CREACION DE CONSOLA

Introducción

La Consola de administración de Directivas de grupo (GPMC) de Microsoft es una nueva herramienta para la administración de Directivas de grupo que ayuda a los administradores a administrar una empresa de forma más rentable al mejorar la capacidad de administración y aumentar la productividad. Consta del nuevo complemento Microsoft Management Console (MMC) y de un conjunto de interfaces programables mediante secuencias de comandos.

GPMC simplifica la administración de la Directivas de grupo al proporcionar un único lugar para administrar aspectos esenciales de la Directiva de grupo. Atiende los requisitos principales de implementación de la Directiva de grupo exigidos por los clientes mediante las siguientes funciones.

• Una interfaz de usuario (IU) que simplifica enormemente el uso de la Directiva de grupo.

• Operaciones de copia de seguridad/restauración de objetos de Directiva de grupo.

• Operaciones de importar/exportar y copiar/pegar objetos de Directiva de grupo y filtros del Instrumental de administración de Windows (WMI).

• Administración simplificada de la seguridad relacionada con la Directiva de grupo.

• Informes HTML (Lenguaje de marcado de hipertexto) de la configuración de objetos de Directiva de grupo y datos del Conjunto resultante de directivas (RSoP).

• Secuencias de comandos de tareas relacionadas con directivas expuestas dentro de esta herramienta (y no de la configuración de un objeto de Directiva de grupo).

Hasta ahora, los administradores necesitaban utilizar varias herramientas de Microsoft para administrar la Directiva de grupo, como los complementos Usuarios y equipos de Active Directory, Sitios y servicios de Active Directory y Conjunto resultante de directivas. GPMC integra las funciones de Directiva de grupo existentes en estas herramientas en una única consola unificada con nuevas capacidades.

Una característica integrada en GPMC es la compatibilidad para administrar varios dominios y bosques, lo que permite a los administradores administrar la Directiva de grupo de toda la empresa. Los administradores tienen un control total sobre los bosques y dominios incluidos en GPMC, lo que permite mostrar únicamente las partes pertinentes de un entorno.

Nota: en esta guía detallada sólo se ofrecen instrucciones sobre el uso de GPMC para administrar objetos de Directiva de grupo. No se incluyen instrucciones sobre su configuración. Para obtener información sobre cómo configurar objetos de Directiva de grupo.

Instalar GPMC

La instalación de GPMC es un proceso simple que requiere la ejecución de un paquete de Windows Installer (.MSI). Para descargar la última versión, visite el sitio de Windows Server System para la administración de Directivas.

Para instalar la Consola de administración de Directivas de grupo

1.

En el servidor HQ-CON-DC-01, desplácese a la carpeta que contiene gpmc.msi, haga doble clic en el paquete gpmc.msi y, a continuación, haga clic en Siguiente.

2.

Haga clic en Acepto para aceptar el Contrato de licencia de usuario final (CLUF) y, a continuación, haga clic en Siguiente.

3.

Haga clic en Finalizar para completar la instalación de GPMC.

Una vez finalizada la instalación, la ficha Directiva de grupo que aparecía en la página Propiedades de sitios, dominios y unidades organizativas de los complementos de Active Directory se actualiza con un vínculo directo a GPMC. La funcionalidad que existía anteriormente en la ficha Directiva de grupo ya no está disponible, puesto que todas las funciones para administrar la Directiva de grupo están disponibles en GPMC.

Para abrir el complemento GPMC

1.

En el servidor HQ-CON-DC-01, haga clic en el botón Inicio, en Ejecutar, escriba GPMC.msc y, a continuación, haga clic en Aceptar.

Nota: puede utilizar también alguno de los métodos siguientes para ejecutar GPMC.

•

Haga clic en el acceso directo Administración de directiva de grupo en la carpeta Herramientas administrativas en el menú Inicio o en el Panel de control.

•

Crear una consola MMC personalizada: haga clic en el botón Inicio y en Ejecutar, escriba MMC y, a continuación, haga clic en Aceptar. Seleccione Archivo, haga clic en Agregar o quitar complemento y luego en Agregar. Haga clic para resaltar Administración de directiva de grupo, haga clic en Agregar, en Cerrar y después en Aceptar.

Configurar GPMC para varios bosques

Se pueden agregar fácilmente varios bosques al árbol de la consola GPMC. De forma predeterminada, sólo se puede agregar un bosque a GPMC si existe una relación de confianza bidireccional con el bosque del usuario que ejecuta GPMC. Puede habilitar de manera opcional GPMC para que funcione sólo con una relación de confianza unidireccional o incluso sin que exista ninguna relación de confianza. La incorporación de un bosque adicional a GPMC se realiza resaltando Administración de directiva de grupo en la raíz del árbol, seleccionando Acción del menú contextual y haciendo clic en AddForest. Como el entorno de ejemplo sólo contiene un bosque, la ejecución de estos pasos se escapa al alcance de esta guía detallada.

Nota: si agrega bosques sin relación de confianza, algunas funciones no estarán disponibles. Por ejemplo, no estará disponible la característica de creación de modelos de Directiva de grupo y no será posible abrir el Editor de objetos de Directiva de grupo para los objetos de Directiva de grupo del bosque sin relación de confianza. El escenario de bosque sin relación de confianza sirve principalmente para habilitar la copia de objetos de Directiva de grupo entre bosques.

Administrar varios dominios simultáneamente

GPMC permite administrar varios dominios al mismo tiempo, con cada dominio agrupado por bosque en la consola. De forma predeterminada, sólo se muestra un dominio en GPMC. Cuando inicie por primera vez GPMC mediante el complemento preconfigurado (gpmc.msc) o una consola MMC personalizada, GPMC mostrará el dominio que contiene la cuenta de usuario utilizada para iniciar GPMC. Puede especificar dominios en cada uno de los bosques que desee administrar mediante GPMC agregando o quitando los dominios mostrados en la consola.

Nota: puede agregar dominios con relaciones de confianza externas, aunque no mantenga una relación de confianza con todo el bosque. De forma predeterminada, debe haber una relación de confianza bidireccional entre el dominio que desea agregar y el dominio del objeto de usuario. También puede agregar dominios en una relación de confianza unidireccional deshabilitando la característica de detección de relaciones de confianza de GPMC, en el cuadro de diálogo Opciones del menú Ver. Para agregar dominios con relaciones de confianza externas, primero debe utilizar el cuadro de diálogo AddForest para agregar un dominio de un bosque que contenga los dominios con relaciones de confianza externas. Una vez agregado el bosque, puede agregar todos los dominios de ese bosque en los que se confíe haciendo clic con el botón secundario del mouse (ratón) en el nodo Dominios y haciendo clic en Show Domains.

Para agregar el dominio secundario vancouver.contoso.com a la consola

1.En la ventana Administración de directiva de grupo, haga clic en el signo más (+) situado junto a Bosque:contoso.com para expandir el árbol y, a continuación, haga clic en el signo más (+) situado junto a Dominios.

2.Haga clic con el botón secundario del mouse en Dominios y, a continuación, haga clic en Show Domains.

3.Active la casilla de verificación situada junto a vancouver.contoso.com como se muestra en la Figura 1 y, a continuación, haga clic en Aceptar.

En cada dominio disponible en GPMC, se utiliza el mismo controlador de dominio para todas las operaciones del dominio. Éstas incluyen todas las operaciones en los objetos de Directiva de grupo, unidades organizativas, principales de seguridad y filtros de WMI que residen en ese dominio. Asimismo, cuando el Editor de objetos de Directiva de grupo se abre desde GPMC, siempre utiliza el mismo controlador de dominio empleado en GPMC para el dominio donde se encuentra el objeto de Directiva de grupo.

GPMC permite seleccionar el controlador de dominio que se utiliza para cada dominio. Tiene cuatro opciones para elegir.

• Usar el emulador de controlador de dominio principal (PDC) (opción predeterminada).

• Usar cualquier controlador de dominio disponible.

• Usar cualquier controlador de dominio que ejecute un sistema operativo de la familia Windows Server 2003. Esta opción es útil si va a restaurar un objeto de Directiva de grupo eliminado que contiene opciones de instalación de software de Directiva de grupo.

• Usar un controlador de dominio específico.

Para cambiar el controlador de dominio utilizado por GPMC para el dominio vancouver.contoso.com

1.En la ventana Administración de directiva de grupo, en la carpeta Dominios, haga clic con el botón secundario del mouse en vancouver.contoso.com y, a continuación, haga clic en Cambiar el controlador de dominio.

2.En el cuadro de diálogo Cambiar el controlador de dominio, haga clic en This domain controller y, a continuación, haga clic para resaltar hq-con-dc-03.vancouver.contoso.com como se muestra en la Figura 2.

3.Haga clic en Aceptar para continuar.

ACTIVE DIRECTORy

Active Directory (AD) es el término que usa Microsoft para referirse a su implementación de servicio de directorio en una red distribuida de computadores. Utiliza distintos protocolos (principalmente LDAP, DNS, DHCP, Kerberos...).

Su estructura jerárquica permite mantener una serie de objetos relacionados con componentes de una red, como usuarios, grupos de usuarios, permisos y asignación de recursos y políticas de acceso.

Estructura

Active Directory está basado en una serie de estándares llamados (X.500), aquí se encuentra una definición lógica a modo jerárquico.

Dominios y subdominios se identifican utilizando la misma notación de las zonas DNS, razón por la cual Active Directory requiere uno o más servidores DNS que permitan el direccionamiento de los elementos pertenecientes a la red, como por ejemplo el listado de equipos conectados; y los componentes lógicos de la red, como el listado de usuarios.

Un ejemplo de la estructura descendente (o herencia), es que si un usuario pertenece a un dominio, será reconocido en todo el árbol generado a partir de ese dominio, sin necesidad de pertenecer a cada uno de los subdominios.

A su vez, los árboles pueden integrarse en un espacio común denominado bosque (que por lo tanto no comparten el mismo nombre de zona DNS entre ellos) y establecer una relación de «trust» o confianza entre ellos. De este modo los usuarios y recursos de los distintos árboles serán visibles entre ellos, manteniendo cada estructura de árbol el propio Active Directory.

Funcionamiento

Su funcionamiento es similar a otras estructuras de LDAP (Lightweight Directory Access Protocol), ya que este protocolo viene implementado de forma similar a una base de datos, la cual almacena en forma centralizada toda la información relativa a un dominio de autenticación. La ventaja que presenta esto es la sincronización presente entre los distintos servidores de autenticación de todo el dominio.

A su vez, cada uno de estos objetos tendrá atributos que permiten identificarlos en modo unívoco (por ejemplo, los usuarios tendrán campo «nombre», campo «email», etcétera, las impresoras de red tendrán campo «nombre», campo «fabricante», campo «modelo», campo "usuarios que pueden acceder", etc). Toda esta información queda almacenada en Active Directory replicándose de forma automática entre todos los servidores que controlan el acceso al dominio.

De esta forma, es posible crear recursos (como carpetas compartidas, impresoras de red, etc) y conceder acceso a estos recursos a usuarios, con la ventaja que estando todos estos objetos memorizados en Active Directory, y siendo esta lista de objetos replicada a todo el dominio de administración, los eventuales cambios serán visibles en todo el ámbito. Para decirlo en otras palabras, Active Directory es una implementación de servicio de directorio centralizado en una red distribuida que facilita el control, la administración y la consulta de todos los elementos lógicos de una red (como pueden ser usuarios, equipos y recursos).

Intercambio entre dominios2

Para permitir que los usuarios de un dominio accedan a recursos de otro dominio, Active Directory usa un trust (en español, relación de confianza). El trust es creado automáticamente cuando se crean nuevos dominios. Los límites del trust no son marcados por dominio, sino por el bosque al cual pertenece. Existen trust transitivos, donde los trust de Active Directory pueden ser un acceso directo (une dos dominios en árboles diferentes, transitivo, una o dos vías), bosque (transitivo, una o dos vías), reino (transitivo o no transitivo, una o dos vías), o externo (no transitivo, una o dos vías), para conectarse a otros bosques o dominios que no son de Active Directory. Active Directory usa el protocolo V5 de Kerberos, aunque también soporta NTLM y usuarios webs mediante autenticación SSL / TLS.

Confianza transitiva

Las Confianzas transitivas son confianzas automáticas de dos vías que existen entre dominios en Active Directory.

Confianza explícita

Las Confianzas explícitas son aquellas que establecen las relaciones de forma manual para entregar una ruta de acceso para la autenticación. Este tipo de relación puede ser de una o dos vías, dependiendo de la aplicación.

Las Confianzas explícitas se utilizan con frecuencia para acceder a dominios compuestos por ordenadores con Windows NT 4.0.

Confianza de Acceso Directo

La Confianza de acceso directo es, esencialmente, una confianza explícita que crea accesos directos entre dos dominios en la estructura de dominios. Este tipo de relaciones permite incrementar la conectividad entre dos dominios, reduciendo las consultas y los tiempos de espera para la autenticación.

Confianza entre bosques

La Confianza entre bosques permite la interconexión entre bosques de dominios, creando relaciones transitivas de doble vía. En Windows 2000, las confianzas entre bosques son de tipo explícito, al contrario de Windows Server 2003.

Direccionamientos a recursos

Los direccionamientos a recursos de Active Directory son estándares con la Convención Universal de Nombrado (UNC), Localizador Uniforme de Recursos (URL) y nombrado de LDAP.

Cada objeto de la red posee un nombre de distinción (en inglés, Distinguished name (DN)), así una impresora llamada Imprime en una Unidad Organizativa (en inglés, Organizational Units, OU) llamada Ventas y un dominio foo.org, puede escribirse de las siguientes formas para ser direccionado:

en DN sería CN=Imprime,OU=Ventas,DC=foo,DC=org, donde

CN es el nombre común (en inglés, Common Name)

DC es clase de objeto de dominio (en inglés, Domain object Class).

En forma canónica sería foo.org/Ventas/Imprime

Los otros métodos de direccionamiento constituyen una forma local de localizar un recurso

Distinción de Nombre Relativo (en inglés, Relative Distinguised Name (RDN)), que busca un recurso sólo con el Nombre Común (CN).

Globally Unique Identifier (GUID), que genera una cadena de 128 bits que es usado por Active Directory para buscar y replicar información

Ciertos tipos de objetos poseen un Nombre de Usuario Principal (en inglés, User Principal Name (UPN)) que permite el ingreso abreviado a un recurso o un directorio de la red. Su forma es objetodered@dominio.

Diferencias entre Windows NT y Active Directory

A diferencia del anterior sistema de administración de dominios de Windows NT Server, que preveía únicamente el dominio de administración, Active Directory permite también crear estructuras jerárquicas de dominios y subdominios, facilitando la estructuración de los recursos según su localización o función dentro de la organización a la que sirven. Otra diferencia importante es el uso de estándares como X.500 y LDAP para el acceso a la información.

Interfaces de programación3

Las interfaces de servicio de Active Directory (ADSI) entregan al programador una interfaz orientada a objetos, facilitando la creación de programas de directorios mediante algunas herramientas compatibles con lenguajes de alto nivel, como Visual Basic, sin tener que lidiar con los distintos espacios de nombres.

Mediante las ADSI se permite crear programas que realizan un único acceso a varios recursos del entorno de red, sin importar si están basados en LDAP u otro protocolo. Además, permite generar secuencias de comandos para los administradores.

También se puede desarrollar la Interfaz de mensajería (MAPI), que permite generar programas MAPI.

Requisitos de instalación4

Para crear un dominio hay que cumplir, por lo menos, con los siguientes requisitos recomendados:

Tener cualquier versión Server de Windows 2000, 2003 (Server, Advanced Server o Datacenter Server) o Windows 2008, en el caso de 2003 server, tener instalado el service pack 1 en la máquina.

Protocolo TCP/IP instalado y configurado manualmente, es decir, sin contar con una dirección asignada por DHCP,

Tener un servidor de nombre de DNS, para resolver la dirección de los distintos recursos físicos presentes en la red

Poseer más de 250 MB en una unidad de disco formateada en NTFS.

Alternativas5

Samba es un programa de código libre, que tiene disponible un controlador de dominios compatible con Windows NT 4.

El programa de código libre Mandriva Directory Server ofrece una interfaz web para manejar el controlador de dominios de Samba y el servicio de directorios de LDAP.

Otra alternativa es Novell eDirectory, que es Multiplataforma: se puede correr sobre cualquier sistema operativo: Linux, AIX, Solaris, Novell Netware, UNIX e integra LDAP v.3 Nativo. Es el precursor en materia de estructuras de Directorio, ya que fue introducido en 1990 con la versión de Novell Netware 4.0. Aunque AD de Microsoft alcanzó mayor popularidad, todavía no puede igualar la fiabilidad y calidad de eDirectory y su capacidad Multiplataforma.

Sun Java ES Directory Server[1] y OpenDS [2] son otras alternativas, el primero desarrollado en C y el segundo basado en java. El primero es un producto de Sun Microsystems y el segundo una alternativa de código abierto.

Una alternativa que integra OpenLDAP, Heimdal kerberos, Samba y además certificación digital y Bind9 (modificado para usar LDAP como backend) es WBSAgnitio

WINDOWS SERVER 2003

Windows Server 2003 es un sistema operativo de la familia Windows de la marca Microsoft para servidores que salió al mercado en el año 2003. Está basada en tecnología NT y su versión del núcleo NT es la 5.2.
En términos generales, Windows Server 2003 se podría considerar como un Windows XP modificado para labores empresariales, no con menos funciones, sino que estas están deshabilitadas por defecto para obtener un mejor rendimiento y para centrar el uso de procesador en las características de servidor; por ejemplo, la interfaz gráfica denominada Luna de Windows XP viene desactivada por lo que sólo se utiliza la interfaz clásica de Windows.
Características.
Sus características más importantes son:
Sistema de archivos NTFS:
cuotas
cifrado y compresión de archivos, carpetas y no unidades completas.
permite montar dispositivos de almacenamiento sobre sistemas de archivos de otros dispositivos al estilo unix
Gestión de almacenamiento, backups... incluye gestión jerárquica del almacenamiento, consiste en utilizar un algoritmo de caché para pasar los datos menos usados de discos duros a medios ópticos o similares más lentos, y volverlos a leer a disco duro cuando se necesitan.
Windows Driver Model: Implementación básica de los dispositivos más utilizados, de esa manera los fabricantes de dispositivos sólo han de programar ciertas especificaciones de su hardware.
ActiveDirectory Directorio de organización basado en LDAP, permite gestionar de forma centralizada la seguridad de una red corporativa a nivel local.
Autentificación Kerberos5
DNS con registro de IP's dinámicamente
Políticas de seguridad

Servidores
Los servidores que maneja Windows 2003 son:
Servidor de archivos
Servidor de impresiones
Servidor de aplicaciones
Servidor de correo (SMTP/POP)
Servidor de terminal
Servidor de Redes privadas virtuales (VPN) (o acceso remoto al servidor)
Controlador de Dominios (mediante Active Directory)
Servidor DNS
Servidor DHCP
Servidor de Streaming de Vídeo
Servidor WINS
Servidor RIS Remote Installation Services (Servicios de instalación remota)

Mejoras respecto a Windows 2000 Server
Diferencias principales con Windows 2000 Server
Durante la instalación arranca con el mínimo de servicios activados para no comprometer la seguridad del sistema
Mejoras en el manejo de políticas de seguridad
Active Directory ya no utiliza NetBIOS sino que es necesaria la presencia de un DNS que soporte Service Records (detección de servicios ofrecidos por una máquina a través de un DNS)