Nota: Las soluciones de los ejercicios pueden ser distintas con las de otros compañeros. Si veis que algún ejercicio está resuelto de forma errónea comunicádmelo para que lo cambie y así no crear confusiones y malentendidos, sobre todo de cara al examen.
-
Configura una VM con W2008 Server y prepárala como controlador de dominio (CD). El nombre del dominio será: [tunombre].local. Puedes hacerlo desde la interfaz gráfica (añadir rol al servidor) o desde la línea de comandos con dcpromo.
Nombre de Dominio: francisco.local.
Desde la interfaz gráfica con rol (administrador del servidor)
Linea de comandos dcpromo.exe => Crear bosque nuevo => Nombre de dominio completo (francisco.local.) => Netbios del dominio (FRANCISCO) => Nivel funcional del bosque (Server 2008) => Servidor DNS (Seleccionado el DHCP)=> Ubicación carpetas => Contraseña distinta a la de administrador (Iso2008) => exportar configuración => Finalización instalación DNS => Reiniciar
Nota: Una ver reiniciado pide iniciar la sesión como:
FRANCISCO\Administrador, pidiéndo cambiar la contraseña actual
En esta captura te pide si deseas cambiar a IP estáticas. En mi caso conteste que el equipo usará una dirección IP asignada automáticamente por un servidor
Captura de cuadro informativo
Netbios: permite a las aplicaciones ‘comunicarse’ con la red. Su intención es conseguir aislar los programas de aplicación de cualquier tipo de dependencia del hardware. También evita que los desarrolladores de software tengan que desarrollar rutinas de recuperación ante errores o de enrutamiento o direccionamiento de mensajes a bajo nivel.
2. Tu servidor será también servidor de DNS para tu dominio y como reenviador pon el del ciclo (192.168.2.2). Intenta hacer ping utilizando el nombre del equipo desde un equipo del aula que no pertenezca atu dominio ¿qué ocurre?
Realizo un ping desde mi server 2008 R2 a 192.168.2.209 y si recibe los paquetes. Esto se debe a que por ip si pueden hablar estando en la misma red aunque no estén en el mismo dominio, pero por el nombre no.
3. Crea un grupo de usuarios Ventas
En roles/servicio de dominios/usuarios y equipos/francisco.local/builtin/ventas
4. Crea un usuario de nombre responsableVentas que pertenezca al grupo Ventas
En roles/servicio de dominios/usuarios y equipos/francisco.local/Users/responsableVentas con contraseña (Iso2008)
5. Crea una VM con Windows 7 y añádela a tu dominio.
Para añadir la máquina con windows 7 al dominio debemos ir a la configuración de red => protocolo IPv4 y poner en servidor DNS la dirección IP del Windows Server 2008. Una vez realizado esto nos vamos a propiedades del sistema y en dominio ponemos francisco.local. Y posteriormente reiniciamos para que los cambios se realicen correctamente.
Ya en el server podemos ver como se ha incluido el equipo Windows 7 en Dominios y confianzas de Active Directory => Administrar => Usuarios y equipos => francisco. Local => Computers => FRANCISCO-PC
6. Inicia sesión en la VM con una cuenta del dominio.
Para iniciar sesión en el equipo que hemos metido en la cuenta de dominio debemos dar de alta previamente en el windows server al usuario con el que queremos iniciar sesión. Un campo importante es el de nombre de inicio de sesión de usuario.
7. Rellena la siguiente tabla con los datos de tu servidor
|
Nombre DFQN |
PRACTICA-DOMINIOS.francisco.local |
|
Dirección IP |
192.168.1.131 |
|
Máscara de red |
255.255.255.0 |
|
Gateway |
192.168.1.1 |
|
DNS |
127.0.0.1 |
|
MAC |
08-00-27-CA-CC-F7 |
|
Dominio |
Francisco.local |
|
Nivel de funcionalidad |
Windows Server 2008 R2 |
|
Password Administrador |
root |
8. Realizar solo en papel: ¿Cómo podríamos conseguir que un equipo (la VM) puedan iniciar en tu dominio a la vez que en el de otro grupo?
Ejercicio realizado en papel
9. Instala en tu VM W7 las herramientas administrativas y haz pruebas de administración del dominio, tanto desde MMC como desde los accesos directos.
Previamente debemos descargar e instalar un archivo para poder activar las herramientas administrativas. Buscar en google: Descargar herramientas administrativas en windows 7 (Y accedemos a la primera búsqueda que corresponde a la página oficial de Windows) => Descargamos la versión correcta (Arquitectura 32 bits en mi caso).
Vamos a panel de control => Programas => Activar o desactivar características de windows => Abrimos el desplegable que vemos en la captura siguiente:
Una vez instalado iniciamos en MMC y agregamos la función de Active directory para poder hacer pruebas de administración.
10. Crea un usuario cuyo nombre esté formado por cada una de las iniciales de tu nombre y tu primer apellido completo(igual que el que utilizas en el dominio CICLOS). Pertenecerá a los grupos ASIR1 y “Usuarios del Dominio”. Prueba a iniciar sesión con este usuario.
Crear un usuario (fgilm01) y añadirlo al grupo ASIR1 (hay que crearlo antes) y Usuarios del dominio
11. [Blog – Alumno/a:__________________ ] Control remoto add-on para MMC – http://www.microsoft.com/en-us/download/details.aspx?id=12244Pruébalo y coméntalo en el blog.
Este ejercicio irá en una entrada a parte en el Blog
12. [Opcional – Blog – Alumno/a: _________________]Remote Desktop Connection Manager – http://www.microsoft.com/en-us/download/details.aspx?id=21101Pruébalo y coméntalo en el blog.
Este ejercicio irá en una entrada a parte en el Blog
13.Comprueba el contenido de tu fichero hosts y verifica que no creará conflicto en la resolución DNS
C:\Windows\System32\drivers\etc\hosts. Realmente si hago modificaciones en el archivo del server no ocurre nada, en cambio si las realizo en el hosts anfitrión si se producen las modificaciones que realice.
14. Crea una unidad organizativa con tu nombre y primerapellido precedido de ou_. P.e.: ou_antonioberrocal
Las unidades organizativas son contenedores dentro de Active Directory para agrupar objetos
Desde la administración de Active Directory creamos una nueva unidad organizativa. Botón derecho => Nuevo => Unidad Organizativa
15. Delega el control total de la ou a tu usuario creado en uno de los ejercicios anteriores.
Sobre la ou creada botón derecho DELEGRAR CONTROL. Aparece un asistente para agregar usuarios y grupos (He agregado a fgilm01). Posteriormente marcar todas las opciones en el apartado de las tareas para que el usuario creado tenga control total.
16. ¿Qué podemos hacer con una cuenta de usuarios perteneciente a administradores de dominio desde mmc? ¿y desde una cuenta que pertenece únicamente al grupo usuarios del dominio?
Pues realmente es igual como cuando no estamos en un dominio, el administrador puede crear usuarios, grupos, etc, por lo tanto todo, mientras que un usuario del dominio normal no.
17. ¿Es administrador de la VM W7 los miembros del grupo Administradores del dominio?
Realmente solo es administrador de la máquina el usuario ADMINISTRADOR del windows Server 2008. Los demás usuarios que están en el grupo administradores no pueden instalar programas en el windows 7.
18. ¿Puedes crear un usuario y añadirlo al grupo Administradores del dominio?
Realizado con un usuario de dominio (fgilm01)
No puedo crear usuarios ni agregar ningún usuario al grupo de administradores.
19. Prueba que tienes acceso a tu ou pero no a otras, p.e. crea un usuario.
En la unidad organizativa que esta delegado el control a fgilm01 si se puede crear usuarios pero en las otras no.
20. Configura tu usuario de tu dominio para que solo pueda iniciar sesión en horario de clase.
Lo modificamos en propiedades del usuario, en la pestaña Cuenta (Cuadro Horas de inicio de sesión) pero tiene que ser con usuario administrador.
21. Cambia la hora de tu equipo local de forma que no esté en el rango en el que puede iniciar sesión. Cierra la sesión e intenta conectar de nuevo, ¿qué ocurre? ¿por qué?
No deja iniciar la sesión mostrando también un mensaje diciendo que tengo restricciones de tiempo que impiden iniciar la sesión.
22. ¿Puede tu usuario iniciar sesión desde cualquier equipo que pertenezca al dominio? Si has contestado que sí, restríngelo paraque solo pueda iniciar sesión desde tu equipo.
El usuario fgilm01 que pertenece al dominio si puede iniciar sesión en todos los equipos que pertenezcan al dominio. Para que solo pueda iniciar sesión en un equipo nos dirigimos a las propiedades del usuario, en la pestaña cuenta, cuadro Iniciar sesión en….Y ponemos los nombres de los equipos a los que solo se podrá conectar. El nombre del equipo lo miramos en Equipo => Propiedades del sistema.
NOTA: La cuenta y contraseña del windows 7 es: Francisco/root
23. Crea un usuario local que tenga el mismo nombre queel del dominio. Inicia sesión con él. ¿Cuál es su directorio personal? ¿y el del usuario de dominio?
Todos los directorios personales tanto de los usuarios locales como los de dominio están en C:\Users. He creado un usuario local con el mismo nombre que el usuario de dominio y se diferencian en el directorio personal en que el usuario que es creado después que el otro con igual nombre se le añade al final el dominio o el equipo al que pertenece (Ejemplo: fgilm1.FRANCISCO-PC sería para el local y fgilm01.FRANCISCO para el de dominio).
24. ¿Qué diferencia existe entre Grupos de seguridad y de distribución? ¿Podemos crear un grupo local de distribución o seguridad?
A los grupos de seguridad se utilizan para asignar derechos o permisos a un grupo de usuarios y equipos. Los son las acciones que pueden realizar en el dominio mientras que los permisos son a los recursos que tienen accesos.
Los grupos de distribución utilizan aplicaciones para enviar correos electrónicos a grupos de usuarios. La principal finalidad es recopilar objetos relacionados.
Los grupos de seguridad tienen todas las funciones de los grupos de distribución aunque solo algunas aplicaciones se pueden utilizar por los grupos de distribución.
25. Crea grupos y usuarios (utiliza plantillas) en el dominio de forma que puedas rellenar la siguiente tabla con información sobre qué tipos de usuarios y grupos pueden ser miembros del grupo y de cuáles él puede ser miembro.
Creamos cuatro grupos: Grupo1 y Grupo4 de dominio local y Grupo2 y Grupo3 Global
|
Ámbito grupo |
Miembros |
Miembro de |
|
Dominio Local (Grupo1) |
Grupo2 (Grupo global) Grupo4 (Grupo Dominio local) Puede tener miembros tanto de Dominio Local como Globales |
Grupo 4 Solo podría ser miembro de Grupo4 por ser un grupo de Dominio Local |
|
Global (Grupo2) |
Grupo3 (Grupo global) No se pueden incluir grupos de dominio Local |
Grupo 1 Grupo 3 Puede tener miembros tanto de Dominio Local como Globales |
26. ¿Tu usuario del dominio puede cambiar la dirección IP del equipo local? ¿por qué?
No porque no tiene los permisos necesarios para realizar estos cambios ya que es un usuario normal y no está en el grupo de administradores.
27. Desconecta el cable de red e intenta iniciar sesión con un usuario de dominio, ¿qué ocurre? ¿por qué?
Si puedes iniciar sesión pero sólo si has iniciado sesión anteriormente en el dominio porque te guarda la configuración en cache. En el dominio no podrías hacer nada porque está el cable de rede desconectado y por lo tanto no hay red.
28. Explica la técnica AGDLP
AGDLP => Account Global Domain Local Permission
Esta técnica se utiliza para dar unos determinados permisos o privilegios a un grupo de usuarios pero que luego tiene sus propios permisos globales.
Información EXTRA de WIKIPEDIA
Permisos de archivos
En todas las versiones de Windows con NT 3 se han basado en un sistema de permisos de sistema de archivos denominado AGDLP (cuentas, Global, Local, permisos) AGLP que en esencia donde se aplican los permisos de archivo a la carpeta en forma de un grupo local que luego tiene otros ‘grupos globales’ como miembros. Estos grupos globales mantienen otros grupos o a usuarios según las diferentes versiones de Windows que utiliza. Este sistema varía de otros productos de proveedores tales como Linux y NetWare debido a la ‘estática’ asignación de permiso se aplica directorio para el archivo o carpeta. Sin embargo con este proceso de AGLP/AGDLP/AGUDLP permite a un pequeño número de permisos estáticos para aplicarse y permite cambios fáciles a los grupos de cuentas sin volver a aplicar los permisos de archivo de los archivos y carpetas
29. El departamento de Ventas esta realizando un proyecto en colaboración con la Universidad de Extremadura. El responsable de dichodepartamento necesita permitir acceso al dominio a personal de la universidad. Crea un grupo de usuarios temporal de nombre PROYECTOCOLABORACION en el que el responsable de ventas tenga la capacidad de añadir,modificar y eliminar usuarios.
Con la cuenta fgilm01 que delega el control a la ou_granciscogil creo un grupo llamado PROYECTODECOLABORACION, con el ámbito de grupo seleccionado en modo global. Una vez creado el grupo vamos a las propiedades del mismo y agregamos en la pestaña miembros al usuario responsableVentas. Después en la pestaña Administrado por agregamos a este mismo usuario para que pueda administrar este grupo.
Grupos locales de dominio. Pueden contener cuentas de usuario de cualquier
dominio del bosque, así como cuentas de grupos globales o universales de cualquier
dominio del bosque, y otros grupos locales de dominio del mismo dominio
(anidamiento). Sólo son visibles en el dominio en que se crean, y suelen utilizarse
para administrar recursos (mediante la concesión de permisos y derechos)
situados en cualquiera de los ordenadores del dominio.
Grupos globales. Pueden contener usuarios del mismo dominio, así como otros
grupos globales de dicho dominio (anidamiento). Son visibles en todos los dominios
del bosque, y suelen utilizarse para agrupar a los usuarios de manera
amplia, en función de las labores que realizan o los roles que juegan en el dominio.
Grupos universales. Pueden contener cuentas de usuario y grupos globales, así
como otros grupos universales (anidamiento), de cualquier dominio del bosque.
Son visibles en todo el bosque, y suelen utilizarse para administrar recursos
(mediante la concesión de permisos y derechos) situados en ordenadores de varios
dominios del bosque.
Información obtenida del libro del curso que estamos siguiendo: Administración Avanzada de Windows Server 2008 R2 => Capítulo 4: Administración de Dominios Windows Server 2008.
30. Indica un grupo predeterminado y un grupo del sistema.
Un grupo predeterminado son los definidos automáticamente por defecto tanto en el dominio como localmente. Un ejemplo de estos son “Administradores”, “Invitados”, “Copias de Seguridad”
Los grupos del sistema no se ven en active directory pero existen. Un ejemplo de estos son “Todos” y “Usuarios”
31. Averigua el SID de las siguientes cuentas:
a. Tu cuenta de usuario y de uno de los grupos que hascreado.
b. De la cuenta de tu equipo
c. De todos los equipos de tu dominio
d. Del grupo “Creator Owner” y del grupo “Todos”, comprueba que corresponde con el indicado en la ayuda de Windwos
Primero descargamos las PSTOOL para poder utilizar el comando PSGETSID. Una vez echo esto lo agregamos para poder ser utilizado
A psgetsid fgilm01
SID for FRANCISCO\fgilm01: _ _ _ _ _ _ _ _ _ _ _ _ _
psgetsid ASIR1
SID for FRANCISCO\ASIR1: _ _ _ _ _ _ _ _ _ _ _ _ _
B.psgetsid \\Francisco-PC
C.psgetsid \\*
Da el siguiente error:
enumerating domain… a system error has occurred 6118
D.
psgetsid “creator owner”
SID for \creator owner: _ _ _ _ _ _ _ _ _ _ _ _ _
psgetsid todos
SID for \todos: _ _ _ _ _ _ _ _ _ _ _ _ _
No necesitamos cuenta de administrador para realizar el ejercicio
32. Averigua el nombre de los siguientes SID:
psgetsid S-1-5-4
Account for FRANCISCO-PC\S-1-5-4
Well know Group: NT AUTHORITY\INTERACTIVE
psgetsid S-1-3-1
Account for FRANCISCO-PC\S-1-3-1
Well know Group: CREATOR GROUP
psgetsid S-1-5-2
Account for FRANCISCO-PC\S-1-5-2
Well know Group: NT AUTHORITY\NETWORK
33. Crea una cuenta de usuario en el dominio de nombre “nombreAlumno_numeroaleatorio” y averigua el SID que le ha correspondido. Otórgale permisos sobre una carpeta y después borra la cuenta creada y vuelve a crear otra con idéntico nombre, ¿le ha correspondido el mismo SID? ¿puede acceder a la carpeta? ¿qué aparece en la ficha seguridad de la carpeta?
Creamos el usuario francisco_12
Averiguados el sid con psgetsid francisco_12
Creamos una carpeta compartida otorgando control total al usuario anterior
Borramos la cuenta anterior y creamos otra con el mismo nombre. Comprobamos el sid:
Y comprobamos que no es el mismo. Después intentamos acceder a la carpeta en la que tenía los permisos el anterior usuario y no nos deja acceder. En cambio si vamos a la pestaña seguridad con el usuario administrador podemos ver como sigue el usuario que borramos, pero no aparece el nombre, si no su sid.
34. Configura tu VM W7 para que el usuario que te has creado sea administrador local de tu equipo.
Agregamos a fgilm01 que es usuario normal al grupo de administradores locales mediante mmc. Lo podemos hacer desde la misma máquina W7 o desde el server 2008. Si lo hacemos de esta segunda forma hay que tener en cuenta la configuración del firewall porque nos podría dar problemas a la hora de realizar estas gestiones remontas mediante MMC.
Si lo agregáramos a los administradores de dominio sería administrador tanto del dominio como localmente.