PRACTICA EN WINDOWS SERVER 2008

CONTENIDO
Pág.

1. CREACIÓN DE USUARIOS. .................................................................................................... 2

1.1 CREACIÓN DEL DOMINIO. ................................................................................................... 2
1.2 INSTALACIÓN DE ACTIVE DIRECTORY........................................................................... 4
1.3 ACTIVACIÓN DEL DOMINIO. ............................................................................................. 11
1.4 CREACIÓN DEL USUARIO. ................................................................................................ 15
1.5 INSTALACIÓN Y CONFIGURACIÓN INICIAL DEL DHCP. .......................................... 18
2. CUADRO COMPARATIVO ENTRE DIRECTIVAS LOCALES Y GRUPALES. ............. 25
3. CREACIÓN DE DIRECTIVAS. ............................................................................................... 28
3.1 PROHIBICIÓN DE ACCESO AL PANEL DE CONTROL. .............................................. 32
3.2 PROHIBICIÓN DE ACCESO A CONFIGURACIONES DE PANTALLA. ..................... 33
4. ASIGNAR CUOTA DE DISCO. .............................................................................................. 37
 1. CREACIÓN DE USUARIOS.

1.1 CREACIÓN DEL DOMINIO.

Lo primero es ingresar a la consola administrativa del sistema operativo, se agrega

una nueva función.

Luego se activa la función de los servicios de dominio de active directory.

Al terminar de instalar, ahora lo que hay que hacer es promocionarlo como
controlador de dominio, eso se realiza dando clic en funciones, servicios de dominio
de active directory.

En esta nueva ventana, se debe dar clic en el enlace de “ejecute el asistente para la
instalación de servicios de dominio de active directory”
1.2 INSTALACIÓN DE ACTIVE DIRECTORY.

Se da clic en siguiente
Ahora se elige la opción de “crear dominio nuevo en un bosque nuevo” y se da clic
en siguiente.

Aquí se debe indicar el nombre del dominio, es necesario que incluya un punto como
si se tratase de un dominio publico de internet, por ejemplo: dominio.com ya que el
sistema comprobara que el dominio no exista en la red.
Luego se debe indicar el nivel funcional del bosque ya que se esta creando un nuevo
bosque, lo ideal es colocar el nivel de seguridad mas alto.
En el controlador de dominio, se debe elegir la opción de servidor DNS para la
resolución de nombres.

Luego aparecerá un asistente para la instalación de los servicios, esto saldrá

lógicamente porque es el primer servidor DNS.
Ahora se indican los directorios para almacenar las bases de datos del active
directory, donde almacenara los ficheros de inicio, contraseñas y mas.
En esta ventana se indica la contraseña del administrador.

En esta ventana se muestra un resumen de todos los pasos previamente realizados.

Ahora hay que esperar que termine la instalación del DNS.

Ya esta creado el domicnio y se tiene el primer controlador de dominio, se da clic en

finalizar y se debe reiniciar el equipo.
1.3 ACTIVACIÓN DEL DOMINIO.

Despues de reiniciar el equipo, es necesario activar el dominio, es necesario crear

usuarios para que puedan acceder desde otros equipos a carpetas que se le van a
compartir, para esto se va a inicio, administrador de servidor y se debe agregar la
funcion de servicio de archivos.

Y se elige la funcion de servicios de archivos y se da clic en siguiente.

Y se deben habilitar opciones como administrador de recursos del servidor de
archivos, servicios para Network File System y servicios de archivos de Windows
server 2003.

Luego se le debe indicar en que volumen se le va a compartir los archivos, se le

indicara que disco local c porque es la única partición activa en la maquina virtual.
Se le da siguiente hasta que se inicie a instalar la funcion de servicios de archivo.

Hasta terminar la instalación.

Como se puede ver en la imagen, el servicio de archivos esta desactivado.

Se da clic en el enlace “Servicios de archivo” para activarlo y luego se va a replicación

de archivos y se da clic en iniciar.
1.4 CREACIÓN DEL USUARIO.

El siguiente paso es agregar un usuario, para esto se va a funciones, servicios de

dominio de active directory, usuarios y equipos.

En este cuadro de dialogo ya se puede observar el dominio creado anteriormente,

ahora se da clic derecho sobre el dominio y se elige la opción de nuevo usuario.
Ahora se debe diligenciar la nueva ventana para crear el nuevo usuario.

Ahora se debe asignar una contraseña, es obvio que debe tener todas las
disposiciones de una buena contraseña, incluyendo mayúsculas, números y
caracteres especiales.
En la ventana emergente se puede observar un pequeño resumen de lo que se acaba
de realizar y los datos del usuario creado.

Creación de grupos
1.5 INSTALACIÓN Y CONFIGURACIÓN INICIAL DEL DHCP.

Se asigna una ip estatica antes de configurar el servidor DHCP.

Se inicia la configuración del servidor DHCP.

ahora para crear y cambiar el nombre de usuario, damos clic en proporcionar nombre
de equipo y del domino.

Se da clic en el botón cambiar y en la siguiente pestaña escribimos el nombre de

equipo.
y nos pedirá reiniciar el equipo para aplicar los cambios realizados. Para poder
compartir archivos se crea la carpeta “Archivos_Compartir_Server”

Ahora se guardan algunos archivos dentro de esta carpeta para poder ser compartida.
Luego se da clic derecho en la carpeta y en propiedades se elige la pestaña compartir;
hay se elige la opción de uso compartido avanzado y se activa la opción de compartir
la carpeta.

después se da clic en la opción de permisos y se le otorga permisos de control total

a la carpeta.
 2. CUADRO COMPARATIVO ENTRE DIRECTIVAS LOCALES Y GRUPALES.

DIRECTIVA DE GRUPO DIRECTIVA LOCAL

Una Directiva de Grupo es un conjunto de Todas las directivas de seguridad se basan

reglas que controlan el medio ambiente de en un solo equipo.
trabajo de cuentas de usuario y cuentas de
equipo.

Una Directiva de grupo proporciona la gestión Las directivas de cuentas se definen en los
centralizada y configuración de sistemas equipos, aunque afectan a la forma en que
operativos, aplicaciones y configuración de las cuentas de usuario pueden interactuar
los usuarios en un entorno de Active con el equipo o el dominio.
Directory.

Las directivas de cuentas contienen tres

subconjuntos:
• Directiva de contraseñas. Se utiliza
La Directiva de Grupo, en parte, controla lo
para las cuentas de usuario del dominio o las
que los usuarios pueden y no pueden hacer
locales. Determina la configuración de las
en un sistema informático. Aunque la
contraseñas, como la obligatoriedad y su
Directiva de Grupo es más frecuente en el
ciclo de vida.
uso de entornos empresariales, es también
común en las escuelas, las pequeñas • Directiva de bloqueo de cuentas. Se
empresas y otros tipos de organizaciones utiliza para las cuentas de usuario del
más pequeñas. dominio o las locales. Determina las
circunstancias y el período que una cuenta va
a estar bloqueada en el sistema.
• Directiva Kerberos. Se utiliza para
La Directiva de Grupo tiene como objetivo cuentas de usuario de dominio. Determina la
reducir el costo de soporte a los usuarios. configuración relacionada con Kerberos,
como la obligatoriedad y el ciclo de vida de
los vales. Las directivas Kerberos no existen
en Directiva de equipo local.

La Directiva de grupo a menudo se utiliza No es aconsejable modificar la Directiva

para restringir ciertas acciones que pueden predeterminada de dominio. Si necesita definir
presentar como riesgos de seguridad una directiva de cuentas que difiera de la del
potenciales, por ejemplo: Bloquear el acceso GPO (Directiva predeterminada de dominio),
al Administrador de tareas, restringir el puede crear un GPO nuevo y vincularlo a la raíz
acceso a determinadas carpetas, deshabilitar del dominio, definir la directiva que desea
la descarga de archivos ejecutables, etc. utilizar y asignarle una prioridad superior a la
del GPO Directiva predeterminada de dominio.

Para las cuentas de dominio, la directiva de

cuentas debe definirse en el objeto de
directiva de grupo (GPO) Directiva
El cliente de una Directiva de Grupo, se predeterminada de dominio o en un GPO
actualiza su configuración de directiva para nuevo que esté vinculado a la raíz del
estaciones de trabajo y servidores en un dominio y que tenga prioridad frente al GPO
determinado modelo - cada 90 minutos (por Directiva predeterminada de dominio, exigido
defecto) (controladores de dominio cada 5
minutos) con una muestra aleatoria del 20%. por los controladores de dominio que forman
Durante este período de actualización que el dominio. Si hay más de un GPO que
recogerá la lista del GPO (Group Policy contiene configuración de directivas de
Object) apropiados a la máquina y el usuario cuenta vinculado al nivel de dominio, la
con sesión iniciada (en su caso). directiva de cuentas del dominio está
formada por la configuración de directiva
acumulativa de todos los GPO vinculados al
dominio.

Estas directivas se aplican a un equipo y

contienen tres subconjuntos:
• Directiva de auditoría. Determina si
los sucesos de seguridad se registran en el
registro de seguridad del equipo. También
especifica si se registran los intentos de inicio
de sesión correctos, los fallidos o ambos. El
Los ajustes sólo se aplican durante el reinicio registro de seguridad forma parte del Visor de
o inicio de sesión del usuario en la sucesos.
computadora (por ejemplo, instalación de
• Asignación de derechos de usuario.
software para ordenadores y la asignación de
Determina qué usuarios o grupos tienen
unidades para los usuarios).
derechos de inicio de sesión o privilegios en
el equipo.
• Opciones de seguridad. Habilita o
deshabilita la configuración de seguridad del
equipo, como la firma digital de datos,
nombres de las cuentas Administrador e
Invitado, acceso a CD-ROM y unidades de
disco, instalación de controladores y
solicitudes de inicio de sesión.

Las Directivas de Grupo se procesan en el

siguiente orden:

1. GPLO - Se aplican los ajustes de la

política local en el equipo. En la
actualidad hay grupo de políticas
individuales ajustables por cada
cuenta en cada máquina. Como un equipo puede tener aplicadas
2. Sitio - A continuación, el ordenador varias directivas, puede haber conflictos en la
procesa todas las políticas de grupo configuración de la directiva de seguridad. El
que se aplican al sitio en el que se orden de prioridad de mayor a menor es
encuentran actualmente al equipo. Si unidad organizativa, dominio y equipo local.
las políticas son múltiples a un sitio,
estas se procesan en el orden
establecido por el administrador
utilizando la Directiva de Grupo de
Ficha de Objetos vinculados, las
políticas con la menor orden de
vínculos se procesa en último lugar y
tiene la mayor prioridad.
3. Dominio - Cualquier política aplicada
en el nivel de dominio se procesan a
continuación. Si las políticas son
múltiples vinculados a un dominio de
 estos se procesan en el orden
establecido por el administrador
utilizando la Directiva de Grupo de
Ficha de Objetos vinculados. La Directiva de Grupo Local (LGP) es una
versión más básica de la directiva de grupo
4. Unidad organizativa - Último grupo
utilizado por Active Directory. En las
de políticas asignado a la unidad
versiones de Windows anteriores a Windows
organizativa que contiene la
Vista, LGP puede configurar la directiva de
computadora o el usuario que se
grupo para un equipo local único, pero a
procesan. Si las políticas son
diferencia de la Directiva de Grupo de Active
múltiples vinculados a una unidad
Directory, no puede hacer políticas para
organizativa, estas se procesan en el
usuarios individuales o grupos.
orden establecido por el
administrador utilizando la Directiva
de Grupo Ficha de Objetos
vinculados, las políticas con el fin de
vincular más bajo se procesa en
último lugar y tiene la mayor
prioridad.
 3. CREACIÓN DE DIRECTIVAS.

Ahora se ingresa a los usuarios y equipos del active directory y se crea una unidad
organizativa dentro del dominio previamente creado.

Se asigna el nombre a la unidad organizativa “Unidad_Ejemplo” y damos clic en

aceptar.
El siguiente paso consiste en dirigirse a Users y damos clic derecho en el usuario
IVAN y damos clic en mover.

Ahora se mueve el usuario IVAN a la unidad organizativa previamente creada.

el usuario queda guardado en la carpeta Unidad_Ejemplo. ahora vamos a
herramientas administrativas y despues a administracion de directivas de grupo.

Después se da clic derecho en la unidad organizativa y se elige la opción de “crear

un gpo en este domino y vincularlo aquí” damos clic.
Ahora se le asigna el nombre a la directiva que se esta crando.

El resultado obtenido es:

El siguiente paso es editar dicha directiva.

3.1 PROHIBICIÓN DE ACCESO AL PANEL DE CONTROL.

ahora nos dirigimos a configuracion de usuario directivas y damos clic en panel de

control y despues vamos a prohibir el acceso al panel de control.
3.2 PROHIBICIÓN DE ACCESO A CONFIGURACIONES DE PANTALLA.

Ahora para prohibir los cambios en el fondo de pantalla, se da clic en pantalla.

En esta nueva ventana se habilita la opción de impedir el cambio de fondo de pantalla.

Una vez realizado esto, se guardan todos los cambios y se inicia sesión con el usuario
creado para verificar que no se tenga acceso al panel de control.
Una vez se ha iniciado sesión con el nuevo usuario, se intentara acceder a las
propiedades de la pantalla para cambiar el fondo.

Y el resultado obtenido al ejecutar esta acción es:

Ahora se intentara acceder al panel de control del equipo a ver que pasa.

Y el resultado obtenido es:

 4. ASIGNAR CUOTA DE DISCO.

Una vez comprobadas las restricciones del usuario, lo siguiente es cerrar sesión
como este usuario e ingresar nuevamente como administrador del sistema y asignar
las cuotas de disco al usuario.

Para poder realizar esta acción, se ingresa a las propiedades del disco local c (única
partición que posee la maquina virtual) y en la opción de cuota y se realiza la
configuración del disco y se da en aceptar.

Para comprobar que la anterior acción se ejecuto correctamente se ingresara

nuevamente con el usuario creado y se verificara su espacio en el disco local c.
Como parte final del informe es realizar lo necesario para compartir los archivos de la
carpeta para compartirla; en el usuario se crea la carpeta “carpeta_compartir” y se va
a propiedades y se configura en la opción de compartir asi:

Al dar clic en el botón compartir se obtiene la siguiente imagen.

Una vez se ha terminado de compartir la carpeta, ahora se inicia sesión como
administrador y en la carpeta documentos aparece la carpeta compartida por el
usuario.

Igualmente en el disco local c aparece la carpeta compartida por el administrador en

pasos anteriores de este manual.