Implementación de directivas de contraseña de
personalización avanzada
Demostración: Implementación de directivas de contraseña de personalización avanzada
Pregunta: ¿Qué utilidades están disponibles para administrar los PSO? Elija todas las que correspondan.
Edición de ADSI
GPMC
CSVDE
LDIFDE
NTDSUtil
Usuarios y equipos de Active Directory
Lección 3: Restricción de pertenencia a grupos y acceso a software
Lección 3:
Restricción de pertenencia a grupos y acceso a software
En un entorno de red extenso, uno de los desafíos de la seguridad de red es el de controlar la pertenencia a los
grupos integrados en el directorio y en las estaciones de trabajo. Otra cuestión es evitar el acceso a software no
autorizado en las estaciones de trabajo.
¿Qué es la pertenencia a grupos restringidos?
¿Qué es la pertenencia a grupos restringidos?
Puntos clave
En algunos casos, es posible que desee controlar la pertenencia a ciertos grupos en un dominio para evitar que se
agreguen otras cuentas de usuario a esos grupos, como por ejemplo al grupo de administradores locales.
Se puede usar la Directiva de grupos restringidos para controlar la pertenencia a grupos. Use la directiva para
especificar qué miembros se ubican en un grupo. Si se define una Directiva de grupos restringidos y se actualiza
Directiva de grupo, se eliminará cualquier miembro actual de un grupo que no se encuentre en la lista de miembros de
la Directiva de grupos restringidos. Pueden incluirse los miembros predeterminados, como por ejemplo los
administradores de dominio.
A pesar de que se pueden controlar los grupos de dominio asignando directivas de grupos restringidos a los
controladores de dominio, se debe utilizar en primer lugar dicha configuración para establecer la pertenencia a grupos
fundamentales, como por ejemplo Enterprise Admins y Schema Admins. Además puede usar esta configuración para
controlar la pertenencia a los grupos locales integrados en estaciones de trabajo y servidores miembro. Por ejemplo,
se puede colocar el grupo Helpdesk en el grupo local Administradores en todas las estaciones de trabajo.
No se pueden especificar los usuarios locales en un GPO de dominio. Se eliminarán todos los usuarios locales que
actualmente formen parte de un grupo local controlado por la directiva. La única excepción es que la cuenta local
Administradores siempre se encontrará en el grupo local Administradores.
Pregunta: Su empresa cuenta con cinco servidores web ubicados físicamente en toda América del Norte. Las
cuentas de equipo del servidor web se encuentran ubicadas en una única unidad organizativa. Desea otorgarles a
todos los usuarios en el grupo global denominado Web_Backup el derecho para hacer copias de seguridad y restaurar
servidores web. ¿Cómo se podría usar Directiva de grupo para lograrlo?
Material de lectura adicional
Artículo de Microsoft Technet: Grupos restringidos
Artículo de Microsoft Technet: Group Policy Security Settings (Configuración de seguridad de Directiva de
grupo)
Demostración: Configuración de la pertenencia a grupos restringidos
Demostración: Configuración de la pertenencia a grupos restringidos
Pregunta: Se creó una Directiva de grupo que agrega el grupo Helpdesk al grupo local Administradores y se vinculó la
directiva con una unidad organizativa. En esta instancia, Administradores de dominio ya no cuentan con autoridad
administrativa sobre los equipos en dicha unidad organizativa. ¿Cuál es el problema más frecuente y cómo se
resolvería?
¿Qué es la directiva de restricción de software?
¿Qué es la directiva de restricción de software?
Puntos clave
Quizás se desee restringir el acceso a software para evitar que los usuarios ejecuten determinadas aplicaciones o
tipos de aplicaciones, como por ejemplo VBscripts. La directiva de restricción de software brinda a los administradores
un mecanismo controlado por directivas para identificar software y controlar su capacidad para ejecutarse en un equipo
cliente.
Pregunta: Cuenta con una cierta cantidad de equipos en un grupo de trabajo. Necesita restringir el acceso a una
determinada aplicación para que solamente se les permita a los miembros del grupo Administradores iniciar la
aplicación. ¿Cómo se lograría esto?
Material de lectura adicional
Artículo de Microsoft Technet: Uso de directivas de restricción de software para proteger contra software no autorizado
Opciones para configurar directivas de restricción de software
Opciones para configurar directivas de restricción de software
Puntos clave
Las directivas de restricción de software usan reglas para determinar si se permite ejecutar una aplicación. Cuando se
crea una regla, en primer lugar se identifica la aplicación. Luego se la debe identificar como una excepción para el valor
predeterminado de la directiva, ya sea No restringido o No permitido. El motor de aplicación consulta las reglas en la
directiva de restricción de software antes de permitir que se ejecute un programa.
Pregunta: Necesita restringir el acceso a una aplicación en particular sin importar en qué ubicación del directorio se ha
instalado. ¿Qué tipo de regla debería usar?
Material de lectura adicional
Artículo de Microsoft Technet: Uso de directivas de restricción de software para proteger contra software no
autorizado
Demostración: Configuración de Directivas de restricción de software
Demostración: Configuración de Directivas de restricción de software
Pregunta: Desea garantizar que se permitan ejecutar solamente los scripts de Visual Basic firmados digitalmente.
¿Qué tipo de regla debería usar?
Lección 4: Administración de la seguridad usando plantillas de seguridad
Lección 4:
Administración de la seguridad usando plantillas de seguridad
Una directiva de seguridad es un grupo de valores de seguridad que influye en la seguridad del equipo. Se puede usar
una directiva de seguridad para establecer directivas locales y de cuenta en su equipo local y en Active Directory. Se
pueden crear plantillas de seguridad a modo de ayuda para crear directivas de seguridad y cumplir con las
necesidades de seguridad de la empresa. Pueden usarse dichas plantillas para configurar los valores de seguridad
asignados a los equipos, ya sea manualmente o a través de Directiva de grupo.
¿Qué son las plantillas de seguridad?
¿Qué son las plantillas de seguridad?
Puntos clave
Una plantilla de seguridad es un grupo de valores de seguridad configurados. Se pueden usar plantillas de seguridad
predefinidas como base para crear directivas de seguridad que pueden personalizarse a fin de satisfacer sus
necesidades o crear nuevas plantillas. Para crear o personalizar plantillas, debe usar el complemento Plantillas de
seguridad. Después de crear una nueva plantilla o personalizar una plantilla de seguridad predefinida, puede usarla
para configurar la seguridad en un equipo individual o en numerosos equipos. Estas plantillas contienen una
configuración de seguridad para todas las áreas de seguridad.
Material de lectura adicional
Artículo de Microsoft Technet: Plantillas de seguridad
Demostración sobre la aplicación de plantillas de seguridad
Demostración sobre la aplicación de plantillas de seguridad
Pregunta: Cuenta con múltiples servidores de base de datos ubicados en diferentes unidades organizativas. ¿Cuál es
la manera más simple de aplicar una configuración de seguridad consistente con todos los servidores de base de
datos?
¿Qué es el Asistente para configuración de seguridad?
¿Qué es el Asistente para configuración de seguridad?
Puntos clave
El Asistente para configuración de seguridad (SCW) es una herramienta para minimizar la superficie de ataque que fue
introducido con Windows Server 2003 con Service Pack 1 (SP1). SCW sirve de ayuda para los administradores a la
hora de crear directivas de seguridad y determina la funcionalidad mínima requerida para una o varias funciones del
servidor y luego deshabilita la funcionalidad que no se requiere.
SCW sirve de guía para el proceso de crear, editar, aplicar o revertir una directiva de seguridad basada en las
funciones seleccionadas del servidor. Las directivas de seguridad que se crean con SCW son archivos XML que, una
vez aplicados, configuran servicios, seguridad de red, valores de registro específicos, directivas de auditoría y si
corresponde, Servicios de Internet Servidor de información (IIS).
Pregunta: ¿Qué tipos de funciones del servidor existen en su organización?
Material de lectura adicional
Artículo de Microsoft Technet: Plantillas de seguridad
Artículo de Microsoft Technet: Asistente para configuración de seguridad para Windows Server 2003
Demostración: Configuración de la seguridad del servidor usando el
Asistente para configuración de seguridad
Demostración: Configuración de la seguridad del servidor usando el Asistente para configuración
de seguridad
Pregunta: ¿Cuál es la ventaja principal del SCW?
Opciones para integrar el Asistente para configuración de seguridad y las
Plantillas de seguridad
Opciones para integrar el Asistente para configuración de seguridad y las Plantillas de seguridad
Puntos clave
Las directivas de seguridad que se crean con el SCW pueden también incluir plantillas de seguridad personalizadas.
Algunos de los valores que se pueden configurar usando el SCW se superponen en parte con los valores que se
configuran usando solamente las plantillas de seguridad. Ningún conjunto de cambios de valores incluye por completo
al otro. Por ejemplo, el SCW incluye los valores de IIS que no están incluidos en una plantilla de seguridad. Por el
contrario, las plantillas de seguridad pueden incluir tales elementos como Directivas de restricción de software, que no
pueden configurarse mediante el SCW.
Material de lectura adicional
Artículo de Microsoft Technet: Security Configuration Wizard Overview (Descripción general del Asistente para
configuración de seguridad)
Artículo de Microsoft Technet: Security Watch: The Security Configuration Wizard (Inspección de seguridad:
asistente para configuración de seguridad)
Demostración: Importación de Directivas de configuración de seguridad a
Plantillas de seguridad
Demostración: Importación de Directivas de configuración de seguridad a Plantillas de seguridad
Pregunta: Se necesita abrir un puerto en los equipos cliente de Windows Vista para una aplicación personalizada.
¿Debería usar el SCW o crear una plantilla de seguridad y usar un GPO?
Laboratorio: Implementación de la seguridad usando la Directiva de grupo
Laboratorio: Implementación de la seguridad usando Directiva de grupo
Escenario
Woodgrove Bank ha decidido implementar Directiva de grupo para configurar la seguridad de los usuarios y equipos
en la organización. La compañía actualizó recientemente todas las estaciones de trabajo a Windows Vista y a todos los
servidores a Windows Server 2008. La organización desea utilizar Directiva de grupo para implementar la configuración
de seguridad para las estaciones de trabajo, los servidores y los usuarios. El administrador de la empresa creó un
diseño que incluye modificaciones realizadas a la directiva predeterminada de seguridad de dominio y GPO
adicionales para configurar la seguridad. La compañía desea contar con la flexibilidad para asignar diferentes directivas
de contraseña para usuarios específicos. También desea automatizar la configuración de los valores de seguridad al
máximo.
Nota: Algunas de las tareas de este laboratorio están diseñadas para ilustrar las técnicas de administración y
configuración de GPO y puede que no siempre sigan los procedimientos recomendados.
Ejercicio 1: Configuración de la directiva de cuenta y de seguridad
Ejercicio 1: Configuración de la directiva de cuenta y de seguridad
Se le ha asignado la tarea de implementar una directiva de cuenta de dominio según los siguientes criterios:
Las contraseñas de dominio constarán de ocho caracteres.
Se implementarán contraseñas seguras.
Las contraseñas se cambiarán exactamente cada veinte días.
Las cuentas se bloquearán durante 30 minutos después de cinco intentos de inicio de sesión inválidos.
Se configurará también una directiva local en el cliente de Windows Vista que habilita la cuenta local Administrador y
prohíbe el acceso al menú Ejecutar para los No administradores.
Luego se creará una directiva de red inalámbrica para Windows Vista que genera un perfil para la red inalámbrica
corporativa. Este perfil definirá 802.1x como el método de autenticación. Dicha directiva también denegará el acceso a
una red inalámbrica denominada Investigar.
Finalmente, configurará una directiva para evitar que el servicio Registro remoto se ejecute en un controlador de
dominio.
Las principales tareas para este ejercicio se realizarán como se detalla a continuación:
1. Iniciar la máquina virtual e iniciar la sesión como Administrador.
2. Crear una directiva de cuenta para el dominio.
3. Establecer la configuración de directiva local para un cliente de Windows Vista.
4. Crear un GPO de red inalámbrica para los clientes de Windows Vista.
5. Configurar un GPO que prohíba un servicio en todos los controladores de dominio.
Tarea 1: Iniciar la máquina virtual e iniciar la sesión como Administrador
1. En la máquina host, haga clic en Inicio, elija Todos los programas, seleccione Microsoft Learning y luego
haga clic en 6824A. Se inicia Iniciador de laboratorio.
2. En Iniciador de laboratorio, junto a 6824A-NYC-DC1, haga clic en Iniciar.
3. Inicie sesión en NYC-DC1 como Administrador, usando la contraseña Pa$$w0rd.
4. Minimice la ventana Iniciador de laboratorio.
Tarea 2: Crear una directiva de cuenta para el dominio
1. Inicie consola de Administración de directivas de grupo.
2. Edite Directivas de cuenta en Default Domain Policy según los siguientes valores:
Directiva de contraseñas:
Contraseñas de dominio: Debe contar con al menos 8 caracteres
Contraseñas seguras (…cumplir requisitos de seguridad): Habilitada
Vigencia mínima de la contraseña: 19 días
Vigencia máxima de la contraseña: 20 días
Directiva de bloqueo de cuenta:
Umbral de bloqueo de cuenta: 5 intentos de inicio de sesión inválidos
Duración del bloqueo de cuenta: 30 minutos
Contador de bloqueo: restablecer después de 30 minutos
Tarea 3: Establecer la configuración de directiva local para un cliente de Windows Vista
1. Inicie NYC-CL1 e inicie la sesión como WoodgroveBank\Administrador con la contraseña Pa$$w0rd.
2. Cree un nueva MMC y luego agregue el complemento para Editor de objetos de directiva de grupos para el
equipo local.
3. Abra Configuración del equipo, luego Configuración de Windows, abra Configuración de seguridad,
luego Directivas locales, abra Opciones de seguridad y luego habilite el valor Cuentas: estado de la
cuenta de administrador.
4. Agregue el complemento Editor de objetos de directiva de grupo a la MMC nuevamente y haga clic en
Examinar.
5. Haga clic en la ficha Usuarios, seleccione el grupo No administradores, haga clic en Aceptar y luego en
Finalizar.
6. En Directiva Equipo local\ No administradores, abra Configuración de usuario, Plantillas
administrativas, haga clic en la carpeta Menú inicio y barra de tareas y luego habilite el valor Quitar el
menú Ejecutar del menú inicio.
7. Cierre la MMC sin guardar los cambios.
Tarea 4: Crear un GPO de red inalámbrica para los clientes de Windows Vista
1. En la GPMC, cree un nuevo GPO denominado Vista Inalámbrico.
2. Edite el GPO haciendo clic con el botón secundario en Directivas de red inalámbrica (IEEE 802.11) y luego
en Crear una nueva directiva de Windows Vista.
3. En el cuadro de diálogo Propiedades de nueva directiva de red inalámbrica Vista, haga clic en Agregar y
luego en Infraestructura.
4. Cree un nuevo perfil denominado Corporativo y luego en el campo Nombre(s) de red (SSID), escriba Corp.
5. Haga clic en la ficha Seguridad, cambie método de Autenticación a Abierto con 802.1X y luego haga clic en
Aceptar.
6. Haga clic en la ficha Permisos de red y luego en Agregar.
7. Escriba Examinar en el campo Nombre de red (SSID): y establezca el Permiso en Denegar. Haga clic en
Aceptar dos veces.
8. Cierre Editor de administración de directiva de grupo y luego deje abierta la GPMC.
Tarea 5: Configurar una directiva que prohíba un servicio en todos los controladores de dominio
1. Edite lo siguiente para deshabilitar el servicio Registro remoto: Default Domain Policy, Configuración de
equipo, Directivas, Configuración de Windows, Configuración de seguridad y Servicios del sistema.
2. Cierre Editor de administración de directiva de grupo y deje abierta la GPMC.
Resultado: Al finalizar este ejercicio, se habrán establecido las configuraciones de las directivas de
cuenta y de seguridad.
Ejercicio 1: Respuestas claves (pasos detallados)
Ejercicio 2: Implementación de directivas de contraseña de
personalización avanzada
Ejercicio 2: Implementación de directivas de contraseña de personalización avanzada
La directiva de seguridad corporativa indica que todos los miembros del grupo IT Administrativo contarán con
directivas de contraseña estrictas. Las contraseñas deberán cumplir con los siguientes criterios:
Se recordarán 30 contraseñas en el historial de contraseñas.
Las contraseñas de dominio constarán de 10 caracteres.
Se implementarán contraseñas seguras.
Las contraseñas no se almacenarán con cifrado reversible.
Las contraseñas se cambiarán exactamente cada siete días.
Las cuentas se bloquearán durante 30 minutos después de tres intentos de inicio de sesión inválidos.
Se creará una directiva de contraseña de personalización avanzada para implementar dichas directivas en el grupo
global Admins TI.
Las principales tareas se realizarán como se detalla a continuación:
1. Crear un PSO usando Edición de ADSI.
2. Asignar el PSO Admin TI al grupo global Admins TI.
Tarea 1: Crear un PSO usando Edición de ADSI
1. En el menú Ejecutar, escriba adsiedit.msc y luego presione ENTRAR.
2. Haga clic con el botón secundario en Editor ADSI, elija Conectar a y luego haga clic en Aceptar para
confirmar los valores predeterminados.
3. Busque DC=woodgrovebank, DC=com, CN= System, CN=Password Setting Container, haga clic con el botón
secundario en CN= Password Setting Container y luego cree un nuevo objeto.
4. En el cuadro de diálogo Crear Objeto, haga clic en msDS- PasswordSettings y luego en Siguiente.
5. En la casilla Valor, escriba AdminTI.
6. En el valor msDS- PasswordSettingsPrecedence, escriba 10.
7. En el valor msDS- PasswordReversibleEncryptionEnabled, escriba FALSE.
8. En el valor msDS- PasswordHistoryLength, escriba 30.
9. En el valor msDS-PasswordComplexityEnabled, escriba True.
10. En el valor msDS- MinimumPasswordLength, escriba 10.
11. En el valor msDS-MinimumPasswordAge, escriba -5184000000000.
12. En el valor msDS- MaximumPasswordAge, escriba -6040000000000.
13. En el valor msDS- LockoutThreshold, escriba 3.
14. En el valor msDS-LockoutObservationWindow, escriba -18000000000.
15. En el valor msDS- LockoutDuration, escriba -18000000000 y luego haga clic en Finalizar.
16. Cierre la MMC ADSI Editar sin guardar los cambios.
Tarea 2: Asignar el PSO AdminTI al grupo global AdminsTI
1. Abra Usuarios y equipos de Active Directory.
2. Haga clic en Ver y luego en Características avanzadas.
3. Expanda Woodgrovebank.com, luego System y finalmente haga clic en Password Settings Container.
4. En el panel de detalles, haga clic con el botón secundario en el PSO Admin TI y luego haga clic en
Propiedades.
5. Haga clic en la ficha Editor de atributos, desplácese hacia abajo, seleccione el atributo msDSPSOAppliesTo y luego haga clic en Editar.
6. Agregue el grupo AdminsTI_WoodgroveGG.
7. Cierre Usuarios y equipos de Active Directory.
Resultado: Al finalizar este ejercicio, se habrán implementado las directivas de contraseña de
personalización avanzada.
Ejercicio 2: Respuestas claves (pasos detallados)
Ejercicio 3: Configuración de las directivas de grupos restringidos y
restricción de software
Ejercicio 3: Configuración de las directivas de grupos restringidos y restricción de software
Es necesario garantizar que el grupo global Admins TI esté incluido en el grupo local Administradores para todos los
equipos de la organización. Se considera que los controladores de dominio son de alta seguridad y no se permitirá que
Explorador de Internet se ejecute en los controladores de dominio. También evitará que los scripts de Visual Basic
(VBS) se ejecuten en la unidad C: de los controladores de dominio.
Las principales tareas se realizarán como se detalla a continuación:
1. Configurar grupos restringidos para el grupo de administradores locales.
2. Crear un GPO que prohíba que Explorador de Internet y los scripts de VBS se ejecuten en los controladores de
dominio.
Tarea 1: Configurar grupos restringidos para el grupo de administradores locales
1. Si se requiere, abra la GPMC, abra la carpeta Objetos de directiva de grupo y luego edite Default Domain
Policy.
2. Vaya a Configuración de equipo, expanda Directivas, luego Configuración de Windows, expanda
Configuración de seguridad, haga clic con el botón secundario en Grupos restringidos y luego haga clic en
Agregar grupo.
3. Agregue el grupo Administradores y luego haga clic en Aceptar.
4. En el cuadro de diálogo Administradores Propiedades, agregue los siguientes grupos:
Woodgrovebank\AdminsTI_WoodgroveGG
Woodgrovebank\ Admins. del Dominio
5. Cierre Editor de administración de directiva de grupo.
Tarea 2: Prohibir que se ejecute Explorador de Internet y los scripts de VBS en los controladores de dominio
1. Edite Default Domain Controllers Policy.
2. Vaya a Configuración de Windows, expanda Configuración de seguridad, haga clic con el botón
secundario en Directivas de restricción de software y luego haga clic en Nueva directiva de restricción
de nuevo software.
3. Haga clic con el botón secundario en Reglas adicionales y luego haga clic en Regla de nuevo hash.
4. Examine y busque C:\Archivos de programa\ Internet Explorer\iexplore.exe y luego haga clic en Abrir.
Asegúrese de que Nivel seguridad esté en No permitido.
5. Haga clic con el botón secundario en Reglas adicionales y luego haga clic en Regla de nueva ruta.
6. En el campo Ruta de acceso, escriba *.vbs y luego haga clic en Aceptar.
7. Cierre Editor de administración de directiva de grupo.
Resultado: Al finalizar este ejercicio, se habrán configurado las directivas de grupos restringidos y de restricción de
software.
Ejercicio 3: Respuestas claves (pasos detallados)
Ejercicio 4: Configuración de las plantillas de seguridad
Ejercicio 4: Configuración de las plantillas de seguridad
Se creará una plantilla de seguridad para los servidores de archivos y de impresión que cambiarán el nombre de la
cuenta Administrador y que no muestra el último nombre de usuario que inició sesión. Luego se usará el Asistente para
configuración de seguridad para crear una directiva de seguridad que protege el servidor de archivos y de impresión e
incluye la plantilla de seguridad. Se usará la interfaz de SCW para aplicar la directiva en el servidor de archivos y de
impresión NYC-SVR1. Finalmente, convertirá la directiva en un GPO denominado SeguridadFP.
Las principales tareas para este ejercicio se realizarán como se detalla a continuación:
1. Crear una plantilla de seguridad para los servidores de archivos y de impresión.
2. Iniciar NYC-SVR1, unirse al dominio y deshabilitar Firewall de Windows.
3. Ejecutar Asistente de configuración de seguridad e importar la plantilla SeguridadFP.
4. Transformar la DirectivaFP en un GPO.
Tarea 1: Crear una plantilla de seguridad para los servidores de archivos y de impresión
1. Cree una nueva MMC, luego agregue el complemento para Plantillas de seguridad.
2. Expanda Plantillas de seguridad, haga clic con el botón secundario en C:\Users\Administrador\Documents
\Security\Templates y luego haga clic en Nueva plantilla.
3. Escriba el nombre SeguridadFP para la plantilla.
4. Busque Directivas locales y luego Opciones de seguridad. Defina Cuentas: cambiar el nombre de la
cuenta de administrador con el valor AdminFP.
5. Establezca Inicio de sesión interactiva: No mostrar el último nombre de usuario en Habilitada.
6. En el panel de la carpeta, haga clic con el botón secundario en SeguridadFP y luego haga clic en Guardar.
7. Cierre la MMC sin guardar los cambios.
Tarea 2: Iniciar NYC-SVR1, unirse al dominio y deshabilitar el Firewall de Windows
1. Inicie NYC-SVR1 e inicie la sesión como AdminLocal, usando la contraseña Pa$$w0rd.
2. Una NYC-SVR1 al dominio WoodgoveBank.com.
3. Reinicie el equipo e inicie sesión como Administrador.
4. Deshabilite Firewall de Windows.
Nota: Este paso se lleva a cabo para simplificar las tareas del laboratorio; no es un procedimiento recomendado.
Tarea 3: Ejecutar el Asistente para configuración de seguridad e importar la plantilla SeguridadFP
1. En NYC-DC1, inicie Asistente para configuración de seguridad.
2. En la página Bienvenida, haga clic en Siguiente.
3. En la pantalla Acción de configuración, haga clic en Siguiente.
4. En la pantalla Seleccionar servidor, escriba NYC-SVR1.woodgrovebank.com y luego haga clic en
Siguiente.
5. Después de que se procesan las bases de datos de la configuración de seguridad, haga clic en Siguiente.
6. En la pantalla Configuración de servicio basado en funciones, haga clic en Siguiente.
7. En la pantalla Seleccionar funciones del servidor, desactive la casilla junto a Servidor DNS.
8. Seleccione la casilla junto a Servidor de archivos.
9. Seleccione la casilla junto a Servidor de impresión y luego haga clic en Siguiente.
10. En la pantalla Seleccionar características de cliente, haga clic en Siguiente.
11. En la pantalla Seleccionar opciones de administración y otras, haga clic en Siguiente.
12. En la pantalla Seleccionar servicios adicionales, haga clic en Siguiente.
13. En la pantalla Tratamiento de servicios sin especificar, continúe haciendo clic en Siguiente hasta llegar a la
pantalla Nombre de archivo de directiva de seguridad.
14. En la pantalla Nombre de archivo de directiva de seguridad, escriba DirectivaFP al final de la ruta
C:\Windows\security\msscw\Policies\.
15. Haga clic en Incluir plantillas de seguridad y luego en Agregar.
16. Agregue la directiva Documentos\security\Templates\SeguridadFP.
17. En la pantalla Aplicar directiva de seguridad, haga clic en Aplicar ahora y luego en Siguiente.
18. En la pantalla Aplicar directiva de seguridad, haga clic en Siguiente y luego en Finalizar.
Tarea 4: Transformar la DirectivaFP en un GPO
1. En NYC-DC1, inicie la Línea de comandos y escriba scwcmd transform/p:” C:\Windows\security\msscw
\Policies\DirectivasFP.xml” /g:FileServerSecurity.
2. Abra la GPMC de ser necesario y luego abra la carpeta Objetos de directiva de grupo. Haga doble clic en
SeguridadArchivoServidor GPO y luego examine la configuración.
3. Cierre la GPMC y cierre sesión en NYC-DC1.
Resultado: Al finalizar este ejercicio, habrá configurado plantillas de seguridad.
Ejercicio 4: Respuestas claves (pasos detallados)
Ejercicio 5: Comprobación de la configuración de seguridad
Ejercicio 5: Comprobación de la configuración de seguridad
Iniciará sesión como diversos usuarios para probar los resultados de Directiva de grupo.
Las principales tareas para este ejercicio se realizarán como se detalla a continuación:
Iniciar sesión como Administrador Local del equipo con Windows Vista y comprobar la pertenencia al grupo
de administradores locales.
Iniciar sesión en el equipo con Windows Vista como un usuario común y probar la directiva de cuenta.
Iniciar sesión en el controlador de dominio como el administrador de dominio y probar las restricciones de
software y los servicios.
Usar la modelación de directivas de grupo para probar la configuración en el servidor de archivos y de
impresión.
Cerrar todas las máquinas virtuales y descartar los discos para deshacer.
Tarea 1: Iniciar sesión como Administrador Local del equipo con Windows Vista y comprobar la pertenencia al grupo de
administradores locales
1. Inicie sesión en NYC-CLI como NYC-CL1\administrador usando la contraseña Pa$$w0rd.
2. Inicie Comando Preguntar y ejecute el comando GPupdate /force.
3. Asegúrese de que el menú Ejecutar aparezca en la carpeta Accesorios en el menú Inicio.
4. Abra Panel de control, haga clic en Cuentas de usuario, haga clic en Administrar cuentas de usuario,
luego en la ficha Opciones avanzadas, haga clic en Opciones avanzadas, luego en Grupos, abra el grupo
Administradores y luego asegúrese de que los grupos globales Admins. del dominio e
AdminsTI_WoodgroveGG estén presentes.
5. Reinicie NYC-CL1.
Tarea 2: Iniciar sesión en el equipo con Windows Vista como un usuario común y probar la directiva
1. Inicie sesión en NYC- CL1 como Woodgrovebank\Roya usando la contraseña Pa$$w0rd.
2. Asegúrese de que el menú Ejecutar no aparezca en la carpeta Accesorios del menú Inicio.
3. Presione Alt derecho + Suprimir y luego haga clic en Cambiar una contraseña.
4. En el campo Contraseña anterior, escriba Pa$$w0rd.
5. En los campos Nueva contraseña y Confirmar contraseña, escriba w0rdPa$$. No se podrá actualizar la
contraseña ya que no ha expirado la duración mínima de la contraseña.
6. Cierre sesión en NYC-CL1.
Tarea 3: Iniciar sesión en el controlador de dominio como el administrador de dominio y probar las restricciones de software y
servicios
1. Inicie sesión en NYC-DC1 como Administrador, usando la contraseña Pa$$w0rd.
2. Inicie Símbolo del sistema y luego ejecute el comando GPupdate /force.
3. Intente iniciar Explorador de Internet, lea el mensaje de error y luego haga clic en Aceptar.
4. Busque D:\6824\Allfiles\mod07\LabFiles, haga doble clic en Hello.vbs, lea el mensaje de error y luego haga
clic en Aceptar.
5. Abra la MMC Servicios en Herramientas administrativas. Deslícese hacia abajo hasta el servicio Registro
remoto y asegúrese de que esté establecido en Deshabilitado.
Tarea 4: Usar el Modelado de directivas de grupo para probar la configuración en el servidor de archivos y de impresión
1. Abra la GPMC y luego inicie Asistente de Modelado de directivas de grupo.
2. Aceptar todos los valores predeterminados excepto los de la ventana Seleccionar usuario y equipo.
3. Haga clic en Equipo y luego escriba Woodgrovebank\NYC-SVR1.
4. Una vez que finaliza el asistente, observe la configuración de la directiva.
Tarea 5: Cerrar todas las máquinas virtuales y descartar los discos para deshacer
1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto para máquina virtual.
2. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar.
3. Cierre el Iniciador de laboratorio 6824A.
Resultado: Al finalizar este ejercicio, habrá comprobado la configuración de seguridad.
Ejercicio 5: Respuestas claves (pasos detallados)
Revisión del laboratorio
Revisión del laboratorio
Observaciones para implementar la seguridad usando Directiva de grupo
Tenga en cuenta lo siguiente al implementar la seguridad usando Directiva de grupo.
Las directivas de seguridad son reglas que protegen los recursos en equipos y redes y pueden implementarse
usando Directiva de grupo.
La Directiva de dominio predeterminada y la Directiva predeterminada de los controladores de dominio se crean
de manera predeterminada.
Las directivas de cuenta deben implementarse en el nivel de dominio.
Todas las directivas de nivel de dominio pueden entregar directivas de cuenta.
Los clientes reciben directivas de cuenta desde los controladores de dominio.
Por lo general, las directivas locales afectan a todos los usuarios del equipo local, incluyendo los usuarios de
dominio.
Las directivas de seguridad de red pueden controlar la configuración inalámbrica para Windows XP y versiones
posteriores.
Las directivas de seguridad de red pueden controlar la configuración alámbrica para Windows Vista y versiones
posteriores.
El Firewall de Windows es compatible con reglas de salida.
El reconocimiento de la red puede determinar automáticamente su perfil de firewall.
Hoy en día, la configuración de firewall y la configuración de IPsec están integradas.
Las contraseñas de personalización avanzada permiten que diferentes usuarios o grupos globales cuenten con
diversas directivas de cuenta.
Las directivas de personalización avanzada no se entregan a través de Directiva de grupo.
Se deben crear directivas de personalización avanzada usando Edición de ADSI o LDIFDE.
Tanto la pertenencia a grupos locales como a grupos de dominio pueden controlarse a través de Directiva de
grupo.
El acceso a software puede controlarse mediante Directiva de grupo.
Los administradores locales pueden estar exentos de las restricciones de software.
Existen cuatro tipos de reglas para controlar el acceso a software.
Las plantillas de seguridad pueden usarse para brindar un conjunto consistente de configuraciones de
seguridad.
El Asistente para configuración de seguridad puede usarse a modo de ayuda para crear directivas de
seguridad.
Las preferencias pueden reemplazar muchas de las funciones de los scripts de inicio de sesión.
Las preferencias se aplican una vez, pero no son obligatorias y los usuarios pueden modificarlas.
Las preferencias pueden establecerse para ser actualizadas con la misma regularidad que Directiva de grupo.
Las preferencias pueden tener objetos como destino.
Preguntas de revisión
1. Desea implementar una directiva de restricción de software en un nuevo tipo de archivo ejecutable. ¿Qué debe
hacer antes de poder crear una regla para dicho código ejecutable?
2. ¿Qué valor se debe configurar para garantizar que los usuarios sólo cuenten con tres intentos de inicio de
sesión inválidos?
3. Desea brindar una configuración de seguridad consistente para todos los equipos cliente en la organización.
Las cuentas de equipo están distribuidas en múltiples unidades organizativas. ¿Cuál es la mejor manera de
brindarlo?
4. Un administrador de su organización ha modificado accidentalmente la Directiva predeterminada de
controladores de dominio. Se necesita restaurar la directiva a su configuración predeterminada original. ¿Cómo
se lograría esto?
Modulo 8 : Implementación de un plan de supervisión de Servicios de
dominio de Active Directory
Módulo 8
Implementación de un plan de supervisión de Servicios de dominio de
Active Directory
Para controlar y administrar el sistema operativo de una organización, es importante comprender las herramientas que
pueden usarse para supervisar el mantenimiento del sistema. Al usar herramientas como Visor de eventos, Monitor de
confiabilidad y rendimiento y las directivas de auditoría podrá anticiparse a los problemas y administrar los eventos de
cada día.
Lección 1: Supervisión de AD DS usando Visor de eventos
Lección 2: Supervisión de los Servidores de dominio de Active Directory usando el Monitor de confiabilidad y
rendimiento
Lección 3: Configuración de la auditoría de AD DS
Laboratorio: Supervisión de AD DS
Lección 1: Supervisión de AD DS usando Visor de eventos
Lección 1:
Supervisar Servicios de dominio de Active Directory usando Visor de
eventos
La supervisión del rendimiento del servidor es una parte importante del mantenimiento y la administración de un
sistema operativo. Visor de eventos es una aplicación que le permite examinar, administrar y supervisar los eventos
registrados en los registros de eventos.
Características de Visor de eventos
Características de Visor de eventos
Puntos clave
Visor de eventos es uno de los primeros lugares a los que debe recurrir para solucionar problemas de Microsoft
Windows. Se incorporaron una serie de nuevas características en Visor de eventos para Windows Vista® y Windows
Server®°2008.
Visor de eventos se ha vuelto a escribir por completo con una nueva interfaz de usuario que facilita el filtrado y la
ordenación de eventos, además de controlar qué eventos se registran. También es posible realizar ciertas tareas
básicas de diagnóstico desde Visor de eventos. Visor de eventos, además, brinda varios nuevos archivos de registros.
Material de lectura adicional
Artículo de Microsoft Technet: Visor de eventos
Artículo de Microsoft Technet: Online Event Information (Información de eventos en línea)
Demostración: Descripción general de Visor de eventos
Demostración: Descripción general de Visor de eventos
Pregunta: Existe un problema con Directiva de grupo. ¿Qué registro debe consultar para conocer los eventos
detallados de Directiva de grupo?
Registros de AD DS
Registros de AD DS
Puntos clave
Los Registros de aplicaciones y del sistema aún brindan información general y eventos de registro de varias áreas,
aunque Visor de eventos también ofrece en la actualidad una amplia gama de registros de aplicaciones y servicios.
Estos registros pueden brindar información detallada sobre Servicios de dominio de Active Directory (AD DS) y otros
servicios como Directiva de grupos, los archivos sin conexión, el cliente de Windows Update, entre varios otros.
¿Qué son las Vistas personalizadas?
¿Qué son las Vistas personalizadas?
Puntos clave
Las Vistas personalizadas son filtros que reciben un nombre y se guardan. Después de crear y guardar una vista
personalizada, podrá volver a usarla sin crear nuevamente su filtro subyacente. Para volver a usar una vista
personalizada, navegue hasta la categoría Vistas personalizadas en el árbol de consola y seleccione el nombre de la
vista personalizada. Al seleccionar la vista personalizada, se aplica el filtro subyacente y se muestran los resultados. Es
posible importar y exportar las vistas personalizadas, lo que le permitirá compartirlas entre los usuarios y equipos.
Material de lectura adicional
Artículo de Microsoft Technet: Crear una Vista personalizada
¿Qué son las suscripciones?
¿Qué son las suscripciones?
Puntos clave
Visor de eventos le permite ver los eventos en un único equipo remoto. Sin embargo, la solución de un problema
puede requerir el análisis de un conjunto de eventos almacenados en varios registros de diferentes equipos. Visor de
eventos permite recopilar las copias de eventos desde varios equipos remotos y almacenarlas localmente. Para
especificar los eventos que se desean recopilar, debe crear una suscripción de eventos. Una vez que la suscripción
está activa y se recopilan los eventos, es posible ver y controlar los eventos reenviados como lo haría con cualquier
evento almacenado localmente.
Pregunta: ¿Cuándo sería más útil aplicar las suscripciones en su organización?
Material de lectura adicional
Artículo de Microsoft Technet: Event Subscriptions (Suscripciones de eventos)
Artículo de Microsoft Technet: Configurar Equipos para reenviar y recopilar eventos
Demostración: Configuración de Vistas personalizadas y Suscripciones
Demostración: Configuración de Vistas personalizadas y Suscripciones
Pregunta: Desea supervisar un grupo determinado de eventos a través de múltiples servidores web. ¿Cuál es la
mejor manera de lograrlo?
Lección 2: Supervisión de los Servidores de dominio de Active Directory
usando el Monitor de confiabilidad y rendimiento
Lección 2:
Supervisión de Servidores de dominio de Active Directory usando
Monitor de confiabilidad y rendimiento
Por lo general, el rendimiento es la medida de velocidad con la que un equipo finaliza las tareas del sistema y las
aplicaciones. Es posible usar la supervisión de rendimiento para realizar un seguimiento de ciertos procesos y mostrar
los resultados. También se puede usar la supervisión de rendimiento a modo de ayuda para optimizar la planeación,
rastrear procesos que necesitan optimizarse y comprender las cargas de trabajo y sus efectos en el uso de recursos a
fin de identificar los cuellos de botella. El rendimiento total del sistema debe estar limitado por la velocidad de acceso
a los discos duros físicos, la cantidad de memoria disponible, la velocidad del procesador o la capacidad de
transferencia de las interfaces de red.
Características de Monitor de confiabilidad y rendimiento
Características de Monitor de confiabilidad y rendimiento
Puntos clave
Monitor de confiabilidad y rendimiento de Windows le permite realizar un seguimiento del impacto de rendimiento de
las aplicaciones y los servicios, además de generar alertas o acciones cuando se exceden los umbrales definidos por
el usuario para un rendimiento óptimo. Monitor de confiabilidad y rendimiento de Windows presenta las características
que se describen a continuación.
Vista de recursos
Monitor de confiabilidad
Conjuntos de recopiladores de datos
Realizar un seguimiento del rendimiento de aplicaciones y servicios
Asistentes y plantillas para crear registros
Generar alertas y acciones al alcanzar los umbrales
Generar informes
Acceso a Monitor de confiabilidad y rendimiento
Material de lectura adicional
Artículo de Microsoft Technet: Monitor de confiabilidad y rendimiento de Windows
Demostración: Descripción general de Monitor de confiabilidad y
rendimiento
Demostración: Descripción general de Monitor de confiabilidad y rendimiento
Pregunta: ¿Dónde puede encontrar información en tiempo real sobre la actividad de la red?
Supervisión de AD DS usando Monitor de rendimiento
Supervisión de AD DS usando Monitor de rendimiento
Puntos clave
Supervisar el servicio distribuido de AD DS y los servicios que lo respaldan ayuda a mantener la consistencia de los
datos del directorio y el nivel necesario del servicio en todo el bosque. Se pueden supervisar indicadores importantes
para descubrir y resolver problemas menores antes de que se conviertan en potenciales interrupciones prolongadas
del servicio.
Además de los contadores de la línea de base normales que supervisa para todos los servidores, hay objetos y
decenas de contadores que son específicos para AD DS.
Material de lectura adicional
Artículo de Microsoft Technet: Monitoring Active Directory (Supervisión de Active Directory)
¿Qué es una Línea de base de Active Directory?
¿Qué es una Línea de base de Active Directory?
Puntos clave
Una línea de base del equipo es una medida del comportamiento especificado de los recursos durante la actividad
normal, que indica cómo funciona el recurso o una colección de recursos del sistema. Luego, esta información se
compara con la actividad posterior a fin de supervisar el uso y la respuesta del sistema frente a las condiciones
aleatorias.
Material de lectura adicional
Artículo de Microsoft Technet: Deploying Active Directory for Branch Office Environments, Chapter 9 - Post
Deployment Monitoring of Domain Controllers (Implementar Active Directory para entornos de sucursales,
Capítulo 9: Supervisión posterior a la implementación de controladores de dominio)
Supervisión de la disponibilidad del servicio con Monitor de confiabilidad
Supervisión de la disponibilidad del servicio con Monitor de confiabilidad
Puntos clave
La confiabilidad de un sistema es la medida que analiza la frecuencia con la que el sistema se aparta del
comportamiento configurado y esperado. Monitor de confiabilidad calcula el Índice de estabilidad del sistema, que
refleja si los problemas inesperados redujeron la confiabilidad del sistema. Un gráfico del Índice de estabilidad a través
del tiempo identifica con rapidez las fechas en las que comenzaron a ocurrir problemas.
Pregunta: Desea consultar un registro histórico de software que ha sido agregado o eliminado del equipo. ¿Dónde
buscaría esa información?
Material de lectura adicional
Artículo de Microsoft Technet: Guía paso a paso de supervisión del rendimiento y la confiabilidad de Windows
Vista
Supervisión de Servicios de dominio de Active Directory usando los
Conjuntos de recopiladores de datos
Supervisión de Servicios de dominio de Active Directory usando los Conjuntos de recopiladores
de datos
Puntos clave
Una nueva característica incluida en Monitor de confiabilidad y rendimiento de Windows es el Conjunto de
recopiladores de datos, que agrupa a los recopiladores de datos en elementos reutilizables que se ajustan a diversos
escenarios de supervisión de rendimiento.
Pregunta: Desea crear una alerta que le notifique cuando el espacio disponible en disco sea reducido. ¿Cómo la
crearía?
Material de lectura adicional
Artículo de Microsoft Technet: Creación de conjuntos de recopiladores de datos
Demostración: Supervisión de AD DS
Demostración: Supervisión de AD DS
Pregunta: ¿Cuál es la manera más fácil de registrar el mismo conjunto de datos en varios equipos?
Lección 3: Configuración de la auditoría de AD DS
Lección 3:
Configuración de la Auditora de Servicios de dominio de Active
Directory
En los entornos seguros es necesario supervisar AD DS de modo activo. Como parte de la estrategia de seguridad
global, se debe determinar el nivel de auditoría adecuado para el entorno. La auditoría debe identificar las acciones, ya
sean correctas o no, que han modificado o intentado modificar los objetos de Active Directory.
¿Qué es la Auditoría de AD DS?
¿Qué es la Auditoría de AD DS?
Puntos clave
Un registro de auditoría registra una entrada cada vez que los usuarios realizan determinadas acciones. Por ejemplo, la
modificación de un objeto o una directiva puede generar una entrada de auditoría que muestre la acción realizada, la
cuenta de usuario asociada y la fecha y hora de la acción. Es posible auditar tanto los intentos satisfactorios como no
satisfactorios de realizar acciones.
Antes de implementar la directiva de auditoría, debe determinar qué categorías de eventos desea editar. La
configuración de auditoría que seleccione para las categorías de eventos definirá su directiva de auditoría. En los
servidores miembros y las estaciones de trabajo que se unen a un dominio, la configuración de auditoría para las
categorías de eventos no está definida de manera predeterminada. En los controladores de dominio, algunas tareas
de auditoría se activan de manera predeterminada.
Material de lectura adicional
Artículo de Microsoft Technet: Windows Server "Longhorn" Beta 3 Auditing AD DS Changes Step-by-Step
Guide (Guía paso a paso de cambios de auditoría de AD DS “Longhorn” Beta 3 de Windows Server)
Soporte técnico de Microsoft: Cómo usar la Directiva de grupo para establecer la configuración de auditoría de
seguridad en detalle para los equipos con Windows Vista y Windows Server 2008 en un dominio de Windows
Server 2008, en un dominio de Windows Server 2003 y en un dominio de Windows 2000
Artículo de Microsoft Technet: Conjunto de Auditpol
Demostración: Configuración de Directiva de auditoría
Demostración: Configuración de Directiva de auditoría
Pregunta: ¿Qué registros muestran los resultados de la auditoría?
Tipos de eventos para auditar
Tipos de eventos para auditar
Puntos clave
Aunque la categoría Acceso del servicio de directorio aún ofrece información acerca de todos los eventos del
directorio y está habilitada de manera predeterminada, puede obtenerse información más detallada en las
subcategorías.
Pregunta: Desea realizar un seguimiento de los detalles relacionados con las modificaciones realizadas a los objetos
de Active Directory para una unidad organizativa (OU) determinada y las unidades organizativas secundarias. ¿Qué
entrada de control de acceso (ACE) deberá configurar para capturar esa información?
Material de lectura adicional
Artículo de Microsoft Technet: Guía paso a paso sobre la auditoría de cambios en AD DS en Windows Server
2008
Demostración: Configuración de la Auditoría de AD DS
Demostración: Configuración de la Auditoría de AD DS
Pregunta: ¿Cómo habilitaría el seguimiento de los eventos de error para la subcategoría de cambio de servicio de
directorio?
Laboratorio: Supervisión de AD DS
Laboratorio: Supervisión de AD DS
Escenario
Woodgrove Bank ha finalizado la instalación de AD DS. Como administrador de AD DS, debe supervisar la
disponibilidad y el rendimiento de AD DS. El administrador del servidor brindó un plan de supervisión que incluye la
disponibilidad y el rendimiento del servicio, además de los componentes de supervisión del registro de eventos. Al
usar Supervisión de confiabilidad y rendimiento, Visor de eventos y otras herramientas, supervisará los controladores
de dominio de AD DS.
Ejercicio 1: Supervisión de AD DS usando Visor de eventos
Ejercicio 1: Supervisión de AD DS usando Visor de eventos
Como administrador de red, desea recopilar información de Visor de eventos del servicio de directorio de todos los
controladores de dominio. Creará una vista personalizada para capturar los eventos Error crítico, Error y Advertencia
para AD DS y el servidor DNS. Luego, exportará la vista a una carpeta de red compartida e importará la vista
personalizada a NYC-DC2. Además, desea supervisar cuándo los servicios se detienen y comienzan en NYC-DC2.
Creará una suscripción para reenviar el evento 7036 de NYC-DC2 a NYC-DC1 y luego comprobará el resultado.
Finalmente, adjuntará una tarea a un registro del programa de instalación de Windows para recibir una notificación cada
vez que se genera un evento en el registro de instalación en NYC-DC1 a fin de que pueda realizar un seguimiento de
las instalaciones de la aplicación. Además, adjuntará una tarea al evento 7036 que le informará sobre los problemas
existentes con los servicios.
Las principales tareas para este ejercicio se realizarán como se detalla a continuación:
1. Iniciar las máquinas virtuales y luego iniciar sesión.
2. Crear una vista personalizada para capturar los eventos relevantes.
3. Exportar una vista personalizada.
4. Importar una vista personalizada.
5. Configurar equipos para reenviar y recopilar eventos.
6. Crear una suscripción para reenviar eventos de NYC-DC2 a NYC-DC1.
7. Adjuntar una tarea a un registro de eventos y a un evento.
Tarea 1: Iniciar las máquinas virtuales y luego iniciar sesión
1. En la máquina host, haga clic en Inicio, elija Todos los programas, seleccione Microsoft Learning y luego
haga clic en 6824A. Se inicia Iniciador de laboratorio.
2. En Iniciador de laboratorio, junto a 6824A-NYC-DC1, haga clic en Iniciar.
3. En Iniciador de laboratorio, junto a 6824A-NYC-DC2, haga clic en Iniciar.
4. Inicie sesión en NYC- DC1 como Administrador usando la contraseña Pa$$w0rd.
5. Inicie sesión en NYC-DC2 como Administrador usando la contraseña Pa$$w0rd.
6. Minimice la ventana Iniciador de laboratorio.
Tarea 2: Crear una vista personalizada para capturar los eventos relevantes
1. En NYC-DC1, inicie la sesión como Administrador usando la contraseña Pa$$w0rd.
2. Inicie Visor de eventos desde la carpeta Herramientas administrativas.
3. Haga clic con el botón secundario en Personalizar vistas y luego haga clic en Crear vista personalizada.
4. Seleccione la casilla junto a Crítico, Advertencia y Error.
5. Haga clic en la flecha desplegable junto a Registros de eventos, expanda Aplicación y registros de
servicios, seleccione Servicio de directorio y Servidor DNS y luego haga clic en Aceptar.
6. Denomine la vista personalizada Servicio de directorio.
Tarea 3: Exportar una vista personalizada
1. Haga clic con el botón secundario en la vista personalizada Servicio de directorio y luego haga clic en
Exportar vista personalizada.
2. Guarde la vista exportada como C:\Datos\ Active Directory.
Tarea 4: Hacer clic con el botón secundario en Vistas personalizadas y luego hacer clic en Crear una vista personalizada
1. Inicie sesión en NYC-DC2 como Administrador usando la contraseña Pa$$w0rd.
2. Inicie Visor de eventos desde la carpeta Herramientas administrativas.
3. Haga clic con el botón secundario en Vistas personalizadas y luego haga clic en Importar vista
personalizada.
4. Importe la vista personalizada desde \\NYC-DC1\Datos\Active Directory.xml.
Tarea 5: Configurar equipos para reenviar y recopilar eventos
1. En NYC-DC1 (el equipo recopilador), abra Línea de comandos, escriba wecutil qc e Y y luego presione
ENTER para realizar los cambios.
2. Cierre el símbolo del sistema.
3. Cambie a NYC-DC2 (el equipo de origen).
4. Abra Línea de comandos, escriba winrm configrápida e Y y luego presione ENTER para realizar los
cambios.
5. Cierre el símbolo del sistema.
Tarea 6: Crear una suscripción para reenviar eventos de NYC-DC2 a NYC-DC1
1. En NYC-DC1, en Visor de eventos, haga clic con el botón secundario en Subscripciones y luego haga clic
en Crear Subscripción.
2. Escriba el nombre de la suscripción Servicio de eventos, haga clic en Colector Iniciado y luego haga clic en
Seleccionar equipos.
3. Haga clic en Agregar dominio de equipos y luego agregue NYC-DC2.
4. Haga clic en Seleccionar eventos y luego seleccione los eventos Información.
5. Haga clic en la flecha desplegable junto a Registros de eventos, expanda Registros de Windows y luego
seleccione el registro Sistema.
6. En el campo ID del evento, escriba 7036 y luego haga clic en Aceptar.
7. Haga clic en Avanzado, luego en Usuario específico y finalmente en Usuario y contraseña.
8. Asegúrese de que el nombre de usuario sea Woodgrovebank\Administrador y luego escriba la contraseña
Pa$$w0rd.
9. Haga clic en Minimizar latencia y luego en Aceptar dos veces. Haga clic en Sí en caso de que aparezcan los
mensajes de Visor de eventos.
10. En el panel de la carpeta, haga clic en la carpeta Subscripciones y asegúrese de que el estado de la
suscripción Eventos de servicio sea Activo.
11. En NYC-DC2, abra Símbolo del sistema.
12. En Símbolo del sistema, escriba net stop dns y luego presione ENTER.
13. Escriba Inicio net de DNS y luego presione ENTER.
14. En NYC-DC1, haga clic en el registro Eventos reenviados. Examine los eventos de información.
Nota: Es posible que los eventos reales demoren unos minutos en aparecer en el registro Eventos reenviados. Inicie
y detenga el servicio DNS nuevamente si resulta necesario.
Tarea 7: Adjuntar una tarea a un registro de eventos y a un evento
1. En NYC-DC1, expanda Registros de Windows, haga clic con el botón secundario en el registro Instalación y
luego haga clic en Adjuntar una tarea a este registro.
2. En Crear un asistente básico de tarea, haga clic en Siguiente.
3. En la ventana Cuando se registra un evento específico, haga clic en Siguiente.
4. En la ventana Acción, haga clic en Enviar un e-mail y luego en Siguiente.
5. En la ventana Enviar un e-mail, escriba Visor de eventos en el campo De.
6. Escriba [email protected] en el campo A.
7. Escriba Instalación de la aplicación en el campo Asunto.
8. Escriba Mail.Woodgrovebank.com en el campo Servidor SMTP, haga clic en Siguiente y luego en
Finalizar. Haga clic en Aceptar.
9. Haga clic en el registro Eventos reenviados para abrirlo.
10. Haga clic con el botón secundario en uno de los eventos 7036 y luego haga clic en Adjuntar tarea a este
evento.
11. En la pantalla Crear una tarea básica, haga clic en Siguiente.
12. En la pantalla Cuando se registra un evento específico, haga clic en Siguiente.
13. En la pantalla Acción, haga clic en Mostrar un mensaje y luego en Siguiente.
14. En la pantalla Mostrar un mensaje, escriba Evento de servicio en el campo Título, escriba Servicio
detenido o iniciado en el campo Mensaje, haga clic en Siguiente, luego en Finalizar y finalmente haga clic
en Aceptar para reconocer el mensaje de Visor de eventos.
15. Cambie a NYC-DC2 y repita los pasos para detener e iniciar el servicio DNS.
16. Cuando aparece el cuadro de mensaje mostrando el mensaje, haga clic en Aceptar para reconocer el mensaje.
Nota: Es posible que el cuadro de mensaje esté oculto detrás de la ventana Visor de eventos. Búsquelo en la Barra
de tareas.
17. Cierre todas las ventanas.
Resultado: Al finalizar este ejercicio, habrá supervisado AD DS usando Visor de eventos.
Ejercicio 1: Respuestas claves (pasos detallados)
Ejercicio 2: Supervisión de AD DS usando el Monitor de confiabilidad y
rendimiento
Ejercicio 2: Supervisión de AD DS usando el Monitor de confiabilidad y rendimiento
Como administrador de red, podrá configurar Monitor de confiabilidad y rendimiento para supervisar algunos de los
contadores de servicio del directorio. Además, creará Conjuntos de recopiladores de datos, supervisará el rendimiento
del servidor usando Monitor de rendimiento y configurará una alerta que se activará cuando el espacio disponible en
disco sea reducido.
Las principales tareas para estos ejercicios son:
1. Configurar Monitor de confiabilidad y rendimiento para supervisar AD DS.
2. Crear un conjunto de recopiladores de datos.
Tarea 1: Configurar Monitor de confiabilidad y rendimiento para supervisar AD DS
1. En NYC-DC1, abra el Monitor de rendimiento y confiabilidad en Herramientas administrativas y luego haga
clic en Monitor de rendimiento.
2. Haga clic en el signo verde Más de la barra de herramientas para agregar objetos y contadores.
3. En el cuadro de diálogo Agregar contadores, expanda el objeto Servicios de directorio y luego agregue el
contador DRA Total de bytes de entrada/sec.
4. Repita el paso anterior para agregar los siguientes contadores:
5. Bytes Totales DRA de salida/seg.
6. DS Subprocesos en uso
7. DS Directory lee/seg.
8. DS Directory escribe/seg.
9. Expanda Estadísticas de seguridad para todo el sistema y luego agregue el contador de Autenticaciones
Kerberos.
10. Expanda DNS y luego agregue el contador UDP Query received.
Tarea 2: Crear un conjunto de recopiladores de datos
1. En el panel de la carpeta, haga clic con el botón secundario en Monitor de rendimiento, haga clic en Nuevo y
luego en Conjunto de Recopiladores de datos
2. Asigne el nombre Active Directory al conjunto de recopiladores de datos.
3. Deje el directorio Raíz como la ruta predeterminada y luego haga clic en Finalizar.
4. Expanda Conjunto de Recopiladores de datos, luego expanda Definido por el Usuario, haga clic con el
botón secundario en Active Directory y luego presione Iniciar.
5. Expanda Informes, luego Definido por el Usuario, después Active Directory y, finalmente, haga clic en
Monitor de registro del sistema.blg. El estado del informe muestra que el registro está recopilando datos.
6. Haga clic con el botón secundario en el conjunto de recopiladores de datos de Active Directory y luego haga
clic en Detener.
7. Haga clic en Monitor de registro del sistema.blg. El gráfico del registro se muestra en el panel de detalles.
Resultado: Al finalizar este ejercicio, habrá supervisado AD DS usando Monitor de confiabilidad y
rendimiento.
Ejercicio 2: Respuestas claves (pasos detallados)
Ejercicio 3: Configuración de la auditoría de AD DS
Ejercicio 3: Configuración de la auditoría de AD DS
Como administrador de red, se le asignó la tarea de implementar una directiva de auditoría para realizar un seguimiento
de los eventos específicos que suceden en AD DS. Primero, deberá analizar el estado actual de la directiva de
auditoría. Luego, deberá configurar la auditoría a fin de realizar un seguimiento de las modificaciones correctas o
incorrectas que se realizaron a los objetos de Active Directory, incluyendo los valores de atributos nuevos y anteriores.
Finalmente, probará la directiva.
Las principales tareas para este ejercicio se realizarán como se detalla a continuación:
1. Examinar el estado actual de la directiva de auditoría.
2. Habilitar el Acceso del servicio de directorio de auditoría en los controladores de dominio.
3. Configurar la SACL para el dominio.
4. Probar la directiva.
5. Cerrar todas las máquinas virtuales y descartar los discos para deshacer.
Tarea 1: Examinar el estado actual de la directiva de auditoría
1. En NYC-DC1, abra Símbolo del sistema.
2. En la ventana del símbolo del sistema, escriba Auditpol.exe /get /category:* y luego presione ENTER.
Analice la configuración predeterminada de la directiva de auditoría.
3. Minimice el símbolo del sistema.
Tarea 2: Habilitar el Acceso del servicio de directorio de auditoría en los controladores de dominio
1. En NYC-DC1, abra Administración de directiva de grupo.
2. Abra la carpeta Objetos de directivas de grupo y luego edite la Directiva de controladores de dominio
predeterminado.
3. Expanda Configuración del equipo, luego Configuración de Windows, después Configuración de
seguridad, expanda Directivas locales y luego haga clic en Directiva de auditoría. Tenga en cuenta que
todos los valores de la directiva están configurados como No esta definido.
4. Haga doble clic en Auditar el acceso al servicio de directorio, defina la configuración de la directiva para
Éxito y error y luego haga clic en Aceptar.
5. Cierre el Editor de administración de directivas de grupo y luego cierre la consola Administración de
directiva de grupo.
6. Restaure Símbolo del sistema y luego escriba gpupdate
7. Una vez finalizada la actualización, vuelva a ejecutar el comando Auditpol.exe /get /category* y luego examine
la configuración predeterminada de la directiva de auditoría.
8. Cierre el símbolo del sistema.
Tarea 3: Configurar la SACL para el dominio
1. Abra Usuarios y equipos de Active Directory.
2. Haga clic en el menú Ver y luego en Características avanzadas.
3. Haga clic con el botón secundario en el objeto woodgrovebank.com dominio y luego haga clic en
Propiedades.
4. En el cuadro de diálogo Propiedades, haga clic en la ficha Seguridad, luego en Oopciones Avanzadas,
haga clic en la ficha Auditoria y luego en Agregar.
5. En el cuadro de diálogo Seleccionar usuarios, escriba Todos y luego haga clic en Aceptar.
6. En el cuadro de diálogo Entrada de auditoría para Woodgrovebank, seleccione la casilla para auditar Éxito y
error al escribir todas las propiedades y luego haga clic en Aceptar dos veces.
Tarea 4: Probar la directiva
1. Cambie el nombre de la unidad organizativa Toronto por GTA.
2. Abra Visor de eventos, expanda Registros de Windows y luego haga clic en Seguridad.
3. Abra el evento 4662 y examine el evento.
4. Vuelva a Usuarios y equipos de Active Directory y edite las cuentas de usuario para cambiar el número de
teléfono.
5. Vuelva a Visores de eventos y analice los eventos de cambios resultantes del servicio de directorio.
6. Cierre todas las ventanas.
7. Apague todas las máquinas virtuales sin guardar los cambios.
Tarea 5: Cerrar todas las máquinas virtuales y descartar los discos para deshacer
1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto de máquina virtual.
2. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar.
3. Cierre el Iniciador de laboratorio 6824A.
Resultado: Al finalizar este ejercicio, habrá configurado la Auditoría de AD DS.
Ejercicio 3: Respuestas claves (pasos detallados)
Revisión del laboratorio
Revisión del laboratorio
Preguntas de revisión
1. ¿Qué tipos de eventos se registran en el registro Instalación?
2. ¿Para qué identificador de eventos aplicaría un filtro a fin de ver las cuentas de usuario eliminadas?
3. ¿Qué servicio debe habilitar en los equipos que recopilan eventos de suscripción de equipos remotos?
4. ¿Dónde puede encontrar información actualizada acerca de los identificadores de eventos?
5. ¿Dónde puede encontrar información histórica acerca de los errores de la aplicación?
6. El contador NTDS/N° de sincronizaciones de duplicación DRA pendientes es actualmente superior al valor
básico establecido para el contador. ¿Qué podría indicar esto?
7. Desea ver todas las repeticiones de un identificador de eventos determinado en varios registros. ¿Cuál es la
mejor manera de lograrlo?
Observaciones para implementar el Plan de supervisión de AD DS
Tenga en cuenta lo siguiente cuando desee implementar un plan de supervisión de AD DS:
Visor de eventos permite guardar los filtros como vistas personalizadas reutilizables.
Las consultas entre registros le permiten visualizar los datos de varios registros en una vista única.
Las suscripciones le permiten reunir eventos de equipos remotos.
Los Registros de aplicaciones y servicios ofrecen registros más detallados que corresponden a servicios
específicos de Windows.
Los registros de eventos en línea brindan información actualizada acerca de los eventos.
Los registros de aplicaciones y servicios incluyen los registros operativos, analíticos, de administración y de
depuración.
Se creará un registro para cada función del servidor que instale.
Es posible importar y exportar las vistas personalizadas.
Las suscripciones requieren configuración tanto en los equipos de recopilación como en los equipos de origen.
Monitor de confiabilidad y rendimiento de Windows brinda información en tiempo real en la vista de recursos.
Monitor de confiabilidad brinda gráfico de la estabilidad del sistema a través del tiempo.
Es posible generar informes fáciles de usar.
Monitor de rendimiento ofrece una amplia gama de objetos y contadores de AD DS.
Debe establecer líneas de base a fin de determinar el rendimiento de un equipo durante una carga de trabajo
normal.
Informe de estabilidad del sistema realiza un seguimiento de varias categorías de eventos y desarrolla un
registro histórico.
Conjuntos de recopiladores de datos le permite agrupar recopiladores de datos en elementos reutilizables.
Hay varios Conjuntos de recopiladores de datos integrados, aunque también puede definir el suyo.
La auditoría de AD DS puede realizar un seguimiento de todos los eventos que ocurren en AD DS.
El Acceso del servicio de directorio de auditoría está dividido en cuatro subcategorías.
La subcategoría Cambios de servicio del directorio ofrece los valores nuevos y anteriores al modificar los
atributos.
Debe utilizar Auditpol.exe para configurar las subcategorías.
Las SACL deben establecerse en los objetos para permitir la auditoría antes de recopilar los resultados.
La subcategoría Cambios de servicio del directorio ofrece los valores nuevos y anteriores al modificar los
atributos.
Debe utilizar Auditpol.exe para configurar las subcategorías.
Las SACL deben establecerse en los objetos para permitir la auditoría antes de recopilar los resultados.
Modulo 9 : Implementación de un plan de mantenimiento de Servicios de
dominio de Active Directory
Módulo 9
Implementación de un plan de mantenimiento de Servicios de dominio
de Active Directory
Como administrador de Windows Server®°2008, una de las tareas que deberá realizar es el mantenimiento de los
controladores de dominio de Servicios de dominio de Active Directory® (AD DS) de la organización. Un componente
importante para el mantenimiento de los controladores de dominio es administrar, hacer copias de seguridad y
restaurar el almacén de datos de AD DS.
Lección 1: Mantenimiento de los controladores de dominio de AD DS
Lección 2: Copias de seguridad de Servicios de dominio de Active Directory
Lección 3: Restauración de AD DS
Laboratorio: Implementación de un plan de mantenimiento de AD DS
Lección 1: Mantenimiento de los controladores de dominio de AD DS
Lección 1:
Mantenimiento de los controladores de dominio de AD DS
El mantenimiento de la base de datos de AD DS es una tarea administrativa importante que se debe programar
regularmente para garantizar que, ante un desastre, se puedan recuperar los datos perdidos o dañados y reparar la
base de datos de AD DS.
AD DS cuenta con su propio motor de base de datos, el Motor de almacenamiento extensible (ESE), que administra el
almacenamiento de todos los objetos de AD DS en una base de datos de AD DS. Al comprender cómo se escriben
en la base de datos los cambios realizados a los atributos de AD DS, también se comprenderá cómo la modificación
de los datos afecta el rendimiento y la fragmentación de la base de datos y la integridad de los datos.
Base de datos y archivos de registro de AD DS
Base de datos y archivos de registro de AD DS
Puntos clave
El motor de base de datos de AD DS, ESE, almacena todos los objetos de AD DS. El ESE usa transacciones y
archivos de registro para asegurar la integridad de la base de datos de AD DS.
Material de lectura adicional
Artículo de Microsoft Technet: How the Data Store Works (Cómo funciona el almacén de datos)
Cómo se modifica la base de datos de AD DS
Cómo se modifica la base de datos de AD DS
Puntos clave
Los puntos clave en el proceso de modificación de datos de AD DS son los siguientes:
Una transacción es un conjunto de cambios realizados a la base de datos de AD DS y a los metadatos
asociados.
El proceso básico de modificación de datos consta de 6 pasos:
1. La solicitud de escritura da inicio a una transacción.
2. AD DS escribe la transacción en el búfer de transacciones de la memoria.
3. AD DS escribe la transacción en el registro de transacciones.
4. AD DS escribe la transacción en la base de datos desde el búfer de memoria.
5. AD DS compara los archivos de la base de datos y los archivos de registro para asegurarse de que la
transacción se haya guardado en la base de datos.
6. AD DS actualiza el archivo de punto de control.
El hecho de contar con una memoria caché y un registro le permite a AD DS procesar transacciones
adicionales antes de escribirlas en la base de datos, mejorando así el rendimiento de la base de datos.
Preguntas:
¿Qué otros servicios de Microsoft usan un modelo transaccional para realizar cambios en la base de datos?
¿Cómo se compara el modelo de AD DS con estos otros servicios?
Material de lectura adicional
Artículo de Microsoft Technet: How the Data Store Works (Cómo funciona el almacén de datos)
Administración de la base de datos de Active Directory usando la
herramienta NTDSUtil
Administración de la base de datos de Active Directory usando la herramienta NTDSUtil
Puntos clave
Ntdsutil.exe es una herramienta de línea de comandos que se puede usar para administrar AD DS. Se pueden realizar
muchas tareas de mantenimiento que no pueden hacerse en la interfaz gráfica de usuario (GUI), incluso desfragmentar
la base de datos sin conexión, mover la base de datos y su registro de transacciones, quitar y restaurar los objetos
eliminados de AD DS, asumir las funciones del maestro de operaciones (también denominado Flexible Single Master
Operations; FSMO) y administrar las instantáneas de la base de datos. También se pueden incluir estos comandos en
un archivo por lotes.
Pregunta: Ha olvidado la contraseña de modo de restauración de servicios de directorio para su controlador de
dominio. ¿De qué manera puede recuperar la contraseña?
Material de lectura adicional
NTDSUtil Help (Ayuda para la herramienta NTDSUtil)
Data Store Tools and Settings (Herramientas y configuración del almacén de datos)
¿Qué es la desfragmentación de la base de datos de AD DS?
¿Qué es la desfragmentación de la base de datos de AD DS?
Puntos clave
Con el tiempo, se produce la fragmentación a medida que los registros se eliminan de la base de datos de AD DS y se
agregan o se expanden nuevos registros. Cuando se fragmentan los registros, el equipo debe buscar en el disco para
encontrar y reensamblar todas las partes cada vez que se abre la base de datos. Si se realizan muchos cambios en la
base de datos de AD DS, la fragmentación podría reducir su rendimiento.
Pregunta: ¿Con cuánta frecuencia deberá realizar una desfragmentación sin conexión de las bases de datos de AD DS
en su entorno?
Material de lectura adicional
Performing offline defragmentation of the AD DS database (Realizar la desfragmentación sin conexión de la
base de datos de AD DS)
Data Store Tools and Settings (Herramientas y configuración del almacén de datos)
¿Qué son los Servicios de dominio de Active Directory reiniciables?
¿Qué son los Servicios de dominio de Active Directory reiniciables?
Puntos clave
En Windows Server 2008, AD DS puede ser detenido y reiniciado mientras que la máquina se inicia. En las versiones
anteriores, si un administrador deseaba iniciar un controlador de dominio sin cargar AD DS, el servidor debía ser
reiniciado en Modo de restauración de Active Directory. Esto iniciaba el servidor como un servidor independiente, sin
AD DS. Luego se podían realizar tareas de mantenimiento sin conexión, como una desfragmentación sin conexión, o
mover la base de datos y archivos de registro. Con Windows Server 2008, el servicio de directorio puede ser
desconectado mientras la máquina se está ejecutando, causando sólo una mínima interrupción en los demás servicios.
Material de lectura adicional
AD DS: Servicios de dominio de AD DS reiniciables
Biblioteca técnica de Windows Server 2008
Demostración: Tareas de mantenimiento de la base de datos de AD DS
Demostración: Tareas de mantenimiento de la base de datos de AD DS
Pasos de demostración
Para realizar estos pasos se debe ser miembro del grupo integrado Administradores en el controlador de dominio.
1. Detener AD DS.
2. Abrir un símbolo del sistema.
3. Iniciar ntdsutil.
4. En el símbolo de ntdsutil: escribir Activate Instance NTDSy luego presionar ENTER.
5. En el símbolo de ntdsutil: escribir files y luego presionar ENTER.
6. Compactar la base de datos usando un directorio temporal para el nuevo ntds.dit.
7. Sobrescribir el ntds.dit anterior con la versión nueva compactada y eliminar cualquier archivo de registro (*.log)
en la carpeta %raíz del sistema (systemroot)%\NTDS\.
8. En la ventana del comando Mantenimiento de archivo de ntdsutil, escribir Integrity para comprobar la integridad
de la nueva base de datos compactada.
9. En la ventana del comando Mantenimiento de archivo, escribir mover db a nombre de ruta y luego presionar
ENTER. El archivo ntds.dit se moverá a la nueva ubicación y se establecerán los permisos en consecuencia.
10. Iniciar AD DS.
Preguntas:
¿Por qué es necesario detener AD DS antes de desfragmentar?
¿Por qué es necesario compactar primero la base de datos en un directorio temporal?
Material de lectura adicional
Compact the directory database file (offline defragmentation) ((Compactar el archivo de directorio de la base de
datos (desfragmentación sin conexión))
Bloqueo de servicios en los controladores de dominio de AD DS
Bloqueo de servicios en los controladores de dominio de AD DS
Puntos clave
Como parte de un amplio plan de seguridad, se puede incrementar la seguridad de un controlador de dominio
eliminando todos los servicios y características innecesarios. Esto minimiza la superficie de ataque y mejora el
rendimiento.
Material de lectura adicional
Security Configuration Wizard Overview (Descripción general del Asistente para configuración de seguridad)
Lección 2: Copias de seguridad de Servicios de dominio de Active
Directory
Lección 2:
Copia de seguridad de Servicios de dominio de Active Directory
Debido a la importancia que tiene AD DS para la mayoría de las organizaciones, es importante poder restaurar la
funcionalidad de AD DS en caso de daños en la base de datos, errores del servidor o un desastre mucho mayor, como
el error de un centro de datos que contiene múltiples servidores. Para prepararse para la recuperación ante desastres
se debe implementar una directiva consistente para hacer una copia de seguridad de la información de AD DS que se
encuentra en los controladores de dominio.
Introducción a la copia de seguridad de AD DS
Introducción a la copia de seguridad de AD DS
Puntos clave
Puede usar Copias de seguridad de Windows Server para hacer una copia de seguridad de AD DS. Copias de
seguridad de Windows Server no está instalada de manera predeterminada. Debe instalarla usando Agregar
características en Administrador de servidores antes de que poder usar la herramienta de línea de comandos
Wbadmin.exe y la herramienta Copia de seguridad en Herramientas administrativas.
Pregunta: ¿Qué otro proceso se podría usar para hacer una copia de seguridad de los datos de estado del sistema
que se encuentran en un controlador de dominio?
Material de lectura adicional
Step-by-Step Guide for Windows Server 2008 Beta 3 Active Directory Domain Services Backup and Recovery
(Guía paso a paso para operaciones de copia de seguridad y recuperación de Servicios de dominio de Active
Directory de Windows Server 2008 Beta 3)
Características de las copias de seguridad de Windows Server
Características de las copias de seguridad de Windows Server
Puntos clave
Copias de seguridad de Windows Server es la nueva utilidad de copias de seguridad que brinda Windows Server
2008. Para usar Copias de seguridad de Windows Server, debe instalarla como una característica. Si desea usar las
herramientas de línea de comandos Copias de seguridad de Windows Server también debe instalar la característica
Windows PowerShell.
Material de lectura adicional
Biblioteca técnica de Windows Server 2008
Demostración: Copia de seguridad de AD DS
Demostración: Copia de seguridad de AD DS
Preguntas:
¿Por qué deberían programarse las copias de seguridad?
¿Con cuánta frecuencia debería hacerse una copia de seguridad completa? ¿Con cuánta frecuencia debería hacerse
una copia de seguridad incremental o diferencial?
Material de lectura adicional
Step-by-Step Guide for Windows Server 2008 Beta 3 Active Directory Domain Services Backup and Recovery
(Guía paso a paso para operaciones de copia de seguridad y recuperación de Servicios de dominio de Active
Directory de Windows Server 2008 Beta 3)
Lección 3: Restauración de AD DS
Lección 3:
Restauración de AD DS
Luego de implementar el sistema de copias de seguridad de AD DS, puede comenzar a planear e implementar la
restauración de AD DS. Windows Server 2008 brinda varias opciones para restaurar la información de AD DS. Esta
lección describe cuándo y cómo usar cada opción.
Descripción general de la restauración de AD DS
Descripción general de la restauración de AD DS
Puntos clave
Windows Server 2008 brinda varias opciones para restaurar la información de AD DS. La opción que elija dependerá
del escenario de recuperación ante desastres que deba abordar.
Material de lectura adicional
Step-by-Step Guide for Windows Server 2008 Beta 3 Active Directory Domain Services Backup and Recovery
(Guía paso a paso para operaciones de copia de seguridad y recuperación de Servicios de dominio de Active
Directory de Windows Server 2008 Beta 3)
¿Qué es una restauración no autoritativa de AD DS?
¿Qué es una restauración no autoritativa de AD DS?
Puntos clave
Se puede usar una copia de seguridad para realizar una restauración no autoritativa de un controlador de dominio. Una
restauración no autoritativa devuelve el servicio de directorio al estado en que se encontraba en el momento en que se
hizo la copia de seguridad. Una vez finalizada la operación de restauración, la replicación de AD DS actualiza el
controlador de dominio con los cambios ocurridos desde el momento en que se hizo la copia de seguridad. De esta
manera, el controlador de dominio es recuperado a un estado actual.
Pregunta: ¿Qué sucedería si no escribe el segundo comando bcdedit después de restaurar la base de datos de AD
DS?
Material de lectura adicional
Step-by-Step Guide for Windows Server 2008 Beta 3 Active Directory Domain Services Backup and Recovery
(Guía paso a paso para operaciones de copia de seguridad y recuperación de Servicios de dominio de Active
Directory de Windows Server 2008 Beta 3)
¿Qué es una restauración autoritativa de AD DS?
¿Qué es una restauración autoritativa de AD DS?
Puntos clave
Una restauración autoritativa brinda un método para la recuperación de objetos y contenedores que han sido
eliminados de AD DS. Cuando se marca un objeto para su restauración autoritativa, se modifica su número de versión
para que sea mayor que el número de versión existente del objeto (eliminado) en el sistema de replicación de AD DS.
Este cambio asegura que cualquier dato que se restaure de manera autoritativa se replicará desde el controlador de
dominio restaurado a otros controladores de dominio del bosque.
Pregunta: ¿Qué sucedería si no escribe el segundo comando bcdedit después de restaurar la base de datos de AD
DS?
Material de lectura adicional
Step-by-Step Guide for Windows Server 2008 Beta 3 Active Directory Domain Services Backup and Recovery
(Guía paso a paso para operaciones de copia de seguridad y recuperación de Servicios de dominio de Active
Directory de Windows Server 2008 Beta 3)
Performing an Authoritative Restore of Active Directory Objects (Realizar una restauración autoritativa de
Objetos de Active Directory)
¿Qué es la herramienta de minería de datos?
¿Qué es la herramienta de minería de datos?
Puntos clave
La herramienta de montaje de bases de datos (Dsamain.exe) permite a los administradores visualizar y comparar
datos en instantáneas de base de datos (copias de seguridad) sin la necesidad de restaurar esas copias de seguridad.
Esto reduce el tiempo de inactividad y acelera el proceso de recuperación del dominio.
Material de lectura adicional
AD DS: herramienta de montaje de bases de datos
Step-by-Step Guide for Using the Active Directory Database Mounting Tool in Windows Server 2008 Beta 3
(Guía paso a paso para usar la Herramienta de montaje de bases de datos de Active Directory en Windows
Server 2008 Beta 3)
Demostración: Uso de la herramienta de minería de datos
Demostración: Uso de la herramienta de minería de datos
Pasos de demostración
Para realizar este procedimiento, debe haber iniciado sesión en un controlador de dominio ya sea como miembro del
grupo Administradores de empresas o como miembro del grupo Administradores de dominio.
1. Iniciar un símbolo del sistema con privilegios administrativos.
2. En el símbolo del sistema, escriba ntdsutil y luego presione ENTER.
3. En el símbolo de ntdsutil, escriba instantánea y luego presione ENTER.
4. En el símbolo de la instantánea, escriba Activate Instance y luego presione ENTER.
5. En el símbolo de la instantánea, escriba create y luego presione ENTER. El comando devuelve el siguiente
resultado: Snapshot set {GUID} generated successfully [Conjunto de instantáneas {GUID} correctamente
generado].
6. En el símbolo de la instantánea, escriba mount {GUID}. La instantánea montada aparecerá en el sistema de
archivos.
Nota: Asegúrese de escribir el número GUID entre llaves.
7. Escriba quit dos veces para volver al símbolo del sistema.
8. En el símbolo del sistema, escriba lo siguiente (en una línea) y luego presione ENTER:
Dsamain -dbpath:C:\$SNAP_200708311630_VOLUMEC$\WINDOWS\NTDS\ntds.dit -ldapport:51389
-sslport:51390 -gcport:51391 -gcsslport:51392
Nota: Su ruta de acceso a la instantánea probablemente será diferente.
9. Un mensaje indica que el inicio de Servicios de dominio de Active Directory se ha completado. Deje que
Dsamain.exe continúe ejecutándose. No cierre el símbolo del sistema.
10. En la línea de ejecución, escriba LDP y luego haga clic en Aceptar.
11. Haga clic en Conexión y luego haga clic en Conectar.
12. En Servidor, escriba localhost; en Puerto, escriba 51389 y luego haga clic en Aceptar.
13. Haga clic en Conexión y luego haga clic en Enlazar.
14. En Tipo de enlace, haga clic en Enlazar como usuario con sesión iniciada y luego haga clic en Aceptar.
15. Haga clic en Ver y luego en Árbol.
16. En BaseDN, escriba dc=woodgrovebank,dc=com.
17. Busque en los contenedores un objeto de usuario y luego haga doble clic en el usuario para ver sus
propiedades.
18. Cierre LDP.exe.
19. Detenga Dsmain.exe presionando Ctrl+C.
Preguntas:
¿Cuándo sería útil montar múltiples instantáneas al mismo tiempo?
¿Por qué es necesario especificar diferentes puertos LDAP, SSL y GC para cada instancia montada de la base de
datos?
Material de lectura adicional
Step-by-Step Guide for Using the Active Directory Database Mounting Tool in Windows Server 2008 Beta 3
(Guía paso a paso para usar la Herramienta de montaje de bases de datos de Active Directory en Windows
Server 2008 Beta 3)
Reanimación de objetos desechados de AD DS
Reanimación de objetos desechados de AD DS
Puntos clave
Un objeto desechado es un objeto que se marca como eliminado en AD DS. Cuando un administrador elimina un
objeto, éste se convierte en un desecho. Los objetos desechados permanecen en la base de datos de AD DS en
estado desactivado durante 180 días (duración predeterminada de los objetos desechados). Los objetos desechados
se replican a los demás controladores de todo el dominio y luego se eliminan en cada controlador de dominio al
finalizar su tiempo de vida.
Cuando un objeto se marca como desecho, el atributo esEliminado en el objeto se establece en valor True y la
mayoría de los atributos son eliminados. Sólo se conservan algunos atributos importantes (SID, ObjectGUID,
LastKnownParent y SAMAccountName). Esto significa que si el administrador reanima el objeto, éste ya no contará
con toda la información que solía tener. Se deben recrear manualmente los valores de atributo que falten.
Nota: La Herramienta de montaje de bases de datos puede usarse para ver los atributos de los objetos eliminados en
una instantánea realizada antes de la eliminación del mismo. Esto hace que sea más fácil recuperar el elemento
eliminado
Material de lectura adicional
How to restore deleted user accounts and their group memberships in Active Directory (Cómo restaurar cuentas
de usuario eliminadas y su pertenencia a grupos en Active Directory)
Laboratorio: Implementación de un plan de mantenimiento de AD DS
Laboratorio: Implementación de un plan de mantenimiento de Servicios
de dominio de Active Directory
Escenario
Woodgrove Bank ha finalizado la implementación de AD DS. Para garantizar una alta disponibilidad y rendimiento de
los servidores de AD DS, la organización está implementando un plan de mantenimiento que incluye el mantenimiento
continuo de la base de datos de AD DS y la implementación de un plan de recuperación ante desastres. El
administrador del servidor ha preparado un plan de copias de seguridad que incluye el volumen diario del sistema de
un controlador de dominio, en cada dominio. El administrador del servidor también ha preparado planes para la
recuperación de datos de AD DS en varios escenarios. Debe implementar estos planes.
Ejercicio 1: Mantenimiento de los controladores de dominio de AD DS
Ejercicio 1: Mantenimiento de los controladores de dominio de AD DS
En este ejercicio, se implementará un plan para el mantenimiento de los controladores de dominio de AD DS. Las
tareas incluyen la ejecución de SCW para deshabilitar todos los servicios que no se requieren en los controladores de
dominio, mover las bases de datos de AD DS a un disco duro alternativo y realizar una desfragmentación sin conexión
de la base de datos de AD DS.
Las principales tareas para este ejercicio se realizarán como se detalla a continuación:
1. Iniciar las máquinas virtuales y luego iniciar sesión.
2. Usar el Asistente para configuración de seguridad para bloquear servicios y configurar el firewall en NYC-DC1.
3. Realizar una desfragmentación sin conexión de la base de datos de AD DS.
4. Mover la base de datos de AD DS.
Tarea 1: Iniciar la máquina virtual y luego iniciar sesión
1. En el equipo, haga clic en Inicio, elija Todos los programas, luego Microsoft Learning y haga clic en
6824A. Se inicia Iniciador de laboratorio.
2. En Iniciador de laboratorio, junto a 6824A-NYC-DC1, haga clic en Iniciar.
3. Inicie sesión en NYC-DC1 como Administrador, usando la contraseña Pa$$w0rd.
4. Minimice la ventana Iniciador de laboratorio.
Tarea 2: Usar el Asistente para configuración de seguridad para bloquear servicios y configurar el firewall en NYC-DC1
1. Inicie el Asistente para configuración de seguridad desde el Administrador del servidor.
2. Elija la opción para crear una nueva directiva de seguridad para NCY-DC1.
3. Ejecute el Asistente para configuración de seguridad con las siguientes opciones:
Asegúrese de que esté seleccionada la función del servidor Controlador de dominio (Active Directory).
Habilite el servicio Active Directory: Modo de Planeamiento de RsoP.
4. Acepte los valores predeterminados de la configuración de Firewall de Windows.
5. Establezca Configuraciones de registro como se detalla a continuación:
Requerir: Firmas de seguridad SMB.
Habilitar sólo equipos cliente que ejecuten Windows 2000 Service Pack 3 o posterior.
Permitir sólo Windows NT 4.0 Service Pack 6a o sistemas operativos posteriores y Relojes que están
sincronizados con el reloj del servidor seleccionado.
No permitir la conexión de Equipos que requieren autenticación del administrador de LAN y Equipos que
no están configurados para usar autenticación NTLMv2.
6. Configure Directiva de auditoría para auditar actividades correctas e incorrectas.
7. Guarde la directiva de seguridad usando el nombre de archivo c:\windows\seguridad\msscw\directivas
\NYC-DC1.xml.
8. Elija la opción para aplicar la directiva más adelante.
Tarea 3: Realizar una desfragmentación sin conexión de la base de datos de AD DS
1. En NYC-DC1, detenga Servicios de dominio de Active Directory.
2. Abra un símbolo del sistema e inicie la herramienta ntdsutil.
3. Active la instancia de NTDS.
4. Use el comando files para compactar la base de datos de AD DS en C:\temp.
5. Compruebe la integridad de la base de datos desfragmentada.
6. Copie el archivo c:\temp\ntds.dit en c:\Windows\NTDS\ntds.dit.
7. Elimine todos los archivos de registro de la carpeta C:\Windows\NTDS.
8. Inicie Servicios de dominio de Active Directory.
Tarea 4: Mover la base de datos de AD DS
1. En NYC-DC1, detenga Servicios de dominio de Active Directory.
2. Abra un símbolo del sistema e inicie la herramienta ntdsutil.
3. Active la instancia de NTDS.
4. Use el comando Mantenimiento de archivos para mover la base de datos de AD DS a C:\Datos.
5. Inicie Servicios de dominio de Active Directory.
Resultado:Al finalizar este ejercicio, habrá instalado SCW para bloquear servicios en un controlador de dominio de
AD DS y realizado tareas de mantenimiento de la base de datos de AD DS.
Ejercicio 1: Respuestas claves (pasos detallados)
Ejercicio 2: Copia de seguridad de AD DS
Ejercicio 2: Copia de seguridad de AD DS
En este ejercicio, se instalará la característica Copias de seguridad de Windows Server, que luego se usará para
programar las copias de seguridad de la información de AD DS. También se harán copias de seguridad del volumen
del sistema a petición.
Las principales tareas para este ejercicio se realizarán como se detalla a continuación:
1. Instalar las características Copias de seguridad de Windows Server.
2. Crear una Copia de seguridad programada.
3. Completar una Copia de seguridad a petición.
Tarea 1: Instalar la característica Copias de seguridad de Windows Server
En Administrador del servidor, instale las características Copias de seguridad de Windows Server.
Tarea 2: Crear una copia de seguridad programada
1. Inicie Copias de seguridad de Windows Server y cree copias de seguridad programadas con la siguiente
configuración:
Tipo de copia de seguridad: Personalizada
Elementos de copia de seguridad: C: unidad única
Hora de la copia de seguridad: 12:00 a.m. todos los días
Disco de destino: Disco 1
2. Abra Programador de tareas y revise la tarea de copia de seguridad programada que acaba de crear.
Tarea 3: Completar una copia de seguridad a petición
1. En la ventana Copias de seguridad de Windows, en el panel Acciones, haga clic en Copia de seguridad
única.
2. Establezca la copia de seguridad de manera tal que su configuración sea la siguiente:
Tipo de copia de seguridad: Personalizada
Elementos de copia de seguridad: C: unidad única
Opción avanzada: Copia de seguridad completa de VSS
3. La copia de seguridad demorará entre 10 y 15 minutos en completarse. Cuando haya finalizado, cierre Copias
de seguridad de Windows Server.
Resultado: Al finalizar este ejercicio, habrá instalado la característica Copias de seguridad de
Windows Server y la habrá usado para programar copias de seguridad de la información de AD DS y
para hacer copias de seguridad a petición.
Ejercicio 2: Respuestas claves (pasos detallados)
Ejercicio 3: Restauración no autoritativa de la base de datos de AD DS
Ejercicio 3: Restauración no autoritativa de la base de datos de AD DS
En este ejercicio, se realizará una restauración autoritativa de la base de datos de AD DS. Luego, se comprobará que
la replicación no sobrescriba los datos restaurados.
Las principales tareas se realizarán como se detalla a continuación:
1. Eliminar la unidad organizativa Toronto.
2. Reiniciar NYC-DC1 en Modo de restauración de servicios de directorio.
3. Restaurar los datos de estado del sistema.
4. Marcar como autoritativa la información restaurada y luego reiniciar el servidor.
5. Comprobar que los datos eliminados hayan sido restaurados.
6. Cerrar todas las máquinas virtuales y descartar los discos para deshacer.
Tarea 1: Eliminar la unidad organizativa Toronto
1. En NYC-DC1, abra Usuarios y equipos de Active Directory.
2. Elimine la unidad organizativa Toronto.
Tarea 2: Reiniciar NYC-DC1 en Modo de restauración de servicios de directorio
1. Inicie un símbolo del sistema con permisos de administrador.
2. Use bcdedit /set safeboot dsrepair para configurar el servidor a fin de que se inicie en Modo de restauración de
servicios de directorio.
3. Reinicie el servidor.
Tarea 3: Restaurar los datos de estado del sistema
1. Inicie sesión como Administrador usando la contraseña Pa$$w0rd.
2. Inicie un símbolo del sistema con permisos de administrador.
3. Use el comando wbadmin get versions -backuptarget:D: -machine:NYC-DC1 para obtener la información
de la versión de la copia de seguridad que hizo.
4. Restaure la información de estado del sistema usando el comando wbadmin start systemstaterecovery
-version:versión -machine:NYC-DC1.
Tarea 4: Marcar como autoritativa la información restaurada y reiniciar el servidor
1. En el símbolo del sistema, use NTDS para realizar una restauración autoritativa de
“OU=Toronto,DC=Woodgrovebank,DC=com”
2. Para reiniciar el servidor normalmente después de realizar la operación de restauración, escriba bcdedit
/deletevalue safeboot y luego presione ENTER.
3. Reinicie el servidor.
Tarea 5: Comprobar que los datos eliminados hayan sido restaurados
1. Luego de que se reinicia el servidor, inicie sesión como Administrador.
2. Abra Usuarios y equipos de Active Directory y compruebe que la unidad organizativa Toronto haya sido
restaurada.
3. En NYC-DC2, abra Usuarios y equipos de Active Directory. Compruebe que la unidad organizativa Toronto
también haya sido restaurada en este servidor.
Tarea 6: Cerrar todas las máquinas virtuales y descartar los discos para deshacer
1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto de máquinas virtuales.
2. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar.
3. Cierre Iniciador de laboratorio 6824A.
Resultado: Al finalizar este ejercicio, habrá realizado una restauración autoritativa de la información de AD DS.
Ejercicio 3: Respuestas claves (pasos detallados)
Ejercicio 4: Restauración autoritativa de la base de datos de AD DS
Ejercicio 4: Restauración autoritativa de la base de datos de AD DS
En este ejercicio, se usará la herramienta de montaje de bases de datos de AD DS para ayudar a restaurar los datos
de un objeto de AD DS eliminado. Las tareas incluyen el uso de NTDSUtil para crear instantáneas de volumen de AD
DS, la eliminación de una cuenta de usuario desde AD DS y el uso de NTDSUtil para montar la instantánea. Luego
restaurará la cuenta usando LDP y verá los detalles de la cuenta desde la instantánea.
Las principales tareas en este ejercicio son:
1. Iniciar la máquina virtual y luego iniciar sesión.
2. Crear y montar una instantánea de la información de AD DS.
3. Modificar y luego eliminar una cuenta de usuario en AD DS.
4. Usar LDP para restaurar la cuenta de usuario eliminada.
5. Ver la información de la cuenta de usuario eliminada en la instantánea montada.
Tarea 1: Iniciar las máquinas virtuales y luego iniciar sesión
1. En la máquina host, haga clic en Inicio, elija Todos los programas, luego Microsoft Learning y haga clic en
6824A. Se inicia Iniciador de laboratorio.
2. En Iniciador de laboratorio, junto a 6824A-NYC-DC1, haga clic en Iniciar.
3. Inicie sesión en NYC-DC1 como Administrador, usando la contraseña Pa$$w0rd.
4. Minimice la ventana Iniciador de laboratorio.
Tarea 2: Crear y montar una instantánea de la información de AD DS
1. En NYC-DC1, en Usuarios y equipos de Active Directory, en la unidad organizativa AdminsTI, haga clic con
el botón secundario en Axel Delgado y luego haga clic en Propiedades. Agregue la siguiente información a
las propiedades de la cuenta de usuario y luego haga clic en Aceptar:
Descripción: Administrador TI
Oficina: Casa Matriz
Número de teléfono: 555-5555
2. Inicie un símbolo del sistema con permisos de administrador.
3. En el símbolo del sistema, escriba ntdsutil y luego presione ENTER.
4. En el símbolo de ntdsutil, escriba instantánea y luego presione ENTER.
5. En el símbolo de la instantánea, escriba Activate Instance NTDSy luego presione ENTER.
6. En el símbolo de la instantánea, escriba crear y luego presione ENTER. El comando devuelve el siguiente
resultado: Conjunto de instantáneas {GUID} generadas correctamente. Deje abierta esta ventana.
7. En el símbolo de la instantánea, escriba mount {GUID} y luego presione ENTER. El GUID es el GUID que se
mostró en el comando anterior. La instantánea montada aparecerá en el sistema de archivos.
8. En el símbolo de la instantánea, escriba listar todo y luego presione ENTER. Identifique el número asignado a
la instantánea que acaba de crear.
9. En el símbolo de la instantánea, escriba mount número y luego presione ENTER. El número es el número que
se mostró en el comando anterior. La instantánea montada aparecerá en el sistema de archivos.
10. Salga de NTDSUtil, pero mantenga abierto el símbolo del sistema.
Tarea 3: Eliminar una cuenta de usuario
Elimine la cuenta de Axel Delgado.
Tarea 4: Usar LDP para restaurar la cuenta de usuario eliminada
1. En el símbolo del sistema, escriba el siguiente comando y luego presione ENTER.
Dsamain -dbpath <ruta de acceso a la instantánea ntds.dit>-ldapport 51389
2. No cierre el símbolo del sistema.
3. Inicie LDP y luego conecte y enlace al servidor local.
4. En el menú Opciones, agregue el control Devolución de objetos eliminados.
5. En el menú Visualizar, haga clic en Árbol y luego en Aceptar.
6. ExpandaDC=Woodgrove Bank,DC=com y luego haga clic en CN=Deleted Items,DC=Woodgrove
Bank,DC=com.
7. Haga clic con el botón secundario en CN=Axel Delgado y luego haga clic en Modificar.
8. En el cuadro Atributos, escriba esEliminado debajo de Operación, luego haga clic en Eliminar y presione
ENTER.
9. En el cuadro Atributos, escriba distinguishedName.
10. En el cuadro Valores, escriba CN=Axel Delgado,ou=AdminsTI,dc=woodgrovebank,dc=com.
11. En Operación, haga clic en Reemplazar y luego presione ENTER.
12. Seleccione la casilla Extendido y luego haga clic en Ejecutar.
13. Abra Usuarios y equipos de Active Directory y compruebe que la cuenta de Axel Delgado haya sido
restaurada en la unidad organizativa AdminsTI y que la cuenta esté deshabilitada.
Tarea 5: Ver la información de la cuenta de usuario eliminada en la instantánea montada
1. Haga clic en Inicio y en Ejecutar, escriba LDP y luego haga clic en Aceptar.
2. Conecte y enlace al localhost, usando el puerto 51389.
3. En BaseDN, escriba dc=woodgrovebank,dc=com.
4. Busque la unidad organizativa AdminsTI y haga doble clic en CN=Axel Delgado. Visualice los atributos
Descripción, NombreOficinaFísicaEntrega y Número de teléfono. Ahora puede agregar la información que se
encuentra en estos atributos al objeto de usuario de Usuarios y equipos de Active Directory. Cierre LDP.exe.
Tarea 6: Cerrar todas las máquinas virtuales y descartar los discos para deshacer
1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto de máquina virtual.
2. En el cuadro Cerrar, seleccione Apagar la máquina y descartar los cambios y luego haga clic en Aceptar.
3. Cierre Iniciador de laboratorio de 6824A.
Resultado: Al finalizar este ejercicio, habrá restaurado una cuenta de usuario eliminada y habrá visualizado las
propiedades del usuario restaurado usando la herramienta de montaje de bases de datos de AD DS.
Ejercicio 4: Respuestas claves (pasos detallados)
Revisión del laboratorio
Revisión y conclusiones del módulo
Preguntas de revisión
1. Uno de los controladores de dominio se está quedando sin espacio en el disco duro. Ha modificado el
controlador de dominio para que ya no sea un servidor de catálogo global, pero advierte que el tamaño de la
base de datos de AD DS no se reduce. ¿Qué debería hacer para recuperar espacio de disco duro en el
servidor?
2. Le preocupa la cantidad de espacio en disco que usan la base de datos de AD DS y los archivos de registro.
¿Cómo determina el tamaño de la base de datos y de los archivos de registro?
3. Ha instalado Copias de seguridad de Windows Server en el controlador de dominio. Sólo cuenta con dos
unidades en el equipo y ambas están siendo usadas para los archivos de datos o de sistema. ¿Qué tipos de
copias de seguridad debería usar para asegurar su entorno de AD DS?
4. No funciona ningún controlador de dominio en su dominio. Está intentando reconstruir el dominio a partir de la
copia de seguridad de AD DS en un controlador de dominio. ¿Qué tipo de restauración debe usar para
reconstruir el dominio?
5. Accidentalmente eliminó una cuenta de usuario de AD DS. ¿Qué opciones tiene para lograr que la cuenta
vuelva a estar disponible?
Observaciones para el mantenimiento de AD DS
Complementar o modificar los siguientes procedimientos recomendados según las situaciones de trabajo:
La supervisión es un componente esencial para el mantenimiento de un entorno de AD DS. Un programa eficaz
de supervisión puede alertarlo acerca de las situaciones en que deberá realizar tareas de mantenimiento antes
de que éstas se vuelvan más graves.
Compare el esfuerzo realizado en la restauración de objetos de AD DS con el esfuerzo que se realiza en la
restauración de los objetos y en la reanimación de los objetos eliminados. Si se ha eliminado una sola cuenta
de usuario, por lo general es mucho más fácil recrear la cuenta que restaurarla. Si se ha eliminado una unidad
organizativa completa, por lo general es más rápido realizar una restauración autoritativa que recrear todas las
cuentas de la unidad organizativa.
El paso más importante en la preparación para abordar los errores que se producen en los controladores de
dominio es implementar más de un controlador de dominio en un dominio. Si cuenta con un segundo
controlador de dominio disponible, los servicios de AD DS continuarán estando disponibles y se puede instalar
fácilmente un controlador de dominio adicional para reemplazar el servidor en el que se ha producido el error. Si
cuenta con un solo controlador de dominio en el dominio y se produce un error, deberá restaurar AD DS a partir
de la copia de seguridad.
Si anticipa que necesitará usar las instantáneas Herramienta de montaje de bases de datos de manera regular,
considere crear una tarea programada para generar una instantánea regularmente.
Herramientas
Use las siguientes herramientas al configurar sitios y replicaciones de AD DS:
Herramienta
Usar para
Dónde encontrarla
Copias de seguridad de
Windows Server
Hacer copias de seguridad y restaurar
la información de AD DS u otros datos
en un equipo con Windows Server
2008.
Debe estar instalado como una
característica de Windows Server 2008.
LDP.exe
Ver y modificar información acerca de
los objetos de AD DS; reanimar los
objetos eliminados.
Está instalada de manera
predeterminada y es accesible desde un
símbolo del sistema.
NTDSUtil
Administrar el almacén de datos de AD
DS y las funciones del maestro de
operaciones.
Está instalada de manera
predeterminada y es accesible desde un
símbolo del sistema.
Herramienta de montaje de
bases de datos
Usada para crear y montar instantáneas Accesible por medio de NTDSUtil.
del almacén de datos de AD DS.
Haga clic en Inicio, elija Herramientas
administrativas y luego haga clic en
Copias de seguridad de Windows
Server.
Modulo 10 : Solución de problemas de Active Directory, DNS y replicación
Módulo 10
Solución de problemas de Active Directory DNS Problemas frecuentes
de replicación
Como administrador del sistema operativo Windows Server®°2008, existe la posibilidad de que se deban solucionar
problemas relacionados con Servicios de dominio de Active Directory® (AD DS). Cuando AD DS está diseñado e
implementado de manera apropiada, proporciona una infraestructura de servicios de directorio muy estable. Sin
embargo, incluso en los entornos más estables, en ocasiones puede necesitarse solucionar problemas de AD DS
relacionados con la autenticación, autorización, replicación o configuración del Sistema de nombres de dominio (DNS).
Lección 1: Solución de problemas de Servicios de dominio de Active Directory
Lección 2: Solución de problemas de integración de DNS y AD DS
Lección 3: Solución de problemas de replicación de AD DS
Laboratorio: Solución de problemas de AD DS, DNS y replicación
Lección 1: Solución de problemas de Servicios de dominio de Active
Directory
Lección 1:
Solución de problemas de Servicios de dominio de Active Directory
Cuando los usuarios no puedan autenticarse en la red o no puedan obtener acceso a los recursos de red, se debe
determinar si la causa del problema es un inconveniente de AD DS. El problema puede ser la conectividad de red,
puede tratarse de un error de los servicios de red o un inconveniente de AD DS. En esta lección aprenderá a identificar
y solucionar problemas de AD DS.
Introducción a solución de problemas de AD DS
Introducción a solución de problemas de AD DS
Puntos clave
AD DS es un sistema distribuido compuesto de muchos servicios diferentes de los que depende para funcionar
correctamente. Al solucionar problemas de AD DS, es necesario identificar el origen del problema y luego resolver el
inconveniente específico.
Material de lectura adicional
Overview of Active Directory Troubleshooting (Descripción de la solución de problemas de Active Directory)
Active Directory Product Operations Guide (Guía de operaciones del producto Active Directory)
Discusión: Cómo resolver problemas de Servicios de dominio de Active
Directory
Discusión: Cómo resolver problemas de Servicios de dominio de Active Directory
Preguntas:
¿Qué herramientas se usarían?
¿Cómo podría comprobarse que la solución es la adecuada?
Solución de problemas ante errores de acceso de usuario
Solución de problemas ante errores de acceso de usuario
Puntos clave
Existen varias razones posibles por las que un usuario no puede tener acceso a los recursos de red. Se pueden dividir
en tres categorías básicas.
Demostración: Herramientas para solucionar problemas ante errores de
acceso de usuario
Demostración: Herramientas para solucionar problemas ante errores de acceso de usuario
Preguntas:
Según su experiencia, ¿cuál es la razón más común de errores de acceso de usuario en su organización?
¿Qué pasos se pueden llevar a cabo para reducir la cantidad de errores de acceso de usuario y continuar conservando
la seguridad en la red?
Solución de problemas de rendimiento del controlador de dominio
Solución de problemas de rendimiento del controlador de dominio
Puntos clave
Como un servicio distribuido, AD DS depende de varios servicios dependientes entre sí que se distribuyen en
numerosos dispositivos y ubicaciones remotas. A medida que aumenta el tamaño de la red para aprovechar la
escalabilidad de AD DS, el rendimiento del controlador de dominio podría convertirse en un problema.
Material de lectura adicional
Windows Server 2003 Active Directory Branch Office Guide (Guía para sucursales de Active Directory de
Windows Server 2003)
Analizar datos de rendimiento
Lección 2: Solución de problemas de integración de DNS y AD DS
Lección 2:
Solución de problemas de integración de DNS y Servicios de dominio
de Active Directory
AD DS no puede funcionar sin DNS. Los clientes y servidores de aplicaciones como Microsoft Exchange Server usan
DNS para buscar controladores de dominio y servicios. Los controladores de dominio y los servidores de catálogo
global usan DNS para localizarse y luego replicarse unos a otros. Debido a esta integración estrecha de AD DS y DNS,
por lo general la solución de problemas de AD DS comienza solucionando los problemas de DNS.
Descripción general de la solución de problemas de DNS y AD DS
Descripción general de la solución de problemas de DNS y AD DS
Puntos clave
Una de las razones más comunes para los inconvenientes de AD DS es un problema con la infraestructura de DNS. En
particular, la solución de problemas de DNS debe comenzar cuando se presentan los inconvenientes enumerados en
la diapositiva.
Solución de problemas de resolución de nombres DNS
Solución de problemas de resolución de nombres DNS
Puntos clave
Para comprobar que los clientes pueden resolver nombres y registros, se deben llevar a cabo los siguientes pasos:
Comprobar la conectividad de red en todos los equipos.
Usar Ipconfig para asegurarse de que todos los equipos, incluyendo los clientes, servidores miembro,
controladores de dominio y servidores DNS, estén usando un servidor DNS que sea autoritativo para el dominio
de Active Directory. A veces, los equipos están mal configurados manualmente para usar el servidor DNS
equivocado, como por ejemplo un servidor de memoria caché para Internet o un servidor DNS de Proveedor de
servicios de Internet (ISP).
Usar NetDiag para probar la conectividad de DNS.
Garantizar que el servidor DNS esté funcionando correctamente. Se puede realizar la Autoprueba simple en
las propiedades del servidor DNS para comprobar que la base de datos responde. Además, se debe limpiar la
memoria caché del servidor DNS, con el fin de garantizar que la memoria caché no se encuentre contaminada y
que cuente con la información de zona más reciente.
Usar ipconfig /flushdns para limpiar la memoria caché de resolución de DNS del cliente.
Si la zona parece estar dañada, restaure desde la copia de seguridad. De ser necesario, conviene eliminar los
registros dinámicos de la zona DNS y reconstruir la base de datos.
Comprobar si hay errores en el registro del servidor DNS en Visor de eventos.
Usar DNSLint o NSlookup para ver qué resultados devuelve el servidor DNS. Se requieren los siguientes
registros DNS para la funcionalidad apropiada de Active Directory.
Pregunta: ¿Cuáles son los problemas más comunes relacionados con DNS en su organización?
Material de lectura adicional
Diagnosing Name Resolution Problems (Diagnóstico de problemas de resolución de nombres)
Solución de problemas de registro de nombres DNS
Solución de problemas de registro de nombres DNS
Puntos clave
Todos los servidores deben contar con al menos un (host) A y posiblemente registros PTR (búsqueda inversa) en
DNS. Además, todos los controladores de dominio deben contar con sus registros de recursos SRV actualizados en
DNS. A continuación se enumeran los servicios responsables de actualizar de manera dinámica el DNS:
El servicio al cliente de DNS del equipo actualiza los registros A.
Los registros PTR se configuran manualmente.
El servicio Netlogon del controlador de dominio actualiza los registros SRV.
Pregunta: ¿Para qué se usan los registros PTR? ¿Qué errores aparecerán si los registros PTR no se encuentran
registrados para los controladores de dominio?
Solución de problemas de la replicación de zona DNS
Solución de problemas de la replicación de zona DNS
Puntos clave
Cada vez que se actualiza un registro DNS, ya sea en una zona Principal (Maestra) tradicional o en una zona integrada
de AD DS, dicha actualización debe replicarse en una transferencia de zona a todos los servidores DNS que son
autoritativos para esa zona. Un administrador puede elegir conservar el ancho de banda durante el horario de mayor
uso de la red al programar la replicación para los horarios de menor uso. Incluso, el registro deberá ser replicado en
algún momento para que la base de datos de DNS sea consistente.
Cuando los problemas relacionados con DNS no son consistentes para todos los usuarios y pueden rastrearse hasta
un servidor DNS específico, se debe considerar la replicación de zona DNS como una posible causa del problema.
Material de lectura adicional
Solución de problemas de zona
Lección 3: Solución de problemas de replicación de AD DS
Lección 3:
Solución de problemas de replicación de Active Directory
AD DS usa una topología de replicación con varios maestros que depende de todos los controladores de dominio en una red
disponible. La replicación es importante para garantizar que todos los usuarios obtengan una respuesta consistente por parte
de los controladores de dominio, sin importar a qué controlador de dominio se encuentra conectado el usuario.
En esta lección aprenderá cómo solucionar los problemas de replicación de AD DS.
Requisitos para la replicación de AD DS
Requisitos para la replicación de AD DS
Puntos clave
Consulte los requisitos enumerados en la diapositiva para que la replicación de AD DS se realice correctamente .
Problemas frecuentes de replicación
Problemas frecuentes de replicación
Puntos clave
Cuando aparecen problemas de replicación en AD DS, el primer paso es identificar los síntomas y causas posibles.
Pregunta: ¿Cuál es la razón más común por la que aparecen errores de replicación en su organización?
Material de lectura adicional
Solución de problemas de replicación de Active Directory
¿Qué es la herramienta Repadmin?
¿Qué es la herramienta Repadmin?
Puntos clave
Se utiliza la herramienta de línea de comandos Repadmin.exe para ver la topología de replicación desde la perspectiva
de cada uno de los controladores de dominio. También se puede usar Repadmin.exe para crear de manera manual la
topología de replicación, forzar eventos de replicación entre los controladores de dominio y ver los metadatos de
replicación, que representan la información sobre los datos y el estado actualizado de los vectores.
Material de lectura adicional
Solución de problemas de replicación de Active Directory
¿Qué es la herramienta DCDiag?
¿Qué es la herramienta DCDiag?
Puntos clave
La herramienta dcdiag.exe realiza una serie de pruebas para comprobar los diferentes aspectos del sistema. Dichas
pruebas incluyen conectividad, replicación, integridad de la topología y mantenimiento entre sitios.
Identificación de la causa de los errores de replicación
Identificación de la causa de los errores de replicación
Puntos clave
Los problemas de replicación de AD DS pueden tener diversos orígenes. Por ejemplo, los problemas de DNS,
inconvenientes en la red o problemas de seguridad pueden causar que la replicación de AD DS no se lleve a cabo.
Se pueden realizar pruebas usando las herramientas de línea de comandos Repadmin.exe y DCDiag.exe para
determinar la causa principal del problema.
Discusión: Solución de problemas de replicación de AD DS entre sitios
Discusión: Solución de problemas de replicación de AD DS entre sitios
En clase, debatan las preguntas de la diapositiva.
Solución de problemas de replicación de archivos distribuidos
Solución de problemas de replicación de archivos distribuidos
El contenido de la carpeta SYSVOL se replica a todos los controladores de dominio en un dominio. Si el dominio se
encuentra en Windows Server 2003 o en un nivel funcional inferior, el FRS es el encargado de replicar el contenido de
la carpeta SYSVOL entre los controladores de dominio. Cuando se actualiza el nivel funcional a Windows Server 2008,
DFSR se usa para replicar el contenido de la carpeta SYSVOL. En ambos casos, la topología y el programa de objeto
de conexión que el KCC crea para la replicación de AD DS se usan para administrar la replicación entre los
controladores de dominio.
Tanto el FRS como la DFRS requieren conectividad LDAP y RPC entre los controladores de dominio. Para solucionar
los problemas de replicación de FRS, se usan los comandos Ntfrsutl y FRSDiag. Para solucionar los problemas de
replicación de DFSR, se usa la herramienta DFRSAdmin.
Laboratorio: Solución de problemas de AD DS, DNS y replicación
Laboratorio: Solución de problemas de Active Directory Problemas de
DNS y replicación
Escenario
Woodgrove Bank ha finalizado la implementación de Windows Server 2008. Como administrador de AD DS, una de las
principales tareas en esta instancia es solucionar problemas de AD DS que el Departamento de
AdminsTI_WoodgroveGG de la compañía le ha transferido a usted. Cuenta con la responsabilidad de resolver
problemas relacionados con el acceso de usuarios a los recursos, la integración de DNS y AD DS y la replicación de
AD DS.
Ejercicio 1: Solución de problemas en la autenticación y autorización
Ejercicio 1: Solución de problemas en la autenticación y autorización
Escenario
En este ejercicio, se solucionarán los errores de autenticación y autorización. Se revisarán los tickets de problema y se
resolverán inconvenientes relacionados con ellos.
Preparación de laboratorio: Asegúrese de que NYC-DC1, NYC-DC2 y NYC-CL1 se iniciaron y están ejecutándose.
Apague las demás máquinas virtuales.
Las principales tareas para este ejercicio se realizarán como se detalla a continuación:
1. Iniciar los servidores virtuales.
2. Ejecutar el archivo Lab10_Prep.bat.
3. Resolver tickets de problema.
Tarea 1: Iniciar los servidores virtuales
1. En la máquina host, haga clic en Inicio, elija Todos los programas, seleccione Microsoft Learning y luego
haga clic en 6824A. Se inicia Iniciador de laboratorio.
2. En Iniciador de laboratorio, junto a 6824A-NYC-DC1, haga clic en Iniciar.
3. Inicie sesión en NYC-DC1 como Administrador usando la contraseña Pa$$w0rd.
4. En Iniciador de laboratorio, junto a 6824A-NYC-DC2, haga clic en Iniciar.
5. Inicie sesión en NYC-DC2 como Administrador, usando la contraseña Pa$$w0rd.
6. En Iniciador de laboratorio, junto a 6824A-NYC-CL1, haga clic en Iniciar.
7. Minimice la ventana Iniciador de laboratorio.
Tarea 2: Ejecutar el archivo Lab10_Prep.bat
1. En NYC-DC1, abra una ventana de Windows Explorer y luego busque D:\6824\Allfiles\Mod10\Labfiles
2. Haga doble clic en Lab10_Prep.bat.
Tarea 3: Resolver tickets de problema
Ticket de problema N°1: Una usuaria llamada Chris McGurk tiene inconvenientes para iniciar sesión en su equipo,
que se ejecuta con el sistema operativo Windows Vista®. Ha estado trabajando fuera de la empresa en un proyecto de
investigación durante varios meses y ahora necesita tener acceso a la red para preparar su informe para la alta
gerencia. Apagaron su equipo de escritorio durante el período que estuvo afuera. Le han transferido el asunto.
1. Intente iniciar sesión en NYC- CL1 como Chris, usando la contraseña Pa$$w0rd.
2. ¿Se inició sesión correctamente? Observe el mensaje de error que se muestra a continuación:
_________________________________________________________________
3. Compruebe que la cuenta de equipo de NYC-CL1 todavía exista en el dominio.
4. ¿Cuál cree que es el inconveniente? ¿Cómo lo solucionará?
_________________________________________________________________
5. Inicie sesión en NYC- CL1 como NYC-CL1\AdminLocal usando la contraseña Pa$$w0rd.
6. Complete los pasos de solución de problemas.
7. Cierre sesión en NYC-CL1 como AdminLocal e inicie sesión como Chris.
8. ¿Pudo hacerlo correctamente?
_________________________________________________________________
9. Cierre sesión en NYC-CL1.
Ticket de problema N°2: A un miembro del Departamento de AdminsTI_WoodgroveGG, llamado Markus Breyer, se
le ha otorgado la tarea de agregar personas contratadas recientemente a la unidad organizativa NYC GerentesSucursal
en el dominio Woodgrovebank.com. Markus es un miembro del grupo global AdminsTI_WoodgroveGG Todos los
miembros del grupo AdminsTI_WoodgroveGG deben poder administrar cuentas de usuario desde estaciones de
trabajo de clientes usando Escritorio remoto. Cuando Markus intenta agregar nuevas personas contratadas, no lo logra.
Le han transferido el asunto.
1. Inicie sesión en NYC-CL1 como Markus, usando la contraseña Pa$$w0rd.
2. Intente conectarse a NYC-DC1 usando Escritorio remoto. ¿Pudo hacerlo correctamente? En caso de haber
recibido mensajes de error, ¿cuáles fueron?
_________________________________________________________________
3. ¿Cuál cree que es el problema?
_________________________________________________________________
4. Realice los pasos requeridos para resolver el mensaje de error.
5. Intente conectarse nuevamente a Escritorio remoto. ¿Pudo lograrlo esta vez? Si no pudo, lleve a cabo los
siguientes pasos para solucionar el problema.
_________________________________________________________________
6. Después de haberse conectado correctamente a Escritorio remoto, intente abrir Usuarios y equipos de Active
Directory. Si no puede hacerlo, lleve a cabo los pasos para solucionar el problema.
7. En Usuarios y equipos de Active Directory, intente crear una cuenta de usuario de prueba en la unidad
organizativa Gerentes de sucursal. ¿Pudo hacerlo correctamente? En caso de haber recibido mensajes de
error, ¿cuáles fueron?
_________________________________________________________________
8. ¿Qué pasos adicionales, si hubiera, piensa que deberá llevar a cabo?
_________________________________________________________________
9. Resuelva los demás problemas.
10. Cierre sesión en NYC-CL1.
Resultado: Al finalizar este ejercicio, se habrán resuelto dos tickets de problema con inconvenientes de autenticación
y autorización.
Ejercicio 1: Respuestas claves (pasos detallados)
Ejercicio 2: Solución de problemas de la integración de DNS y AD DS
Ejercicio 2: Solución de problemas de la integración de DNS y AD DS
Escenario
En este ejercicio, se resolverán los problemas identificados en los tickets de solución de problemas transferidos al
equipo del servidor en lo que se refiere a la integración de DNS y AD DS. Se identificará el problema en cada ticket, se
lo resolverá y luego se comprobará que la resolución fue correcta.
La tarea principal en este ejercicio consiste en resolver el ticket de problema.
Tarea 1: Resolver el ticket de problema
Ticket de problema N°3: Algunos usuarios en WoodgroveBank.com informan que tienen inconvenientes para obtener
acceso a los recursos de red. El Departamento de AdminsTI_WoodgroveGG ya ha establecido que todos los equipos
cliente que se ven afectados por este problema usan NYC-DC2 como el servidor DNS preferido. Se usará NYC-CL1
para probar todas las soluciones y garantizar que todos los usuarios puedan iniciar sesión en el dominio usando tanto
NYC-DC1 como NYC-DC2 como servidores DNS principales.
1. ¿Cuáles cree que podrían ser los problemas?
_________________________________________________________________
_________________________________________________________________
_________________________________________________________________
2. ¿Qué pasos llevará a cabo para probar y resolver los problemas?
_________________________________________________________________
_________________________________________________________________
_________________________________________________________________
3. Use NSlookup para comprobar los registros DNS para la zona WoodgroveBank.com tanto en NYC-DC1 como
en NYC-DC2.
4. Use Administrador de DNS para examinar la configuración para las zonas WoodgroveBank.com y
_msdcs.WoodgroveBank.com en ambos servidores DNS.
5. Lleve a cabo los pasos requeridos para solucionar el problema.
6. ¿Cuáles fueron los problemas reales y cómo los resolvió?
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
__________________________________________________________________
Resultado: Al finalizar este ejercicio, habrá resuelto un ticket de problema con inconvenientes de integración de DNS
y AD DS.
Ejercicio 2: Respuestas claves (pasos detallados)
Ejercicio 3: Solución de problemas de replicación de AD DS
Ejercicio 3: Solución de problemas de replicación de AD DS
Escenario
En este ejercicio, se resolverán los problemas identificados en los tickets de solución de problemas transferidos al
equipo del servidor. Entre los problemas potenciales se encuentran las cuentas de usuario que no se replican a otros
controladores de dominio, errores de replicación y errores de replicación de archivos de AD DS. Se identificará el
problema en cada ticket, se lo resolverá y luego se comprobará que la resolución fue correcta.
La tarea principal en este ejercicio consiste en resolver los tickets de problema.
Tarea 1: Resolver los tickets de problema
Ticket de problema N°4: Se le asignó al Departamento de AdminsTI_WoodgroveGG la tarea de crear cuentas de
usuario para las personas contratadas recientemente. Debido a que los nuevos empleados viajarán de una sucursal a
otra, es fundamental que puedan iniciar sesión desde cualquier ubicación. El Departamento de
AdminsTI_WoodgroveGG ha notado que la replicación entre NYC-DC1 y NYC-DC2 no funciona. Cuando un miembro
del equipo crea una cuenta de usuario en el controlador de dominio NYC-DC1, el controlador de dominio NYC-DC2 no
muestra la cuenta de usuario. Le han transferido el asunto.
1. Compruebe que la replicación de AD DS no funciona.
¿Cuáles cree que podrían ser los problemas?
_________________________________________________________________
_________________________________________________________________
_________________________________________________________________
¿Qué pasos de solución de problemas llevará a cabo para resolver los inconvenientes?
_________________________________________________________________
_________________________________________________________________
_________________________________________________________________
2. Implemente los pasos de solución de problemas. Se obtiene un resultado satisfactorio cuando se pueda crear
un usuario de prueba en cualquier controlador de dominio y luego replicar la cuenta en otro controlador de
dominio.
Ticket de problema N°5: El Departamento de AdminsTI_WoodgroveGG se ha dado cuenta de que cuando algunos
usuarios de la sucursal Nueva York de WoodgroveBank.com inician sesión no obtienen las asignaciones automáticas
de unidades esperadas. Todos los usuarios deben obtener una asignación de unidad que asigne la unidad H: a \\NYCDC1\data. El Departamento de AdminsTI_WoodgroveGG ha confirmado que el Objeto de directiva de grupo (GPO)
está configurado correctamente. El script de inicio de sesión se denomina MapDataDir.bat y debería encontrarse
ubicado en el recurso compartido Netlogon.
1. ¿Cuáles cree que podrían ser los problemas?
_________________________________________________________________
_________________________________________________________________
_________________________________________________________________
2. ¿Qué pasos de solución de problemas llevará a cabo para resolver los inconvenientes?
_________________________________________________________________
_________________________________________________________________
_________________________________________________________________
_________________________________________________________________
3. ¿Cómo comprobará que los problemas se han resuelto?
_________________________________________________________________
_________________________________________________________________
_________________________________________________________________
_________________________________________________________________
4. Implemente los pasos de solución de problemas. ¿Cuáles fueron los problemas reales y cómo los resolvió?
_________________________________________________________________
_________________________________________________________________
_________________________________________________________________
Tarea 2: Cerrar todas las máquinas virtuales y descartar los discos para deshacer
1. Por cada máquina virtual que esté ejecutándose, cierre la ventana Control remoto de máquina virtual.
2. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar.
3. Cierre Iniciador de laboratorio 6824A.
Resultado: Al finalizar este ejercicio, se habrá resuelto un ticket de problema con inconvenientes de
replicación de AD DS.
Ejercicio 3: Respuestas claves (pasos detallados)
Revisión del laboratorio
Revisión del laboratorio
Observaciones para el mantenimiento de AD DS
Complementar o modificar los siguientes procedimientos recomendados según las situaciones de trabajo:
Al solucionar problemas de AD DS, siempre conviene comenzar por el nivel de red. En la mayoría de los casos,
será más rápido y sencillo comprobar la conectividad de red.
Usar Visor de eventos cuando se solucionan problemas de AD DS. Varios de los errores de AD DS se
registrarán en los registros de Visor de eventos y los detalles del error generalmente proporcionan información
valiosa para resolver los inconvenientes.
En una organización grande, conviene considerar la implementación de Microsoft® System Center Operations
Manager con Active Directory Management Pack. El Operations Manager puede supervisar todos los
controladores de dominio en el entorno y brindar una orientación detallada sobre cómo resolver inconvenientes
de AD DS. Microsoft System Center Operations Manager es una actualización de Microsoft Operations
Manager.
Herramientas
Usar las siguientes herramientas al solucionar problemas de AD DS:
Herramienta
Usada para
Dónde encontrarla
Administrador de servidores
Obtener acceso a las herramientas de
administración de AD DS en una única consola.
Haga clic en Inicio, elija
Herramientas administrativas y
luego haga clic en Administrador
de servidores.
Sitios y servicios de Active
Directory
Crear y configurar sitios, subredes, mover
controladores de dominio entre sitios y forzar la
replicación.
Haga clic en Inicio, elija
Herramientas administrativas y
luego haga clic en Usuarios y
equipos de Active Directory.
Configurar y ver zonas DNS
DNS
Preguntas
de revisión
Haga clic en Inicio, elija
Herramientas administrativas y
luego
haga
clic en
1. Un usuario puede iniciar sesión en su equipo, pero cuando intenta tener acceso a un
recurso
deDNS.
red se le
solicita que ingrese un nombre de usuario y contraseña. ¿Cómo se podría garantizar que el usuario tenga
acceso a los recursos de red sin que se le solicite un nombre de usuario y contraseña después de iniciar
sesión?
2. Se necesita comprobar que todos los registros SRV del controlador de dominio se encuentran registrados en
DNS. Todos los servidores DNS en su organización usan un producto DNS de terceros en lugar de un DNS de
Windows Server 2008. ¿Cómo se pueden ver los registros en DNS?
3. Los usuarios en una sucursal de una organización están experimentando demoras en el inicio de sesión. Se
puede crear un controlador de dominio en la casa matriz y luego enviar el controlador de dominio a la sucursal.
Se configura la sucursal como un segundo sitio en el bosque. Se modificó la configuración de la dirección IP
del controlador de dominio, se ha confirmado la conectividad de red y se ha confirmado la actualización de la
dirección IP del controlador de dominio en DNS. No obstante, algunos usuarios en la sucursal siguen iniciando
sesión con demoras. ¿Qué más debería hacer?
4. La organización cuenta con cinco oficinas, cada una de ellas configuradas como un sitio individual en AD DS.
Se ha implementado al menos un controlador de dominio en cada oficina. En la casa matriz se lleva a cabo la
administración de cuentas de usuario. Es posible que al crear una nueva cuenta de usuario en la casa matriz, se
necesiten 3 horas como máximo antes de que el usuario pueda iniciar sesión usando dicha cuenta en la
sucursal. ¿Qué debería hacerse para asegurar que el usuario pueda iniciar sesión correctamente después de
que se ha creado la cuenta?
Modulo 11 : Solución de problemas de Directiva de grupo
Módulo 11
Solución de problemas de Directiva de grupo
Este módulo describe los procedimientos de solución de problemas para los clientes y equipos de procesamiento de
Directiva de grupo. Los procedimientos de solución de problemas pueden incluir una configuración incorrecta o
incompleta de la directiva o bien la ausencia de una aplicación de la directiva para el equipo o usuario. Este módulo
describe la información y las destrezas necesarias para solucionar estos problemas.
Lección 1: Introducción a la Solución de problemas de la Directiva de grupo
Lección 2: Solución de problemas de la aplicación de la Directiva de grupo
Lección 3: Solución de problemas de configuración de la Directiva de grupo
Laboratorio: Solución de problemas de la Directiva de grupo
Lección 1: Introducción a la Solución de problemas de la Directiva de
grupo
Lección 1:
Introducción a la Solución de problemas de Directiva de grupo
La implementación y administración de Directiva de grupo puede ser compleja y, algunas veces, un valor puede
generar consecuencias no deseadas para los usuarios o equipos. Esta lección brinda información detallada acerca del
procesamiento de Directiva de grupo y las áreas problemáticas frecuentes y, además, describe algunas de las
herramientas disponibles para la solución de problemas.
Escenarios para la Solución de problemas de Directiva de grupo
Escenarios para la Solución de problemas de Directiva de grupo
Material de lectura adicional
Artículo de Microsoft Technet: Solución de problemas de Directiva de grupo
Preparación para la Solución de problemas de directivas de grupo
Preparación para la Solución de problemas de directivas de grupo
Puntos clave
El primer paso para solucionar los problemas de Directiva de grupo es determinar el origen del problema. Los
problemas de Directiva de grupo pueden ser un síntoma de otros problemas no relacionados, como por ejemplo la
conectividad de la red, los problemas de autenticación, la disponibilidad del controlador de dominio o los errores de
configuración de Servicio de nombres de dominio (DNS). Por ejemplo, el error de un enrutador o un servidor DNS
puede impedir que los clientes establezcan contacto con un controlador de dominio.
Pregunta: ¿Qué herramienta de diagnóstico usaría para determinar la expiración de la concesión de una dirección de
Protocolo de configuración dinámica de host (DHCP) emitido para un equipo cliente?
Material de lectura adicional
Solución de los problemas de los sistemas con el Diagnóstico de red
Uso de NSlookup.exe
Artículo de Microsoft Technet: No se puede obtener acceso al controlador de dominio
Kerbtray.exe: Bandeja de Kerberos
Herramientas para la solución de problemas de las directivas de grupo
Herramientas para la solución de problemas de las directivas de grupo
Puntos clave
Existen numerosas herramientas de diagnóstico y registros que pueden usarse para comprobar si se puede rastrear
un problema en la Directiva de grupo principal.
Registro de la Directiva de grupo
Si las otras herramientas no ofrecen la información necesaria para identificar los problemas que afectan la aplicación
de la Directiva de grupo, es posible habilitar el registro detallado y examinar los archivos de registro resultantes.
Pueden generarse archivos de registro tanto en el cliente como el servidor a fin de brindar información detallada.
Pregunta: ¿Qué herramienta de diagnóstico mostrará rápidamente el umbral actual del vínculo lento de la Directiva de
grupo?
Material de lectura adicional
Group Policy Modeling and Results (Modelación y resultados de la Directiva de grupo)
Cómo crear GPO predeterminado de dominios manualmente
Herramienta GPOTool (del Kit de recursos del servidor de Windows 2000)
Artículo de Microsoft Technet: Actualizar la configuración de Directiva de grupo con GPUpdate.exe
Fixing Group policy problems by using log files (Solución de problemas de la Directiva de grupo con archivos
de registro)
Demostración: Uso de las herramientas de diagnóstico de Directiva de
grupo
Demostración: Uso de las herramientas de diagnóstico de Directiva de grupo
Pregunta: ¿Qué pasos deben realizarse antes de ejecutar el informe de Directiva de grupo RSoP en un equipo
remoto?
Lección 2: Solución de problemas de la aplicación de la Directiva de grupo
Lección 2:
Solución de problemas de aplicaciones de Directiva de grupo
Al solucionar los problemas de Directiva de grupo, es necesario comprender correctamente la interacción entre
Directiva de grupo y sus tecnologías compatibles y las maneras en que se administran, instalan y aplican los Objetos
de directiva de grupo.
Solución de problemas de Herencia de directivas de grupo
Solución de problemas de Herencia de directivas de grupo
Puntos clave
El bloqueo de la herencia le permitirá evitar que los valores con niveles elevados afecten las unidades organizativas o
las unidades organizativas secundarias. Únicamente es posible bloquear la herencia para las unidades organizativas en
su totalidad y no para los objetos individuales. El bloqueo de la herencia puede dificultar la solución de problemas ya
que contrarresta las reglas habituales de la herencia.
Pregunta: ¿Existen escenarios en su organización que se beneficiarían aplicando el bloqueo de la herencia?
Material de lectura adicional
Artículo de Microsoft Technet: Fixing Group Policy problems by using log files (Solución de problemas de
Directiva de grupo con archivos de registro)
Solución de problemas de Filtrado de directivas de grupo
Solución de problemas de Filtrado de directivas de grupo
Puntos clave
El Filtrado de directivas de grupo determina los usuarios y los equipos que recibirán la configuración de los GPO. El
filtrado de objetos de directiva de grupo (GPO) está basado en dos factores:
El filtrado de seguridad en los GPO
Todos los filtros Instrumental de administración de Windows (WMI) en los GPO
Pregunta: Se aplicó el filtrado de seguridad a fin de limitar la aplicación del GPO únicamente al grupo Gerentes. Esto
fue posible gracias a la configuración de los siguientes permisos de GPO:
Se denegó el permiso Aplicar directiva de grupo a los usuarios autenticados.
El grupo Gerentes recibió el permiso Leer y aplicar directiva de grupo.
Ninguno de los gerentes recibe la configuración de GPO. ¿Cuál es el problema?
Material de lectura adicional
Artículo de Microsoft Technet: Fixing Group Policy scoping issues (Solución de problemas del ámbito de
Directiva de grupo)
Solución de problemas de Replicación de directivas de grupo
Solución de problemas de Replicación de directivas de grupo
Puntos clave
En un dominio que posee más de un controlador de dominio, la información de Directiva de grupo demora en
difundirse o replicarse de un controlador de dominio a otro. Un GPO consta de dos partes, la Plantilla de directivas de
grupo (GPT) y el Contenedor de directivas de grupo (GPC). Se realiza un seguimiento de los cambios en los GPO
usando los números de la versión. Cada cambio incrementa el número de versión de la GPT y el GPC.
Pregunta: ¿Qué herramienta puede usar para forzar la replicación en todos los controladores de dominio del
dominio?
Material de lectura adicional
Troubleshooting File Replication Service (Solución de problemas de Servicio de replicación de archivos)
Artículo de Microsoft Technet: Replication of Group Policy settings between domain controllers fails (Error de
replicación de la configuración de Directiva de grupo entre los controladores de dominio)
Solución de problemas de actualización de Directiva de grupo
Solución de problemas de actualización de Directiva de grupo
Puntos clave
La actualización de Directiva de grupo hace referencia a la recuperación periódica de los GPO que realiza el cliente.
Durante la actualización de Directiva de grupo, el cliente establece contacto con un controlador de dominio disponible.
Si se modifica algún GPO, el controlador de dominio ofrece una lista de todos los GPO adecuados. De manera
predeterminada, los GPO se procesan en el equipo sólo si el número de versión de al menos un GPO ha cambiado en
el controlador de dominio al que el equipo está obteniendo acceso.
Pregunta: Se implementó una redirección de carpetas para una unidad organizativa determinada. Algunos usuarios
notifican que sus carpetas no están siendo redirigidas al recurso compartido de red. ¿Cuál es el primer paso que
debería realizar para solucionar el problema?
Material de lectura adicional
Group Policy does not refresh (Directiva de grupo no se actualiza)
Discusión: Solución de problemas de configuración de Directiva de grupo
Discusión: Solución de problemas de configuración de Directiva de grupo
Pregunta: Se le aplica a un usuario una configuración que nadie más recibe. ¿Cuál podría ser el problema y cómo
comenzaría a solucionarlo?
Lección 3: Solución de problemas de configuración de la Directiva de
grupo
Lección 3:
Solución de problemas de configuración de Directiva de grupo
Con frecuencia, los problemas de configuración de Directiva de grupo se deben a la detección de vínculo lento o a una
configuración incorrecta. Comprender cómo funcionan las Extensiones de cliente y cómo se determinan los vínculos
lentos ayuda a solucionar estos problemas.
Cómo funciona el procesamiento de Extensiones de cliente
Cómo funciona el procesamiento de Extensiones de cliente
Puntos clave
Extensiones de cliente son bibliotecas de vínculos dinámicos (DLL) que realizan el procesamiento real de la
configuración de Directiva de grupo. Los valores de la directiva se agrupan en diferentes categorías, tales como
Plantillas administrativas, Configuración de seguridad, Redirección de carpetas, Cuotas de disco e Instalación de
software. La configuración de cada categoría requiere una Extensión de cliente específica que pueda procesarla y
cada Extensión de cliente cuenta con sus propias reglas para procesar la configuración. El proceso de Directiva de
grupo principal solicita a las Extensiones de cliente adecuadas que procesen dicha configuración.
Algunas Extensiones de cliente se comportan de manera diferente dependiendo de las circunstancias. Por ejemplo,
ciertas Extensiones de cliente no se procesarán si se detecta un vínculo lento. Configuración de seguridad y Plantillas
administrativas se aplican siempre y no es posible desactivarlas. Es posible controlar el comportamiento de otras
Extensiones de cliente a través de los vínculos lentos.
A medida que se procesa la Directiva de grupo, el proceso de Winlogon envía la lista de los GPO por procesar a todas
las Extensiones de cliente de Directiva de grupo. Entonces, la extensión usa la lista para procesar la directiva correcta
cuando corresponda.
Pregunta: Los usuarios en una sucursal inician sesión a través de una conexión de módem lenta. Se necesita aplicar
Redirección de carpetas para los usuarios aún a través del vínculo lento. ¿Cómo se lograría esto?
Material de lectura adicional
Identificar extensiones de cliente de Directiva de grupo
Directiva de equipo para Extensiones de cliente http://www.microsoft.com/technet/prodtechnol
/windows2000serv/reskit/distrib/dsec_pol_ooyn.mspx?mfr=true
Group Policy and Network Bandwidth (Directiva de grupo y Ancho de banda de red)
Solución de problemas de configuración de Directiva de plantillas
administrativas
Solución de problemas de configuración de Directiva de plantillas administrativas
Puntos clave
Algunos valores de Plantilla administrativa pueden ser preferencias (en lugar de directivas) que no pueden quitarse con
facilidad, mientras que los sistemas operativos anteriores pueden no aceptar otros valores administrativos.
Pregunta: Su red tiene equipos con Windows XP y Windows Vista. Se configuró Plantilla administrativa para quitar el
vínculo de juegos del menú Inicio, pero únicamente los equipos con Windows Vista están aplicando este valor. ¿Cuál
es el problema?
Material de lectura adicional
Artículo de Microsoft Technet: Fixing Administrative Template policy setting problems (Solucionar problemas de
configuración de la directiva de Plantillas administrativas)
Solución de problemas de configuración de Directiva de seguridad
Solución de problemas de configuración de Directiva de seguridad
Puntos clave
Directivas de seguridad protegen la integridad del entorno informático controlando varios aspectos de éste, como por
ejemplo las directivas de contraseña, las opciones de seguridad, los grupos restringidos, las directivas de red, los
servicios, las directivas de claves públicas, entre otros.
Características de Directivas de seguridad
Directivas de seguridad se actualizan cada 16 horas aunque no se hayan modificado.
Directivas de seguridad se procesan siempre, aún a través de conexiones lentas.
Pregunta: Se configuró una Directiva de contraseña en un GPO y se vinculó la directiva con la unidad organizativa
Investigación. La directiva no afecta a todos los usuarios de dominio en la unidad organizativa. ¿Cuál es el problema?
Material de lectura adicional
Solución de problemas de aplicación de la directiva de grupos
Solución de problemas de configuración de Directiva de scripts
Solución de problemas de configuración de Directiva de scripts
Puntos clave
La Extensión de scripts de cliente actualiza el registro con la ubicación de los archivos de scripts para que el proceso
UserInit pueda encontrar esos valores durante su procesamiento normal. Cuando una Extensión de cliente informa que
se produjo correctamente, quizá sólo signifique que la ubicación del script se encuentra en el registro. Aunque el valor
se encuentra en el registro, podrían ocurrir problemas que impidan que se le aplique ese valor al cliente. Por ejemplo,
si un script especificado en un valor Script tiene un error que le impide finalizar, Extensión de cliente no detectará un
error.
Directiva de grupo procesa un GPO y almacena la información del script en el registro en las siguientes ubicaciones:
HKCU\Software\Directivas\Microsoft\Windows\Sistema\Scripts (Scripts de usuario)
HKLM\Software\Directivas\Microsoft\Windows\Sistema\Scripts (Scripts del equipo)
Pregunta: Se asigna un script de inicio de sesión para una unidad organizativa. El script se ejecuta correctamente para
todos los usuarios, pero algunos usuarios notifican que obtienen un mensaje de acceso denegado cuando intentan
ingresar a la unidad asignada. ¿Cuál es el problema?
Material de lectura adicional
Artículo de Microsoft Technet: Fixing Scripts policy settings problems (Solucionar problemas de configuración
de directivas de scripts)
Laboratorio: Solución de problemas de la Directiva de grupo
Laboratorio: Solución de problemas de Directiva de grupo
Escenario
Woodgrove Bank ha finalizado la instalación de Windows Server 2008. Como administrador de AD DS, una de las
tareas principales es solucionar los problemas de AD DS que le transfiere el Departamento de soporte técnico de la
compañía. Además, es responsable de solucionar los problemas relacionados con la aplicación y la configuración de
Directiva de grupo.
Nota: Algunas de las tareas de este laboratorio están diseñadas para ilustrar las técnicas de solución de problemas
de GPO y puede que no siempre sigan los procedimientos recomendados.
Ejercicio 1: Solución de problemas de scripts de Directiva de grupo
Ejercicio 1: Solución de problemas de scripts de Directiva de grupo
Se creará y vinculará un GPO que realice las siguientes acciones para todos los usuarios de dominio y equipos:
Establecer en Internet Explorer® como página principal para http://WoodgroveBank.com.
Forzar el menú Inicio clásico.
Forzar al cliente para que espere que se inicialice la red durante el inicio y luego iniciar sesión.
Configurar el Firewall de Windows para permitir la administración remota de entrada.
Luego, deberá aplicar a todos los usuarios de dominio un GPO preconfigurado que asigne una unidad a la carpeta
compartida Datos y, además, deberá observar y solucionar los problemas de los resultados.
Todos los usuarios de dominio tendrán una unidad asignada a una carpeta compartida denominada Data. El GPO ya ha
sido creado y se hizo una copia de seguridad. Debe restaurar y aplicar el GPO que envía la directiva al dominio y
solucionar todos los problemas de la directiva.
Un usuario en la unidad organizativa Miami ha presentado el siguiente vale de soporte técnico:
Nombre de usuario: Roya Asbari
Nombre del equipo: NYC-CL1
Descripción del problema: No hay ninguna unidad asignada a la carpeta Datos.
El vale fue transferido al equipo del servidor para su resolución.
Las principales tareas son:
1. Iniciar la máquina virtual 6824A-NYC-DC1 e iniciar sesión como Administrador.
2. Crear y vincular una Directiva de escritorio del dominio.
Establecer el Internet Explorer® como página principal para http://WoodgroveBank.com.
Forzar el menú Inicio clásico para todos los usuarios de dominio.
Forzar al equipo cliente para que espere que se inicialice la red durante el inicio y luego iniciar sesión.
Configurar el Firewall de Windows para permitir la administración remota de entrada.
3. Restaurar el GPO Lab11A.
4. Vincular el GPO Lab11A con el dominio.
5. Iniciar la máquina virtual 6824A-NYC-CL1 e iniciar sesión como Administrador.
6. Probar el GPO.
7. Solucionar los problemas del GPO.
8. Solucionar el problema y probar su resolución.
Tarea 1: Iniciar la máquina virtual 6824A-NYC-DC1 e iniciar sesión como Administrador
1. Abra Control remoto de cliente de servidor virtual y luego haga doble clic en 6824A-NYC-DC1.
2. Inicie sesión en NYC-DC1 como Administrador usando la contraseña Pa$$w0rd.
Tarea 2: Crear y vincular una directiva de escritorio del dominio
1. Abra Administración de directiva de grupo.
2. Cree y vincule un GPO denominado Escritorio con el dominio WoodgroveBank.
3. Edite la directiva como se detalla a continuación:
1. Busque Configuración del equipo, vaya a Plantillas administrativas, luego a Sistema y finalmente a Inicio
de sesión. Habilite la directiva Siempre a la red en el inicio e inicio de sesión.
2. Vaya a Red, luego a Conexiones de red, a Firewall de Windows y finalmente a Perfil de dominio. Habilite la
directiva Firewall de Windows: Permitir excepciones de administración remota entrante y luego escriba
subredlocal en el campo y haga clic en Aceptar.
3. Vaya a Configuración del usuario, luego a Configuración de Windows, a Mantenimiento de Internet
Explorer, a Direcciones URL y finalmente a Direcciones URL importantes.
4. En el cuadro de diálogo Direcciones URL importantes, personalice la URL de la página principal para que
sea http://WoodgroveBank.com.
5. Vaya a Plantillas administrativas, luego a Menú inicio y Barra de herramientas y luego habilite el valor
Forzar menú inicio clásico.
4. Cierre el Editor de administración de directiva de grupo.
Tarea 3: Restaurar el GPO Lab11A
1. En la GPMC, haga clic con el botón secundario en la carpeta Objetos de directiva de grupo y luego haga clic
en Administrar copias de seguridad.
2. En el cuadro de diálogo Administrar copias de seguridad, escriba D:\6824 en el campo Ubicación de las
copias de seguridad.
3. Seleccione el GPO Lab 11A, haga clic en Restaurar y luego en Aceptar dos veces.
4. Cierre el cuadro de diálogo Administrar copias de seguridad.
Tarea 4: Vincular el GPO Lab11A con el dominio
1. En la GPMC, haga clic con el botón secundario en el dominio WoodgroveBank.com y luego en Vincular un
GPO existente.
2. En el cuadro de diálogo Seleccionar GPO, seleccione el GPO Lab 11A y luego haga clic en Aceptar.
Tarea 5: Iniciar la máquina virtual 6824A-NYC-CL1 y luego iniciar sesión como Administrador
Inicie NYC-CL1 e inicie la sesión como WoodgroveBank\Administrador con la contraseña Pa$$w0rd.
Tarea 6: Probar el GPO
1. Cierre sesión y luego inicie sesión como Administrador.
Nota: Se requieren dos inicios de sesión para ver la configuración de Directiva de grupo ya que Administrador inicia
sesión usando las credenciales almacenadas en la memoria caché.
2. Haga clic en el botón Inicio y asegúrese de ver el menú Inicio clásico.
3. Haga doble clic en Internet Explorer y luego en la X roja para detener el intento de conexión con la página de
inicio predeterminada. Haga clic en el icono Página principal en la barra de herramientas y asegúrese de que
http://WoodgroveBank.com sea la página principal.
4. Haga doble clic en Internet Explorer y luego en la X roja para detener el intento de conexión con la página de
inicio predeterminada. Haga clic en el icono Página principal en la barra de herramientas y asegúrese de que
http://WoodgroveBank.com sea la página principal.
5. Cierre el Internet Explorer.
6. Haga doble clic en Equipo en el escritorio y asegúrese de que cuenta con una unidad asignada para la carpeta
compartida denominada Data.
7. Cierre sesión.
8. Inicie sesión en NYC-CL1 como Roya, usando la contraseña Pa$$w0rd.
9. Cierre Centro de Bienvenida.
10. Haga clic en el botón Inicio y asegúrese de que Roya vea el menú Inicio clásico.
11. En el escritorio, haga doble clic en Internet Explorer y luego haga clic en el icono Página principal de la barra
de herramientas para asegurarse de que http://WoodgroveBank.com sea la página principal.
12. Cierre el Internet Explorer.
13. En el Escritorio, haga doble clic en Equipo y compruebe la unidad asignada a la carpeta compartida
denominada Datos.
Tarea 7: Solución de problemas del GPO
1. Cambie nuevamente a NYC-DC1.
2. En la GPMC, haga clic con el botón secundario en Resultados de directiva de grupo y luego en el Asistente
de resultados de directiva.
3. En la pantalla Selección de equipo, haga clic en Otro equipo y luego escriba NYC-CL1 en el campo.
4. En la ventana Selección de usuario, seleccione WoodgroveBank\Roya y luego haga clic en Finalizar.
5. En la sección Resumen de configuración del usuario, haga clic en Objetos de directiva de grupo y luego
en GPO aplicados.
6. Haga clic en la ficha Configuración.
7. Expanda Configuración de Windows, luego Scripts y finalmente Inicio de sesión.
8. Cambie nuevamente a NYC-CL1 como Roya.
9. Pruebe el permiso de Roya para obtener acceso a la ubicación de scripts abriendo un comando Ejecutar,
escribiendo \\nyc-dc1\scripts y luego presionando ENTER.
10. Haga clic en Aceptar para descartar el cuadro de diálogo de error.
Nota: Si cuenta con tiempo suficiente, puede visualizar el registro funcional de Directiva de grupo como Administrador
en NYC-CL1. Si aplica un filtro a la vista para mostrar los eventos que genera Roya, podría ver que el registro no
detecta errores o advertencias para este usuario. Esto se debe a que el GPO establece únicamente un valor en el
registro que define la ubicación de la carpeta de scripts. Directiva de grupo ignora si el usuario tiene acceso a la
ubicación y si se logró escribir correctamente en el registro. Por lo tanto, el registro de Directiva de grupo no presenta
errores. Se debería auditar el Acceso a objetos para la carpeta de scripts a fin de determinar los problemas de
acceso.
Tarea 8: Determinar y probar la solución
1. Cambie nuevamente a NYC-DC1 y abra Explorador de Windows.
2. Vaya a la carpeta D:\6824\scripts.
3. Agregue Usuarios autenticados a la lista de permisos Compartir y concédales Permiso de lectura.
4. Cambie a NYC-CL1 como Roya, cierre sesión y luego inicie sesión.
5. En el escritorio, haga doble clic en Equipo.
Nota: Otra manera de resolver el problema sería moviendo el script al recurso compartido Netlogon.
6. Cierre sesión.
Resultado: Al finalizar este ejercicio, habrá solucionado un problema de scripts de Directiva de grupo.
Ejercicio 1: Respuestas claves (pasos detallados)
Ejercicio 2: Solución de problemas del GPO Laboratorio 11B
Ejercicio 2: Solución de problemas del GPO Laboratorio 11B
Los usuarios de dominio en la unidad organizativa Miami y todas las unidades organizativas secundarias no deben
tener acceso al Panel de control. Deberá restaurar y aplicar el GPO que envía la directiva a la unidad organizativa
Miami.
El técnico local in situ presentó un vale de soporte técnico y transfirió el siguiente problema al equipo del servidor:
Nombre de usuario: Técnico local
Nombre del equipo: NYC-CL1
Nombre de usuario: Técnico local
Nombre del equipo: NYC-CL1
Descripción del problema: Ningún usuario debería tener acceso al Panel de control. Sin embargo, algunos
usuarios tienen acceso al Panel de control mientras que otros no. Específicamente, un gerente de la sucursal
de Miami, Roya, tiene acceso al Panel de control.
El vale fue transferido al equipo del servidor para su resolución.
Las principales tareas para este ejercicio se realizarán como se detalla a continuación:
1. Restaurar el GPO Lab11B.
2. Vincular el GPO Lab11B con la unidad organizativa Miami.
3. Probar el GPO usando diferentes usuarios.
4. Solucionar los problemas del GPO usando RSoP.
5. Determinar y probar la resolución.
Tarea 1: Restaurar el GPO Lab11B
1. Desde NYC-DC1, en la GPMC, haga clic con el botón secundario en la carpeta Objetos de directiva de grupo
y luego haga clic en Administrar copias de seguridad.
2. En el cuadro de diálogo Administrar copias de seguridad, escriba D:\6824\Copia de Seguridad GPO en el
campo Ubicación de copia de seguridad.
3. Restaure el GPO Lab 11B.
Tarea 2: Vincular el GPO Lab11B con la unidad organizativa Miami
1. En la GPMC, haga clic con el botón secundario en la unidad organizativa Miami y luego en Vincular un GPO
existente.
2. En el cuadro de diálogo Seleccionar GPO, seleccione el GPO Lab 11B y luego haga clic en Aceptar.
Tarea 3: Probar el GPO
1. Inicie sesión en NYC-CL1 como Rich, usando la contraseña Pa$$w0rd.
2. Asegúrese de que la configuración del GPO Escritorio esté aplicada.
3. Asegúrese de que el ícono Panel de control no se muestre en el escritorio o en Menú inicio.
4. Cierre sesión.
5. Inicie sesión en NYC-CL1 como Roya.
6. Cierre sesión.
Tarea 4: Solución de problemas del GPO
1. Cambie nuevamente a NYC-DC1.
2. En la GPMC, haga clic con el botón secundario en Resultados de directiva de grupo y luego en el Asistente
de resultados de directiva de grupo.
3. En la ventana Selección de equipo, haga clic en Otro equipo y luego escriba NYC-CL1 en el campo.
4. En la ventana Selección de usuario, seleccione WoodgroveBank\Rich y luego haga clic en Finalizar.
5. En la sección Resumen de configuración del usuario, haga clic en Objetos de directiva de grupo y luego
en GPO aplicados.
6. Haga clic en la ficha Configuración.
7. Expanda Configuración de Windows y luego Panel de control.
8. Haga clic con el botón secundario en Resultados de directiva de grupo, consulte Roya en NYC-CL1 en el
panel izquierdo y luego haga clic en Volver e ejecutar la consulta.
9. En la sección Resumen de configuración del usuario, haga clic en Objetos de directiva de grupo y luego
en GPO aplicados.
10. Haga clic en GPO negados.
Tarea 5: Determinar y probar la resolución
1. En la GPMC, expanda la carpeta Objetos de directiva de grupo, haga clic en el GPO Lab 11B, luego en la
ficha Delegación y finalmente en Avanzado.
2. En la ficha Seguridad, haga clic en MIA_GerentesSucursalGG.
3. Elimine MIA_GerentesSucursalGG de la lista de permisos y haga clic en Aceptar.
4. Cambie a NYC-CL1 e inicie sesión nuevamente como Roya.
Resultado: Al finalizar este ejercicio, habrá solucionado un problema de Objetos de directiva de grupo.
Ejercicio 2: Respuestas claves (pasos detallados)
Ejercicio 3: Solución de problemas del GPO Laboratorio 11C
Ejercicio 3: Solución de problemas del GPO Laboratorio 11C
Los usuarios de la unidad organizativa Miami no deberían tener acceso al comando Ejecutar en el menú Inicio. Debe
restaurar y vincular el GPO Lab 11C a fin de aplicar este valor.
El técnico del escritorio local ha transferido el siguiente problema al equipo del servidor:
Nombre de usuario: Técnico local
Nombre del equipo: NYC-CL1
Descripción del problema: Ningún usuario debería tener acceso al comando Ejecutar en el menú Inicio, pero
todos los usuarios de la unidad organizativa Miami tienen acceso al comando Ejecutar.
El vale fue transferido al equipo del servidor para su resolución.
Las principales tareas para este ejercicio se realizarán como se detalla a continuación:
1. Restaurar el GPO Lab11C.
2. Vincular el GPO Lab11C con la unidad organizativa Miami.
3. Probar el GPO.
4. Solucionar los problemas del GPO.
5. Determinar y probar la resolución.
Tarea 1: Restaurar el GPO Lab11C
1. Desde NYC-DC1, en la GPMC, haga clic con el botón secundario en la carpeta Objetos de directiva de grupo
y luego haga clic en Administrar copias de seguridad.
2. En el cuadro de diálogo Administras copias de seguridad, escriba D:\6824\Copia de Seguridad GPO en el
campo Ubicación de copia de seguridad.
3. Restaure el GPO Lab 11C.
Tarea 2: Vincular el GPO Lab11C con la unidad organizativa Miami
1. En la GPMC, haga clic con el botón secundario en la unidad organizativa Miami y luego en Vincular un GPO
existente.
2. Seleccione el GPO Lab 11C y luego haga clic en Aceptar.
Tarea 3: Probar el GPO
1. Inicie sesión en NYC-CL1 como Roya.
2. Cierre sesión.
Tarea 4: Solucionar los problemas del GPO
1. Cambie a NYC-DC1.
2. En la GPMC, vuelva a ejecutar la consulta Roya en NYC-CL1.
3. En la sección Resumen de configuración del usuario, haga clic en Objetos de directiva de grupo y luego
en GPO aplicados.
4. Haga clic en la ficha Configuración.
5. En la sección Configuración del usuario, expanda Plantillas administrativas y luego haga clic en Menú
inicio y Barra de tareas.
Tarea 5: Determinar y probar la resolución
1. Expanda la carpeta Objetos de directiva de grupo, haga clic con el botón secundario en el GPO Lab 11C y
luego haga clic en Edición.
2. Vaya a Configuración del usuario, a Plantillas administrativas, luego a Menú inicio y finalmente a Barra
de tareas.
3. Haga doble clic en el valor Agregar el comando Ejecutar al menú inicio, haga clic en No configurado y
luego en Aceptar.
4. Busque Quitar el menú Ejecutar del menú inicio y habilite la configuración.
5. Cierre el Editor de objetos de directiva de grupo.
6. Inicie sesión en NYC-CL1 como Roya.
7. No cierre sesión.
Resultado: Al finalizar este ejercicio, habrá solucionado un problema de Objetos de directiva de grupo.
Ejercicio 3: Respuestas claves (pasos detallados)
Ejercicio 4: Solución de problemas del GPO Laboratorio 11D
Ejercicio 4: Solución de problemas del GPO Laboratorio 11D
Debe restaurar el GPO Lab 11D y vincularlo con la carpeta Bucle invertido. Este GPO está diseñado para optimizar la
seguridad.
Un usuario en la unidad organizativa Miami ha presentado el siguiente vale de soporte técnico:
Nombre de usuario: Roya Asbari
Nombre del equipo: NYC-CL1
Descripción del problema: Desde la aplicación del GPO, Roya ya no posee el menú Inicio clásico o la
asignación de unidad y ya no puede ejecutar Internet Explorer.
El vale fue transferido al equipo del servidor para su resolución.
Las principales tareas para este ejercicio se realizarán como se detalla a continuación:
1. Crear una nueva unidad organizativa denominada Bucle invertido.
2. Restaurar el GPO Lab11D.
3. Vincular el GPO Lab11D con la unidad organizativa Bucle invertido.
4. Mover NYC-CL1 a la unidad organizativa Bucle invertido.
5. Probar el GPO.
6. Solucionar los problemas del GPO.
7. Solucionar el problema y probar su resolución.
Tarea 1: Crear una nueva unidad organizativa denominada Loopback
Use Usuarios y equipos de Active Directory para crear una nueva unidad organizativa denominada Bucle
invertido en el dominio WoodgroveBank.com.
Tarea 2: Restaurar el GPO Lab11D
1. Desde NYC-DC1, en la GPMC, haga clic con el botón secundario en la carpeta Objetos de directiva de grupo
y luego haga clic en Administrar copias de seguridad.
2. En el cuadro de diálogo Administrar copias de seguridad, escriba D:\6824\Copia de Seguridad GPO en el
campo Ubicación de copia de seguridad.Restaure el GPO Lab 11D.
Tarea 3: Vincular el GPO Lab11D con la unidad organizativa Bucle invertido
1. En la GPMC, haga clic con el botón secundario en la unidad organizativa Bucle invertido y luego en Vincular
un GPO existente.
2. En el cuadro de diálogo Seleccionar GPO, seleccione el GPO Lab 11D y luego haga clic en Aceptar.
Tarea 4: Mover NYC-CL1 a la unidad organizativa Bucle invertido
1. Haga clic en Inicio, luego en Herramientas administrativas y finalmente haga clic en Usuarios y equipos de
Active Directory.
2. Expanda el dominio WoodgroveBank.com y luego haga clic en el contenedor Equipos.
3. Haga clic con el botón secundario en la cuenta de equipo NYC-CL1 y luego haga clic en Mover.
4. Seleccione la unidad organizativa Bucle invertido y luego haga clic en Aceptar.
Tarea 5: Probar el GPO
1. Cambie a NYC-CL1 y luego reinicie el equipo.
2. Inicie sesión como WoodgroveBank\Roya usando la contraseña Pa$$w0rd.
3. Cierre Centro de Bienvenida.
4. Presione el botón Inicio.
5. Haga doble clic en Internet Explorer.
6. Cierre Internet Explorer.
Tarea 6: Solucionar los problemas del GPO
1. Cambie nuevamente a NYC-DC1.
2. En la GPMC, ejecute Asistente de resultados de directiva.
3. En la ventana Selección de equipo, haga clic en Otro equipo, escriba NYC-CL1 en el cuadro de texto y luego
haga clic en Siguiente.
4. En la ventana Selección de usuario seleccione WoodgroveBank\Roya y luego haga clic en Finalizar.
5. En la sección Resumen de configuración del equipo, haga clic en Objetos de directiva de grupo y luego
en GPO aplicados.
6. En la sección Configuración del equipo, haga clic en Plantillas administrativas y luego en
Sistema/Directiva de grupo.
Tarea 7: Determinar y probar la resolución
1. En la GPMC, haga clic con el botón secundario en la unidad organizativa Admins y deshabilite el vínculo con el
GPO Lab 11D.
2. Reinicie el equipo NYC-CL1.
3. Inicie sesión como Roya.
Resultado: Al finalizar este ejercicio, habrá solucionado un problema de Objetos de directiva de grupo.
Ejercicio 4: Respuestas claves (pasos detallados)
Revisión y conclusiones del módulo
Revisión y conclusiones del módulo
Observaciones
Tenga en cuenta lo siguiente cuando desee implementar un plan de supervisión de AD DS:
Las Extensiones de cliente controlan la aplicación de Directiva de grupo a intervalos regulares configurables.
Los números de versión de GPO indican si se ha modificado una Directiva de grupo.
No todas las Extensiones de cliente procesan a través de un vínculo lento.
La configuración de seguridad se actualiza cada 16 horas.
Windows XP y las versiones anteriores se registran en el registro Userenv para la mayoría de los problemas
relacionados con Directiva de grupo. Es posible modificar el registro para habilitar otros registros de
Extensiones de cliente.
Windows Vista se registra en los registros funcionales de Visor de eventos.
El bloqueo de la herencia impedirá la aplicación de todas las directivas de nivel superior, a menos que dichas
directivas estén aplicadas.
Es posible filtrar Directiva de grupo para que se aplique únicamente a ciertos principios de seguridad usando la
configuración de seguridad o los scripts WMI.
Directiva de grupo consta de dos partes: Plantillas de directivas de grupo y Contenedores de directivas de
grupo. Directiva de grupo replica estos objetos en momentos diferentes usando distintos mecanismos.
Windows XP y las versiones posteriores inician sesión de usuarios que poseen credenciales almacenadas en
la memoria caché de manera predeterminada. Numerosas configuraciones de usuario requerirán dos inicios de
sesión por esta razón.
Windows XP y las versiones anteriores utilizan el ICMP para determinar la velocidad del vínculo. Windows Vista
y las versiones posteriores usan el reconocimiento de la red para determinar la velocidad del vínculo.
Los principios de seguridad necesitan un permiso para obtener acceso a las ubicaciones de scripts a fin de
poder ejecutarlos.
De manera predeterminada, los scripts de inicio del equipo se ejecutan de modo sincrónico.
De manera predeterminada, los scripts de inicio de sesión de usuario se ejecutan de modo asincrónico.
Herramientas
Usar las siguientes herramientas al solucionar problemas de Directiva de grupo:
Ping
Probar la conectividad de la red.
NSlookup
Probar las búsquedas DNS.
DCdiag
Probar los controladores de dominio.
Set
Mostrar, establecer o quitar las variables del entorno.
Kerbtray
Mostrar la información del vale de Kerberos.
Informe de Directiva de grupo RSoP
Presentar información sobre las directivas actuales que se envían a los
clientes.
GPResult
Una utilidad de línea de comandos que muestra la información de RSoP.
GPOTool
Comprobar la estabilidad de Objetos de directiva de grupo y supervisar la
replicación de la directiva.
GPResult
Actualizar la configuración local de Directiva de grupo basada en AD DS.
Dcgpofix
Restaurar los objetos predeterminados de la Directiva de grupo a su estado
original luego de la instalación inicial.
GPOLogView
Exportar los eventos relacionados con la Directiva de grupo del sistema y los
registros operativos a archivos de texto, HTML o XML. Compatible con
Windows Vista y versiones posteriores.
Scripts de Administración de directivas Los scripts de muestra que realizan diversas tareas de solución de
de grupo
problemas y mantenimiento.
Preguntas de revisión
1. ¿Qué herramienta puede probar la resolución de nombres DNS?
NSlookup
DCdiag
GPResult
Ping
2. ¿Qué registro le brindará información detallada acerca de la redirección de carpetas?
________________________________________________________________
3. ¿Qué indicador visual en la GPMC muestra que la herencia ha sido bloqueada?
________________________________________________________________
4. ¿Qué configuración de GPO se aplica a través de vínculos lentos de manera predeterminada? Elija todas las
que correspondan:
1. Directivas de scripts
2. Configuración de seguridad
3. Configuración administrativa
4. Mantenimiento de Internet Explorer
5. Directiva de recuperación EFS
6. Directiva IPSec
Modulo 12 : Implementación de una infraestructura de Servicios de
dominio de Active Directory
Módulo 12
Implementación de una infraestructura de Servicios de dominio de
Active Directory
Este módulo explica cómo implementar una infraestructura de Servicios de dominio de Active Directory® (AD DS). El
módulo consta de cinco ejercicios que conforman los tres laboratorios. Estos ejercicios reforzarán los conceptos del
curso y ofrecerán la oportunidad de realizar diferentes operaciones que no se realizaron en los laboratorios anteriores.
Cada uno de los ejercicios es independiente de los demás.
Lección 1: Descripción general del dominio de AD DS
Lección 2: Planeación de una estrategia de Directiva de grupo
Laboratorio A: Implementación de Servicios de dominio de Active Directory
Laboratorio B: Configuración de relaciones de confianza de bosque
Laboratorio C: Diseño de una estrategia de Directiva de grupo
Lección 1: Descripción general del dominio de AD DS
Lección 1:
Descripción general del dominio de AD DS
En esta lección, observará los componentes del dominio de AD DS con los que trabajará en el laboratorio.
Descripción general del diseño de dominio de AD DS
Descripción general del diseño de dominio de AD DS
Puntos clave
El gráfico de la diapositiva describe la configuración actual del dominio en Woodgrove Bank.
Descripción general del diseño requerido del dominio
Descripción general del diseño requerido del dominio
Puntos clave
El gráfico de la diapositiva describe la configuración requerida para el dominio en Woodgrove Bank. El dominio
Contoso se unirá al bosque Woodgrove Bank como un árbol independiente del mismo bosque.
Descripción general del diseño del sitio AD DS
Descripción general del diseño del sitio AD DS
Puntos clave
El gráfico de la diapositiva describe la configuración actual del sitio en Woodgrove Bank. Se ha abierto una nueva
sucursal en Nueva York y se creará un nuevo sitio para controlar el tráfico de inicio de sesión.
Se crearán los siguientes dos sitios:
·
El sitio Contoso.com, que incluirá la subred 192.168.0.0
·
El sitio NYC-Sucursal, que incluirá la subred 10.30.0.0
Lección 2: Planeación de una estrategia de Directiva de grupo
Lección 2:
Planeación de una estrategia de Directiva de grupo
En esta lección se planearán Directivas de grupo y se implementarán en los laboratorios.
Descripción general de la implementación del controlador de dominio
Descripción general de la implementación del controlador de dominio
Puntos clave
El gráfico describe la implementación del nuevo controlador de dominio en Woodgrove Bank.
Se cambiará el nombre del equipo Server Core NYC-SRV2 a NYC-DC3 para reflejar la nueva función y se
instalará la función del controlador de dominio de sólo lectura (RODC) en NYC-DC3.
Se cambiará el nombre del equipo NYC-SRV1 a ContosoDC para reflejar la nueva función y luego se convertirá
en el controlador de dominio Contoso.
Laboratorio A: Implementación de Servicios de dominio de Active
Directory
Laboratorio A: Implementación de Servicios de dominio de Active
Directory
Escenario
Woodgrove Bank está implementando AD DS del sistema operativo Windows Server®°2008. El administrador de la
empresa ha creado un diseño para la implementación. Como administrador de AD DS, implementará este diseño y
comprobará que todos los componentes del diseño funcionen correctamente.
Información del sitio
Habrá dos nuevos sitios: NYC- Sucursal y Contoso.
Nombre del sitio: NYC-Casa Matriz
Subred: 10.10.0.0
Puerta de enlace: 10.10.0.1
Controlador de dominio: NYC-DC1 10.10.0.10
Nombre del sitio: NYC-Sucursal
Subred: 10.30.0.0
Puerta de enlace: 10.30.0.1
Controlador de dominio: NYC-DC3 (RODC) (previamente denominado NYC-SRV2) 10.30.0.10
Nombre del sitio: Contoso
Subred: 192.168.0.0
Puerta de enlace: 192.168.0.1
Controlador de dominio: ContosoDC (previamente denominado NYC-SRV1) 192.168.0.10
Información de dominio
Habrá dos dominios: WoodgroveBank.com y Contoso.com
WoodgroveBank y Contoso pertenecen al mismo bosque. WoodgroveBank es el dominio raíz del bosque y Contoso
es un árbol independiente del bosque.
WoodgroveBank.com
Controladores de dominio: NYC-DC1, NYC-DC2, NYC-DC3 (RODC) (previamente denominado NYC-SRV2)
Contoso.com
Controlador de dominio: ContosoDC (previamente denominado NYC-SRV1)
Nota: El siguiente laboratorio requiere que se ejecuten cuatro máquinas virtuales al mismo tiempo. Se recomienda
que los equipos de los alumnos estén configurados con un GB adicional de memoria RAM (para alcanzar un total de 3
GB) y así mejorar el rendimiento de la máquina virtual en el laboratorio.
Ejercicio 1: Instalación de un RODC en un Server Core y creación de un
sitio de una sucursal
Ejercicio 1: Instalación de un RODC en un Server Core y creación de un sitio de una sucursal
Escenario
Woodgrove Bank ha abierto una nueva sucursal en la ciudad de Nueva York. Las cuentas de usuarios de los
empleados de la sucursal se ubicarán en una unidad organizativa (UO) independiente. Para controlar el tráfico de inicio
de sesión, se ha decidido crear un sitio independiente para la nueva sucursal y un controlador de dominio de sólo
lectura (RODC) en una instalación Server Core en el sitio.
Se le ha asignado la tarea de crear y configurar el controlador de dominio de la nueva sucursal de la ciudad de Nueva
York. Usará un servidor existente, el NYC-SRV2, que es una instalación Server Core. Deberá realizar las siguientes
tareas en AD DS:
Preconfigurar la cuenta para el RODC de la sucursal.
Crear una unidad organizativa denominada Empleados de Sucursal, que incluirá las cuentas de usuarios.
Crear cuentas de usuarios para el gerente y los usuarios de la sucursal.
Crear un grupo global denominado UsuariosSucursalGG y agregarle los usuarios de la sucursal.
Se almacenarán en la memoria caché del RODC únicamente las contraseñas de los empleados de la sucursal.
También deberá crear el sitio y el objeto de subred 10.30.0.0 para la sucursal. Luego deberá cambiar el nombre
NYC-SRV2 por NYC-DC3, para que refleje su función actual. Deberá configurar la dirección IP de manera tal que
refleje la subred del sitio de la sucursal. Luego deberá instalar RODC en el servidor.
Por último, establecerá la configuración de manera tal que la replicación con el sitio de la oficina central se realice cada
30 minutos.
Las principales tareas para este ejercicio se realizarán como se detalla a continuación:
1. Iniciar las máquinas virtuales e iniciar sesión.
2. Copiar el archivo de instalación desatendida y cambiar el nombre NYC-SRV2 por NYC-DC3.
3. Cambiar la dirección IP de NYC-SRV2 por 10.30.0.10.
4. Crear el sitio NYC-Sucursal y cambiar el nombre del sitio predeterminado.
5. Crear objetos de subred para los sitios de la oficina central y la sucursal NYC.
6. Configurar el programa de replicación.
7. Crear una unidad organizativa para la sucursal.
8. Crear usuarios y grupos para la sucursal.
9. Configurar el servicio DNS en NYC-DC1 de manera tal que permita transferencias de zona.
10. Realizar la preparación preliminar en la cuenta de equipo para el RODC.
11. Instalar la función de DNS en NYC-DC3.
12. Instalar RODC en NYC-DC3 y comprobar los resultados.
13. Cerrar NYC-SRV2 y descartar los discos para deshacer
Tarea 1: Iniciar las máquinas virtuales y luego iniciar sesión
1. En la máquina host, haga clic en Inicio, elija Todos los programas, seleccione Microsoft Learning y luego
haga clic en 6824A. Se inicia Iniciador de laboratorio.
2. En Iniciador de laboratorio, junto a 6824A-NYC-DC1, haga clic en Iniciar.
3. En Iniciador de laboratorio, junto a 6824A-NYC-DC2, haga clic en Iniciar.
4. En Iniciador de laboratorio, junto a 6824A-NYC-SVR2, haga clic en Iniciar.
5. En Iniciador de laboratorio, junto a 6824A-NYC-RAS, haga clic en Iniciar.
6. Inicie sesión en todos los equipos como Administrador, usando la contraseña Pa$$w0rd.
7. Minimice la ventana Iniciador de laboratorio.
Tarea 2: Copiar el archivo de instalación desatendida y cambiar el nombre NYC-SRV2 por NYC-DC3
1. Copie el archivo NYC-Rodc.txt de la carpeta D:\6824\Allfiles\Mod12\Labfiles de NYC-DC1 a la unidad C:.
2. En el símbolo del sistema, escriba Netdom renamecomputer %computername% /NewName:NYC-DC3
/Force /REBoot:5 y luego presione ENTRAR. El equipo se reiniciará automáticamente después de 5
segundos.
Tarea 3: Cambiar la dirección IP de NYC-SRV2 por 10.30.0.10
1. En el símbolo del sistema, escriba netsh interface ipv4 show interfaces. Observe el número de índice de la
interfaz Conexión de área local (<Ind>).
2. En el símbolo del sistema, escriba netsh interface ipv4 set address name=<Ind> source=static
address=10.30.0.10 mask=255.255.0.0 gateway=10.30.0.1 y luego presione ENTRAR.
3. En el símbolo del sistema, escriba Ipconfig /all y asegúrese de que la información de la dirección IP sea
correcta y de que el Servidor DNS sea 10.10.0.10.
Tarea 4: Crear el sitio NYC-Sucursal y cambiar el nombre del sitio predeterminado
1. En NYC-DC1, abra Sitios y servicios de Active Directory.
2. Haga clic con el botón secundario en Sites y luego haga clic en Nuevo sitio nombrado NYC-Sucursal.
Seleccione DefaultIPSiteLink y luego haga clic en Aceptar.
3. Cambie el nombre de Default-First-Site-Name por NYC-Casa-Matriz.
Tarea 5: Crear objetos de subred para los sitios de la oficina central y la sucursal NYC
1. Cree un nuevo objeto de subred para la subred 10.10.0.0/16. Seleccione el sitio NYC-Casa-Matriz y luego
haga clic en Aceptar.
2. Cree un nuevo objeto de subred para 10.30.0.0/16. Seleccione el sitio NYC-Sucursal y haga clic en Aceptar.
Tarea 6: Configurar el programa de replicación
1. Abra las propiedades de la subred DEFAULTIPSITELINK.
2. Escriba 30 en el campo Replicar cada y luego haga clic en Aceptar.
3. Cierre Sitios y servicios de Active Directory.
Tarea 7: Crear una unidad organizativa para los usuarios de la sucursal
1. Abra Usuarios y equipos de Active Directory.
2. Cree una nueva unidad organizativa denominada NYC-Sucursal.
Tarea 8: Crear usuarios y grupos para la sucursal
1. Cree un nuevo usuario con los siguientes parámetros:
Nombre: Gerente Sucursal
Nombre de inicio de sesión: gerentesucursal
Contraseña: Pa$$w0rd
La contraseña nunca caduca
2. Cree un segundo usuario con los siguientes parámetros:
Nombre: Usuario sucursal
Nombre de inicio de sesión : usuariosucursal
Contraseña: Pa$$w0rd
La contraseña nunca caduca
3. Cree un nuevo grupo global denominado UsuariosSucursalGG.
4. Agregue las cuentas Gerente Sucursal y Usuario Sucursal al grupo global UsuariosSucursalGG.
Tarea 9: Configurar el servicio DNS en NYC-DC1 de manera tal que permita transferencias de zona
1. En NYC-DC1, abra la Consola Administrador de DNS.
2. Configure la zona WoodgroveBank.com en Permitir transferencias de zona.
3. Cierre el Administrador de DNS.
Tarea 10: Realizar la preparación preliminar de la cuenta de equipo para el RODC
1. Vuelva a Usuarios y equipos de Active Directory, haga clic con el botón secundario en la unidad organizativa
Domain Controllers y luego haga clic en Crear previamente una cuenta de controlador de dominio de
sólo lectura.
2. En la página Bienvenidos al asistente de instalación de servicios de dominio de Active, seleccione la
casilla Usar la instalación en modo avanzado y luego haga clic en Siguiente.
3. En la página Compatibilidad del sistema operativo, haga clic en Siguiente.
4. En la página Credenciales de red, compruebe que esté seleccionada la opción Mis credenciales de inicio
de sesión actuales y luego haga clic en Siguiente.
5. En la página Especificar nombre del equipo, en el campo Nombre de equipo, escriba NYC-DC3 y luego
haga clic en Siguiente.
6. En la página Seleccionar un sitio, haga clic en NYC-Sucursal y luego haga clic en Siguiente.
7. En la página Opciones adicionales del controlador de dominio, mantenga los valores predeterminados y
luego haga clic en Siguiente.
8. En la página Especificar la directiva de replicación de contraseñas, haga clic en Agregar y luego
seleccione Permitir la replicación en este RODC de contraseñas de la cuenta.
9. Agregue UsuariosSucursalGG.
10. En la página Delegación de instalación y administración de RODC, haga clic en Establecer y luego
agregue la cuenta GerenteSucursal.
11. Cierre el asistente para crear la cuenta RODC. Observe que la cuenta de equipo NYC-DC3 está enumerada en
AD DS, y el Tipo de DC es Cuenta de DC no ocupada.
Tarea 11: Instalar la función de DNS en NYC-DC3
1. {0>En NYC-DC3, escriba Oclist para visualizar las funciones actualmente instaladas.<0}{>Observe que no haya
funciones actualmente instaladas.<0}
2. Escriba start /w ocsetup DNS-Server-Core-Role y luego presione ENTRAR para instalar el servidor DNS. El
nombre de la función del Server Core distingue mayúsculas de minúsculas.
Tarea 12: Instalar RODC en NYC-DC3 y comprobar los resultados
1. Escriba dcpromo.exe /UseExistingAccount:Attach/unattend:C:\nyc-rodc.txt. Demorará varios minutos en
realizarse la promoción y se llevará a cabo el reinicio de sesión automáticamente para completar la instalación.
2. Inicie sesión en NYC-DC3 como GerenteSucursal.
3. Cambie a NYC-DC1 y actualice la vista de la unidad organizativa Domain Controllers. Observe que el tipo DC de
NYC-DC3 ahora está configurado como Sólo lectura, GC.
4. Abra Sitios y servicios de Active Directory y examine el sitio NYC-Sucursal. Observe que NYC-DC3 ahora
está enumerado en el contenedor de servidores.
5. Abra el Administrador de DNS y conéctese al servidor DNS de NYC-DC3. Observe que NYC-DC3 hospeda
una copia de la zona WoodgroveBank.com.
Nota: Si el servidor no está disponible, espere unos minutos y vuelva a intentarlo. Observe que NYC-DC3
hospeda una copia de la zona Woodgrovebank.com.
2. Cierre la consola DNS.
Tarea 13: Cerrar todas las máquinas virtuales y descartar los discos para deshacer
1. Cierre la ventana 6824A-NYC-SRV2 Control remoto de máquina virtual.
2. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar.
Resultado: Al finalizar el ejercicio, habrá creado un RODC en un equipo Server Core
Ejercicio 1: Respuestas claves (pasos detallados)
Ejercicio 2: Creación de un dominio en un árbol y un sitio independientes
Ejercicio 2: Creación de un dominio en un árbol y un sitio independientes
Escenario
Woodgrove Bank ha adquirido una pequeña empresa denominada Contoso, Ltd. Por motivos legales, dicha empresa
debe tener un dominio independiente en un nuevo árbol de dominios en el mismo bosque. Esto les permitirá mantener
el espacio de nombres Contoso.com. El dominio Contoso también estará en un sitio independiente.
Se le ha asignado la tarea de crear el dominio para Contoso, Ltd, que recibirá el nombre Contoso.com y tendrá un
árbol de dominios independiente en el bosque WoodgroveBank. Convertirá un servidor existente, NYC-SRV1, en el
nuevo controlador de dominio. Deberá cambiar el nombre del equipo a ContosoDC. También deberá crear un sitio
independiente para el dominio Contoso que use la subred 192.168.0.0 y configurar el equipo ContosoDC con la
dirección IP 192.168.0.10. Configurará la replicación entre el sitio New York y el sitio Contoso de manera tal que se
realice cada 4 horas, entre las 18:00 y las 06:00. Instalará y configurará el servicio DNS en ContosoDC de manera tal
que mantenga una zona secundaria de WoodgroveBank.com. Por último, convertirá ContosoDC en el controlador de
dominio Contoso.com.
Las principales tareas para este ejercicio se realizarán como se detalla a continuación:
1. Iniciar NYC-SRV1.
2. Crear el sitio Contoso.
3. Crear la subred para el sitio Contoso.
4. Crear y configurar un nuevo vínculo de sitio para replicación.
5. Cambiar el nombre del servidor NYC-SRV1 por ContosoDC.
6. Cambiar la dirección IP de ContosoDC.
7. Configurar el servicio DNS en NYC-DC1 para permitir transferencias de zona (Si ha completado el Ejercicio 1,
ya ha realizado este paso).
8. Instalar DNS en ContosoDC.
9. Configurar el servicio DNS en ContosoDC.
10. Convertir el servidor en el controlador de dominio Contoso.
11. Cerrar NYC-SRV1 y NYC-DC2 y descartar los discos para deshacer.
Tarea 1: Iniciar NYC-SRV1
1. En Iniciador de laboratorio, junto a 6824A-NYC-SRV1, haga clic en Iniciar.
2. Minimice la ventana Iniciador de laboratorio.
Tarea 2: Crear el sitio Contoso
1. En NYC-DC1, abra Sitios y servicios de Active Directory.
2. Cree un nuevo sitio denominado Contoso.
3. Seleccione el vínculo de sitio DefaultIPSiteLink, haga clic en Aceptar y luego en Aceptar para aceptar el
mensaje.
Tarea 3: Crear la subred para el sitio Contoso
1. Cree un nuevo objeto de subred para la subred 192.168.0.0/24. Seleccione el sitio Contoso y luego haga clic
en Aceptar.
2. Cierre Sitios y servicios de Active Directory.
Tarea 4: Crear y configurar un nuevo vínculo de sitio para replicación
1. Cree un nuevo vínculo a sitio denominado Contoso-NYC-CM.
2. Abra las propiedades del vínculo de sitio Contoso-NYC-CM y agregue los sitios Contoso y NYC-Casa-Matriz al
vínculo de sitio.
3. Escriba 240 en el campo Replicar cada y luego haga clic en Cambiar programación.
4. En el cuadro de diálogo Programación para Contoso-NYC-CM, haga clic y arrastre para seleccionar el
horario 06:00 A 18:00 de lunes a viernes, haga clic en Replicación no disponible y luego haga clic en
Aceptar dos veces.
Tarea 5: Cambiar el nombre de NYC-SRV1 por ContosoDC
1. Inicie sesión en NYC-SRV1 como AdminLocal, usando la contraseña Pa$$w0rd.
2. Cambie el nombre del equipo a ContosoDC y luego reinicie el equipo.
Tarea 6: Cambiar la dirección IP de ContosoDC
1. Inicie sesión en ContosoDC como AdminLocal, usando la contraseña Pa$$w0rd.
2. Configure la dirección IPv4 como se detalla a continuación:
Dirección IP: 192.168.0.10
Máscara de subred: 255.255.255.0
Puerta de enlace predeterminada: 192.168.0.1
Servidor DNS preferido: 10.10.0.10
Tarea 7: Configurar el servicio DNS en NYC-DC1 para permitir transferencias de zona (Si ha completado el Ejercicio 1, ya ha
realizado este paso)
1. Cambie a NYC-DC1.
2. Abra la consola Administración de DNS.
3. Configure la zona WoodgroveBank.com en Permitir transferencias de zona.
4. Cierre el Administrador de DNS.
Tarea 8: Instalar la función del servidor DNS en ContosoDC
1. Cambie a ContosoDC.
2. Instale la función del servidor DNS.
3. Deje el Administrador de servidor abierto.
Tarea 9: Configurar el servicio DNS en ContosoDC
1. Abra la consola Administración de DNS.
2. Cree una zona secundaria directa denominada WoodgroveBank.com.
3. Configure el Servidor maestro DNS como 10.10.0.10. La transferencia de zona demorará unos instantes.
Deberá actualizar la consola para ver los cambios.
4. Expanda Registros globales y luego haga clic en Sucesos DNS. Examine los eventos que describen la
transferencia de zona.
5. Cierre el Administrador de DNS.
Tarea 10: Convertir el servidor en el controlador de dominio Contoso.
1. Utilice el Administrador del servidor para agregar la función Servicios de dominio de Active Directory.
2. Inicie DCPromo.exe.
3. En Asistente de instalación de servicios de dominio de Active Directory, seleccione Usar la instalación
en avanzado.
4. En la página Compatibilidad del sistema operativo, haga clic en Siguiente.
5. En la ventana Elegir configuración de implementación, haga clic en Bosque existente, haga clic en Crear
un nuevo dominio en un bosque existente y luego seleccione Crear una raíz de árbol de dominio nueva
en lugar de un nuevo dominio secundario.
6. En la pantalla Credenciales de red, escriba Woodgrovebank.com en el campo de nombre de dominio, haga
clic en Establecer y luego use las credenciales:
1. Usuario: Administrador
2. Contraseña: Pa$$w0rd
7. Denomine la nueva raíz del árbol de dominio Contoso.com.
8. En la pantalla Nombre NetBIOS del dominio, haga clic en Siguiente.
9. Establezca el nivel funcional del dominio en Windows Server 2008.
10. En la ventana Seleccionar un sitio, haga clic en Siguiente.
11. En la ventana Opciones adicionales del controlador de dominio, seleccione la casilla Catálogo global y
luego haga clic en Siguiente.
12. En el cuadro de mensaje Asignación IP estática, haga clic en Sí, el equipo utilizará una dirección IP
asignada dinámicamente y luego haga clic en Sí para continuar.
Nota: Este mensaje hace referencia a la interfaz IPV6, que está configurada para usar DHCP.
13. En la ventana Controlador del dominio de origen, haga clic en Siguiente.
14. En la ventana Ubicación de la base de datos, los archivos de registro y SYSVOL, haga clic en Siguiente.
15. Establezca Pa$$w0rd como la contraseña de administrador de modo de restauración de servicios de
directorio.
16. En la ventana Resumen, haga clic en Siguiente y luego seleccione Reiniciar al completar.
17. Inicie sesión en el equipo ContosoDC como Contoso\Administrador.
18. Abra Consola de administración de DNS y examine las zonas de búsqueda directa. Observe la zona
Contoso.com.
19. Use el comando configIP /todos para examinar la configuración de IP. Observe que ContosoDC está usando
127.0.0.1 como el servidor DNS preferido.
Tarea 11: Apagar NYC-SRV1 y NYC-DC2 y descartar los discos para deshacer
1. Cierre la ventana 6824A-NYC-SRV1 Control remoto para máquina virtual.
2. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios. Haga clic en Aceptar.
3. Cierre la ventana 6824A-NYC-DC2 Control remoto para máquina virtual.
4. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios. Haga clic en Aceptar.
Resultado: Al finalizar este ejercicio, habrá creado un dominio en un árbol y un sitio independientes.
Ejercicio 2: Respuestas claves (pasos detallados)
Descripción general de la relación de confianza de bosque
Descripción general de la relación de confianza de bosque
Puntos clave
Este tema es una introducción de la información que necesitará para el próximo laboratorio.
Al finalizar el próximo laboratorio, el bosque Fabrikam será actualizado al nivel Windows Server 2008 y se convertirá un
servidor de Windows Server 2008 en un controlador de dominio adicional para el dominio. El bosque Fabrikam.com
tendrá una relación de confianza de bosque con el bosque WoodgroveBank. La confianza usará autenticación selectiva
de manera que sólo se le permita al grupo Admins. Dominio de WoodgroveBank autenticarse en los recursos del
dominio Fabrikam.
Laboratorio B: Configuración de relaciones de confianza de bosque
Laboratorio B: Configuración de relaciones de confianza de bosque
Escenario
Woodgrove Bank acaba de adquirir una nueva filial denominada Fabrikam, Inc. Fabrikam actualmente ejecuta
controladores de dominio del sistema operativo Windows Server®°2003. Una de las primeras tareas que deberán
realizar los administradores de Woodgrove Bank será actualizar los controladores de dominio para Windows Server
2008. Fabrikam Inc continuará en un bosque independiente y confiará en el bosque Woodgrove Bank.
Ejercicio: Actualización del domino de Fabrikam y creación de una
confianza de bosque con Woodgrove Bank
Ejercicio: Actualización del domino de Fabrikam y creación de una confianza de bosque con
Woodgrove Bank
Escenario
Se le ha asignado la tarea de preparar el bosque y el dominio Fabrikam 2003 de manera tal que acepten los
controladores de dominio de Windows Server 2008. También deberá configurar transferencias de zona DNS entre el
bosque Fabrikam y el bosque WoodgroveBank. Luego convertirá un servidor Windows Server 2008 en un controlador
de dominio del dominio Fabrikam. Por último, configurará una confianza de bosque entre WoodgroveBank.com y
Fabrikam.com. La confianza usará autenticación selectiva de manera que sólo se le permita al grupo Admin. Dominio
de WoodgroveBank autenticarse en los recursos del dominio Fabrikam.
Use la siguiente información para realizar el ejercicio:
Nombre del sitio: Fabrikam
Subred: 10.20.0.0
Puerta de enlace: 10.20.0.1
Controlador de dominio: FabrikamDC 10.20.0.10
Las principales tareas para este ejercicio se realizarán como se detalla a continuación:
1. Iniciar VAN-DC1 y NYC-SVR1.
2. Preparar el bosque y el dominio de manera tal que permitan que el bosque Fabrikam.Com admita controladores
de dominio de Windows Server 2008.
3. Configurar las transferencias de zona DNS de manera tal que sean recíprocas entre WoodgroveBank.com y
Fabrikam.com usando zonas de rutas internas.
4. Cambiar el nombre de NYC-SRV1 por VAN-DC2.
5. Convertir el servidor Windows Server 2008 en un controlador de dominio del dominio Fabrikam.
6. Configurar una confianza de bosque entre WoodgroveBank.com y Fabrikam.com para autenticación selectiva.
7. Configurar la autenticación selectiva para el grupo Admin. Dominio WoodgroveBank.
8. Apagar los servidores.
Tarea 1: Iniciar VAN-DC1 y NYC-SVR1
1. En Iniciador de laboratorio, junto a 6824A-VAN-DC1, haga clic en Iniciar.
2. En Iniciador de laboratorio, junto a 6824A-NYC-SVR1, haga clic en Iniciar.
3. Minimice la ventana Iniciador de laboratorio.
Tarea 2: Preparar el bosque y el dominio de manera tal que permitan que el bosque Fabrikam.Com admita controladores de dominio
de Windows Server 2008
1. Inicie sesión en VAN- DC1 como Administrador, usando la contraseña Pa$$w0rd.
2. Abra Usuarios y equipos de Active Directory.
3. Haga clic con el botón secundario en Fabrikam.com y luego haga clic en Elevar el nivel funcional del
dominio.
4. Eleve el nivel funcional del dominio a Windows Server 2003.
5. Abra Dominios y confianzas de Active Directory.
6. Haga clic con el botón secundario en Dominios y confianzas de Active Directory y luego haga clic en Elevar
el nivel funcional del bosque.
7. Eleve el nivel funcional del bosque a Windows Server 2003.
8. Copie los archivos Windows Server 2008 ADPrep de la carpeta D:\6824\allfiles\Mod12\Adprep en NYC-DC1
en C:\Adprep en VAN-DC1.
9. Desde un símbolo del sistema, escriba el comando C:\Adprep\adprep /forestprep. Lea el mensaje de
advertencia y luego escriba C para continuar. La ejecución de forestprep demorará unos instantes.
10. En la ventana de símbolo del sistema, escriba C:\ Adprep\adprep /domainprep.
11. Cierre el símbolo del sistema.
Tarea 3: Configurar las transferencias de zona DNS de manera tal que sean recíprocas entre WoodgroveBank.com y Fabrikam.com
usando zonas de rutas internas
1. En VAN-DC1, inicie la consola administración de DNS.
2. Configure la zona Fabrikam.com de manera tal que permita transferencias de zona.
3. En NYC-DC1, inicie la consola de Administración de DNS.
4. Inicie el Asistente para crear zona nueva.
5. En la ventana Tipo de zona, haga clic en Zona de rutas internas.
6. En la ventana Ámbito de replicación de zona de Active Directory, haga clic en Siguiente.
7. En la ventana Nombre de zona, escriba Fabrikam.com.
8. En la ventana Servidores DNS maestros, escriba 10.20.0.10 y luego cierre el asistente. La transferencia de
zona demorará unos instantes. Debe actualizar la consola para ver los cambios.
9. Cierre el Administrador de DNS.
10. Cambie a VAN-DC1.
11. Inicie el Asistente para crear zona nueva.
12. En la ventana Tipo de zona, haga clic en Zona de rutas internas..
13. En la ventana Ámbito de replicación de zona de Active Directory, haga clic en Siguiente.
14. En la ventana Nombre de zona, escriba WoodgroveBank.com.
15. En la ventana Servidores DNS maestros, escriba 10.10.0.10 y luego cierre el asistente. La transferencia de
zona demorará unos instantes. Deberá actualizar la consola para ver los cambios.
16. Cierre el Administrador de DNS.
Tarea 4: Cambiar el nombre de NYC-SRV1 por VAN-DC2
1. Inicie sesión en NYC-SRV1 como AdminLocal, usando la contraseña Pa$$w0rd.
2. Cambie la configuración de la dirección IP para la Conexión de área local a:
Dirección IP: 10.20.0.11
Máscara de subred: 255.255.0.0
Puerta de enlace predeterminada: 10.20.0.1
Servidor DNS preferido: 10.20.0.10
3. En Administrador del servidor, haga clic en Cambiar propiedades del sistema.
4. Cambie el nombre del equipo a VAN-DC2 y luego reinícielo.
Tarea 5: Convertir el servidor Windows Server 2008 en un controlador de dominio del dominio Fabrikam
1. Inicie sesión en VAN-DC2 como AdminLocal, usando la contraseña Pa$$w0rd.
2. Agregue la función Servicios de dominio de Active Directory.
3. Inicie DCPromo.exe.
4. En la ventana Elegir una configuración de implementación, haga clic en Bosque existente y mantenga la
opción predeterminada Agregar una controlador de dominio a un dominio existente.
5. En la ventana Credenciales de red, escriba Fabrikam.com en el campo de nombre de dominio, haga clic en
Establecer y use las credenciales:
Usuario: Fabrikam\Administrador
Contraseña: Pa$$w0rd
6. En la ventana Seleccione un dominio, haga clic en Fabrikam.com y luego haga clic en Sí para aceptar el
mensaje sobre los RODC.
7. En la ventana Seleccione un sitio, haga clic en Siguiente.
8. En Opciones adicionales del controlador de dominio, desactive las casillas Servidor DNS y Catálogo
Global.
9. En la ventana Conflicto de configuración del maestro de infraestructura, haga clic en Transferir la
función de maestro de infraestructura a este controlador de dominio.
10. En la ventana Ubicación de la base de datos, los archivos de registro y Sysvol, haga clic en Siguiente.
11. En Contraseña de admin.del modo de restauración de servicios de directorio, escriba Pa$$w0rd en los
campos Contraseña.
12. En la página Resumen, haga clic en Siguiente y luego haga clic en Reiniciar al completar.
Tarea 6: Configurar una confianza de bosque entre WoodgroveBank.com y Fabrikam.com para autenticación selectiva
1. Cambie a NYC-DC1.
2. Abra Dominios y confianzas de Active Directory.
3. En las propiedades de WoodgroveBank.com, haga clic en la ficha Confía y luego en Nueva confianza.
4. En el Asistente de nueva confianza, haga clic en Siguiente.
5. Denomine la confianza Fabrikam.com.
6. Cree una confianza de bosque.
7. Configure la confianza de manera tal que sea Unidireccional: de entrada.
8. En la ventana Partes de la relación de confianza, seleccione Ambos, este dominio y el dominio
especificado.
9. Use las credenciales que se presentan a continuación:
Nombre de usuario: Administrador
Contraseña: Pa$$w0rd
10. En la ventana Nivel de autenticación de la confianza saliente-Bosque especificado, haga clic en
Autenticación selectiva.
11. En la ventana Se completo la creación de la confianzas, haga clic en Siguiente.
12. En la ventana Confirmar confianza entrante, haga clic en Siguiente y luego cierre el asistente.
Tarea 7: Configurar la autenticación selectiva para el grupo Admins Dominio, de dominio de WoodgroveBank
1. Cambie a VAN-DC1.
2. Abra Usuarios y equipos de Active Directory.
3. Habilite la Vista de Características avanzadas.
4. En la unidad organizativa Domain Controllers, abra las propiedades de VAN-DC1.
5. En la ventana Propiedades de VAN-DC1, haga clic en la ficha Seguridad y luego en Agregar.
6. Otorgue al grupo WoodgroveBank\Admins. del Dominio el permiso Permiso para autenticar.
Tarea 8: Apagar NYC-SRV1, NYC-RAS y VAN-DC1 y descartar los discos para deshacer
1. Cierre NYC-SRV1, NYC-RAS y VAN-DC1 y descarte los discos para deshacer.
2. Cierre la ventana 6824A-NYC-SRV1 Control remoto para máquina virtual.
3. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar.
4. Cierre la ventana 6824A-NYC-RAS Control remoto para máquina virtual.
5. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar.
6. Cierre la ventana 6824A-VAN-DC1 Control remoto para máquina virtual.
7. En el cuadro Cerrar, seleccione Apagar el equipo y descartar los cambios y luego haga clic en Aceptar.
Resultado: Al finalizar este ejercicio, habrá creado una confianza de bosque.
Ejercicio 2: Respuestas claves (pasos detallados)
Descripción general del Diseño de objetos de directiva de grupo de AD DS
Descripción general del Diseño de objetos de directiva de grupo de AD DS
Puntos clave
El gráfico de la diapositiva describe la configuración actual de la unidad organizativa en Woodgrove Bank.
Laboratorio C: Diseño de una estrategia de Directiva de grupo
Laboratorio C: Planeación de una estrategia de Directiva de grupo
Escenario
Como administrador de red de WoodgroveBank.Com, tiene la responsabilidad de desarrollar una directiva de escritorio
y seguridad que pueda administrarse centralmente a través de Directiva de grupo.
Ejercicio 1: Planeación de una Directiva de grupo
Ejercicio 1: Planeación de una Directiva de grupo
Escenario
Se le ha asignado la tarea de crear una directiva de seguridad de equipo que pueda enviarse a través de Directiva de
grupo. Deberá crear las unidades organizativas que se requieran y luego deberá crear y vincular a éstas las directivas
correspondientes. La directiva corporativa estipula que los servidores se ubicarán en la estructura de árbol de una
unidad organizativa independiente basada en su función. Deben considerarse los servidores de archivos e impresión,
servidores SQL™ Server y servidores web.
Use el diagrama de dominio como ayuda para planear la estructura de Directiva de grupo y de la unidad organizativa.
Complete la tabla para describir los Objetos de directiva de grupo (GPO) que se deben crear, qué valores contendrá
cada uno y a dónde se vincularán los GPO.
Las principales tareas para este ejercicio se realizarán como se detalla a continuación:
1. Crear una directiva de seguridad global que deberá implementarse en todos los equipos del dominio como se
indica a continuación:
La cuenta Administrador integrada de todos los equipos se denominará Admin
El grupo global Admins TI se agregará al grupo local Administradores
Las actualizaciones de Windows se obtendrán de un servidor web denominado http://updates
2. Crear una directiva de seguridad que se implementará en todos los servidores con más valores de seguridad
basados en la función del servidor, tal como se indica a continuación:
La cuenta Administrador integrada por todos los servidores miembro se denominará SRVAdmin
Los eventos de inicio de sesión de cuentas se auditarán en todos los servidores
No se permitirá ejecutar el Explorador de Internet® en ninguno de los servidores
Los servidores SQL Server impedirán la instalación de dispositivos extraíbles
3. Configurar una directiva de escritorio corporativo como se indica a continuación:
El acceso a la configuración de protector de pantalla estará bloqueada para todos los usuarios del dominio
No se permitirá a los usuarios de Toronto y Miami ejecutar Windows® Messenger
No se permitirá a los usuarios del dominio agregar nuevas impresoras. Los usuarios de la unidad organizativa
Admin estarán exentos de esta configuración.
El cifrado de archivos sin conexión será obligatorio para la unidad organizativa Executives
Se prohibirá el acceso de todos los usuarios al Panel de control, a excepción de los administradores de
dominio
Ejercicio 1: Respuestas claves (pasos detallados)
Ejercicio 2: Implementación de Directiva de escritorio corporativo
Ejercicio 2: Implementación de Directiva de escritorio corporativo
Escenario
Se le ha asignado la tarea de implementar Directiva de escritorio corporativo al dominio Woodgrove Bank. Creará y
vinculará los GPO apropiados.
Las principales tareas de este ejercicio son:
1. Crear y vincular la Directiva de escritorio del dominio
2. Crear y vincular el GPO Prohibir panel de control
3. Crear y vincular el GPO Forzar cifrado de archivo sin conexión
4. Crear y vincular el GPO Bloquear Windows Messenger
5. Crear y vincular el GPO Permtir agregar impresoras
Tarea 1: Crear y vincular la Directiva de escritorio del dominio
1. En NYC-DC1, abra la consola Administración de directivas de grupo.
2. Cree un GPO denominado Directiva de escritorio del dominio y vincúlelo al dominio WoodgroveBank.com.
3. Edite Directiva de escritorio de dominio como se indica a continuación:
Expanda Configuración del usuario, luego Directivas, Plantillas administrativas, Panel de contol y, por último,
Impresoras.
Habilite el valor Impedir la agregación de Impresoras.
4. En Panel de control, haga clic en Pantalla y luego habilite el valor Ocultar la ficha Protector de pantalla.
5. Cierre el Editor de administración de directiva de grupo.
Tarea 2: Crear y vincular el GPO Prohibir panel de control
1. Expanda Configuración del usuario, luego Plantillas administrativas: definiciones de directivas y, por
último, Panel de control.
2. Habilite el valor Prohibir acceso al panel de control.
3. Cierre el Editor de administración de directivas.
4. Haga doble clic en el GPO Prohibir panel de control, haga clic en la ficha Delegación en el panel de detalles
y luego haga clic en Avanzadas.
5. En el cuadro de diálogo Configuración de seguridad Prohibir panel de control, seleccione Admins. del
Dominio, luego seleccione la casilla Denegar Aplicar directiva de grupos y, por último, haga clic en
Aceptar.
6. Haga clic en Sí para aceptar el mensaje. Esto excluirá al grupo Administradores de dominio de la directiva.
Tarea 3: Crear y vincular el GPO Forzar cifrado de archivo sin conexión
1. Haga clic con el botón secundario en OUEjecutivos y luego haga clic en Crear un GPO en este dominio y
vincularlo aquí.
2. En el cuadro de diálogo Nuevo GPO, escriba Forzar cifrado de archivo sin conexión en el campo Nombre
y luego haga clic en Aceptar.
3. Haga clic con el botón secundario en Forzar cifrado de archivo sin conexión y luego haga clic en Editar.
4. Expanda Configuración del equipo, luego Directivas, Plantillas administrativas, Red y luego haga clic en
Archivos sin conexión.
5. En el panel de detalles, haga doble clic en Cifrar la caché de archivos sin conexión.
6. En el cuadro de diálogo Propiedades de Cifrar la caché de archivos sin conexión, haga clic en Habilitada
y luego en Aceptar.
7. Cierre el Editor de administración de directiva de grupo.
Tarea 4: Crear y vincular el GPO Bloquear Windows Messenger
1. Haga clic con el botón secundario en OU Miami y luego haga clic en Crear un GPO en este dominio y
vincularlo aquí.
2. En el cuadro de diálogo Nuevo GPO, escriba Bloquear Windows Messenger en el campo Nombre y luego
haga clic en Aceptar.
3. Haga clic con el botón secundario en Bloquear Windows Messenger y luego haga clic en Editar.
4. Expanda Configuración del usuario, luego expanda Directivas, Plantillas administrativas, Componentes
de Windows y luego haga doble clic en Windows Messenger.
5. En el panel de detalles, haga doble clic en No permitir que se ejecute Windows Messenger.
6. En el cuadro de diálogo Propiedades de Permitir la ejecución de Windows Messenger, haga clic en
Habilitada y luego haga clic en Aceptar.
7. Cierre el Editor de administración de directiva de grupo.
8. Haga clic con el botón secundario en OU Toronto y luego haga clic en Vincular un GPO existente.
9. En el cuadro de diálogo Seleccionar GPO, haga clic en Bloquear Windows Messenger y luego en Aceptar.
Tarea 5: Crear y vincular el GPO Permitir agregar impresoras
1. Haga clic con el botón secundario en OU AdminsTI y luego haga clic en Crear un GPO en este dominio y
vincularlo aquí.
2. En el cuadro de diálogo Nuevo GPO, escriba Permitir agregar impresoras en el campo Nombre y luego
haga clic en Aceptar.
3. Haga clic con el botón secundario en Permitir agregar impresoras y luego haga clic en Editar.
4. Expanda Configuración del usuario, luego Directivas, Plantillas administrativas, Panel de control y
finalmente haga clic en Impresoras. En el panel de detalles, haga doble clic en Impedir la agregación de
impresoras.
5. En el cuadro de diálogo Propiedades de Impedir la agregación de impresoras, haga clic en Deshabilitadq
y luego haga clic en Aceptar.
6. Cierre el Editor de administración de directiva de grupo.
7. Cierre la GPMC.
8. Apague todas las máquinas virtuales y elimine todos los cambios.
Resultado: Al finalizar este ejercicio, habrá implementado una estrategia de Directiva
de grupo.
Ejercicio 2: Respuestas claves (pasos detallados)
Revisión y conclusiones del módulo
Revisión y conclusiones del módulo
Observaciones
Tenga en cuenta lo siguiente cuando desee implementar una infraestructura de AD DS:
Es posible usar sitios para controlar el ámbito del tráfico de inicio de sesión.
Los árboles independientes del bosque permiten la existencia de múltiples espacios de nombres DNS.
Evaluación del curso
Evaluación del curso
La evaluación de este curso ayudará a Microsoft a comprender la calidad de su experiencia de aprendizaje.
Contáctese con su proveedor de cursos para obtener el formulario de evaluación.
Microsoft mantendrá la privacidad y confidencialidad de sus respuestas y usará esta información para mejorar su futura
experiencia de aprendizaje. Se agradece y valora la honestidad y libertad de sus comentarios.
Descargar