SlideShare uma empresa Scribd logo

Agregar equipos a dominio Windows

Transferir como DOCX, PDF
T
toboreon
1 de 45
COMO UNIR WINDOWS XP VISTA Ó WINDOWS 7,8 A UN DOMINIO WINDOWS SERVER 2008, 2003. ¿Por qué agregar equipos cliente con Windows XP ó Windows 7 a un dominio Windows Server 2003 ó Windows Server 2008? Windows vista y 8 con server 2008. En una organización con 10 ó más equipos es recomendable disponer de un dominio Windows con al menos un servidor controlador de dominio con Windows Server 2000, Windows Server 2003 ó Windows Server 2008 y todos los equipos agregados a este dominio. La ventaja principal es que, de esta forma, es posible aplicar directivas de seguridad y configuración a los equipos de nuestra organización de forma automática y centralizada. Así podremos tener los equipos clientes "controlados" sin necesidad de ir equipo por equipo aplicando las políticas de seguridad y configuración. Otra gran ventaja de disponer de un dominio Windows es que nos ayudará a cumplir la Ley de Protección de Datos (LOPD) pues, al validar los equipos en el dominio Windows, los usuarios y contraseñas se "almacenan" en el servidor y no en el equipo cliente. De esta forma es posible, mediante directivas, controlar la caducidad de contraseñas, la fortaleza de contraseñas y auditar los accesos (aciertos y fallos). Todo ello de forma centraliza en el servidor (o servidores) controladores del dominio. Por el motivo anterior, conseguimos otra ventaja y es que, dado que los usuarios y contraseñas quedan almacenadas en el servidor controlador de dominio (o servidores) cualquier usuario podrá iniciar sesión en cualquier equipo de la organización sin que se haya creado el usuario en el equipo local, puesto que los equipos agregados al dominio realizan la validación (comprobación de las credenciales de usuario y contraseña) en el servidor y no en el equipo local. Esto supone una gran ventaja pues nos evitará tener que crear las cuentas de usuario que vayan a usar el equipo en el propio equipo, mejorando así la movilidad. Por supuesto, para que este método sea lo más adecuado posible lo "ideal" es que todos los datos de los usuarios residan en un servidor de almacenamiento y no en el equipo local. Así cualquier usuario podrá acceder a sus datos desde cualquier equipo de la organización. Por ejemplo, el tener un dominio y los equipos (PCs) de los usuarios agregados en este dominio permite en nuestra organización aplicar una política de homogeneización de la configuración de los equipos cliente: fondo de escritorio (papel tapiz) con el logotipo de la empresa, página de inicio del navegador oficial de la organización, uso obligatorio de un proxy de red, denegar el acceso a dispositivos de almacenamiento extraíbles (para evitar propagación de los típicos virus de autorun en pendrives), ejecutar scripts de configuración al inicio y al finalizar la sesión, instalar (distribuir) aplicaciones de forma desatendida en los equipos cliente agregados al dominio, impedir el uso de determinadas Juan Noé SG Página 1
aplicaciones, ... Todo ello de forma centralizada, desde el servidor, aplicando las directivas oportunas, sin necesidad de acceder ni físicamente ni por control remoto a los equipos clientes. Sin duda son muchas las ventajas de disponer de un dominio Windows y todos los equipos de la organización validados (agregados) en él. Para indicar alguna desventaja, podríamos decir que, puesto que es necesario un equipo servidor (al menos) con Windows Server 2003 ó Windows Server 2008 se necesitará un desembolso económico en hardware (un servidor, aunque este servicio no necesita muchos recursos) y en licencias del sistema operativo. Para una organización con unos 300 equipos clientes es recomendable que el servidor de Windows Server 2003 / 2008 sea dedicado, es decir, que sólo se use con este fin: dominio de Windows (promocionado a controlador de dominio con Active Directory). Aunque con unos 300 usuarios también es recomendable disponer de un segundo controlador de dominio para mantener una copia del catálogo global (base de datos de Active Directory). Otra desventaja de disponer de un dominio y los equipos agregados y validados en él es que si sólo disponemos de un servidor controlador de dominio y éste sufre una caída (por avería física, por "cuelgue" del sistema operativo o por avería de la electrónica de red) los usuarios que intenten validar (iniciar sesión) en sus equipos no podrán hacerlo pues el controlador de dominio para validación del usuario y contraseña no estará disponible. Por ello recomendamos disponer de dos controladores de dominio (al menos), el "secundario" podría dedicarse a otro fin además de la validación (almacenamiento de datos, servidor de base de datos, etc.). Requisitos iniciales para validación en dominio Windows Server Servidor con Windows Server 2003 ó Windows Server 2008 El primer requisito indispensable para que los equipos de los usuarios de nuestra organización sean agregados a un dominio Windows es, precisamente, disponer de uno o varios servidores pertenecientes a un dominio Windows con un controlador de dominio y Active Directory. En el siguiente artículo explicamos cómo instalar el sistema operativoMicrosoft Windows Server 2003, necesario para montar un dominio Windows: Instalar Windows Server 2003 Enterprise En este otro artículo explicamos cómo instalar Windows Server 2008 que también sirve, por supuesto, para montar un dominio Windows: Instalar y testear Windows Server 2008 Enterprise Release Candidate Juan Noé SG Página 2
Servidor promocionado a controlador de dominio (Active Directory) El servidor con Windows Server 2003 ó Windows Server 2008 debe estar promocionado a controlador de dominio. En el siguiente artículo explicamos cómo promocionar un servidor con Windows Server 2003 a controlador de dominio (Active Directory), requisito necesario para montar un dominio Windows, pues al promocionar un equipo a controlador de dominio, si es el primero, se creará el dominio para validar los equipos: Promocionar el servidor a Controlador de Dominio (Active Directory) Disponer de una red LAN y todos los equipos conectados a la red, incluido el servidor Otro de los requisitos evidentes es disponer de una red LAN y todos los equipos conectados a la misma red que los servidores, pues a partir de ahora la identificación de usuario (validación de crendenciales) se realizará a través de la red en el servidor y no en el equipo cliente. Servidor de DNS, configuración de red, equipo controlador de dominio El equipo servidor promocionado a controlador de dominio con Active Directory, con el que hemos creado el dominio Windows, debe ser servidor de DNS (es lo recomendable). Si el servidor no tiene activo este servicio o si no lo tenemos en otro servidor lo podemos activar desde "Agregar o quitar programas", pulsando en "Agregar o quitar componentes de Windows": Juan Noé SG Página 3
Seleccionaremos "Servicios de red" y pulsaremos "Detalles": Marcaremos el subcomponente "Sistema de nombres de dominio (DNS)" y pulsaremos "Aceptar" (es posible que nos solicite el CD de instalación de Windows Server 2003): Juan Noé SG Página 4
Tras instalar el servicio de Servidor de DNS, desde el menú "Inicio" "Herramientas administrativas" podremos seleccionar "DNS": Desde donde podremos ver el estado y configurar el servidor de DNS (DomainNameSystem) que traduce nombres de equipo DNS en direcciones IP: zonas de búsqueda directa, zonas de búsqueda inversa, sucesos de DNS: Juan Noé SG Página 5
Por supuesto, el servidor controlador de dominio no debe tener activada la opción de "Obtener una dirección IP automáticamente", debe tener una IP fija (estática), por ejemplo 192.168.1.125. Además, este servidor, como servidor de DNS preferido en laconfiguración de la red tendrá su propia IP pues él mismo es servidor de DNS: Configuración de red equipo cliente Juan Noé SG Página 6
Es muy recomendable que los equipos clientes tengan como DNS primaria la IP del servidor controlador de dominio (que será servidor de DNS). Accederemos a la configuración de red del equipo desde "Conexiones de red", pulsando con el botón derecho del ratón sobre "Conexión de área local" y seccionando "Propiedades": Seleccionaremos "Protocolo Internet (TCP/IP)" y pulsaremos en "Propiedades": En "Servidor DNS preferido" introduciremos la IP del servidor controlador de dominio de nuestra red (en nuestro ejemplo 192.168.1.125): Juan Noé SG Página 7
Nota: si usamos un servidor DHCP y los equipos clientes tienen habilitada la opción "Obtener la dirección del servidor DNS automáticamente" deberemos establecer en el servidor DHCP, en el ámbito correspondiente, como servidor DNS primario la IP del servidor controlador de dominio. De esta forma en los equipos clientes se configurará este DNS de forma automática. Sistema operativo para el equipo cliente que agregaremos al dominio Windows En cuanto a los equipos cliente, es suficiente con que dispongan de un sistema operativo Microsoft Windows XP, Microsoft Windows Vista ó Microsoft Windows 7. A continuación mostramos tres artículos sobre cómo instalar estos sistemas operativos: Instalar Windows XP Service Pack 3, configurar Windows XP. Instalar Windows Vista Beta 2, testear Windows Vista. Instalar Microsoft Windows 7 Ultimatevirtualizado en VMware Server 2.0.1. Instalar Microsoft Windows 7 Ultimate Beta 1 Build 7000. Juan Noé SG Página 8
Obtener datos necesarios para agregar equipos cliente a un dominio Windows Necesitaremos dos datos principales para agregar un equipo cliente con Windows XP, Windows Vista ó Windows 7 a un dominio Windows Server: la IP del servidor de DNS (normalmente coincidirá con la IP del controlador de dominio) y el nombre del dominio. Para obtener estos datos accederemos al servidor controlador de dominio con Windows Server 2003 ó Windows Server 2008, pulsaremos en el botón "Inicio" - "Panel de control" - "Sistema": En la pestaña "Nombre de equipo" de la ventana de Propiedades del sistema, en Dominio podremos consultar y anotar el nombre del dominio Windows que hemos montado al promocionar el primer servidor a controlador de dominio. En nuestro caso el dominio se llama "dominioajpdsoft.com": Juan Noé SG Página 9
También podremos obtener este dato desde una ventana de MS-DOS (línea óshell de comandos), introduciendo el siguiente comando que mostrará el valor de la variable de entorno USERDNSDOMAIN: set USERDNSDOMAIN Desde el shell de comandos también podremos obtener la IP del servidor (si es el servidor de DNS) que necesitaremos para configurar la red de los equipos cliente que agregaremos al dominio, el comando a ejecutar es: ipconfig Juan Noé SG Página 10
Anotaremos la "Dirección IP". Por supuesto, también podemos obtenerla en el modo gráfico, desde las propiedades de red: Crear los usuarios de los equipos clientes en el servidor Windows Server 2003, establecer directivas de contraseñas Alta de usuarios en el dominio, servidor con Active directory Uno de los requisitos fundamentales para agregar los equipos informáticos de nuestra organización a un dominio Windows es crear los usuarios que usarán cada equipo. Dichos usuarios se crearán en el servidor controlador de dominio Juan Noé SG Página 11
con Windows Server 2003, pues a partir de este momento ya no se usarán usuarios locales de los equipos, los usuarios y sus credenciales (contraseña) quedarán guardados de forma centralizada únicamente en el servidor promocionado a controlador de dominio con Active Directory. Por lo tanto será en el servidor donde creemos todos los usuarios que iniciarán sesión en los equipos informáticos de nuestra empresa. Además, la Ley de Protección de Datos (LOPD) obliga a que no se usen usuarios genéricos (un mismo usuario y contraseña compartida por varias personas) sino que se utilice un usuario y contraseña por cada persona de la organización. Por ello, el primer paso antes de agregar un equipo informático a un dominio Microsoft Windows será crear los usuarios que iniciarán sesión en estos equipos. Para crear un usuario en Active Directory accederemos al servidor con un usuario miembro del grupo administradores (con permisos de administrador), abriremos "Usuarios y equipos de Active Directory" (que podremos encontrar en "Inicio" - "Herramientas administrativas"). Desde "Usuarios y equipos de Active Directory" podremos crear unidades organizativas (carpetas contenedoras) para ordenar y guardar los usuarios de nuestra organización por departamentos. Por ejemplo, podremos tener las siguientes unidades organizativas (se crean pulsando con el botón derecho sobre "dominioajpdsoft.com" y seleccionado "Nuevo" - "Unidad organizativa"): uoFacturacion, uoContabilidad, uoDesarrollo, uoMarketing, ... En realidad, las unidades organizativas son como "carpetas" donde podremos estructurar los usuarios para administrarlos de forma más sencilla. Podremos, por ejemplo, aplicar directivas de seguridad diferentes a cada unidad organizativa. No son obligatorias pero recomendamos usarlas. Si hemos creado unidades organizativas, para crear un usuario en Active Directory, pulsaremos con el botón derecho del ratón sobre la unidad organizativa donde queramos crear el usuario y seleccionaremos "Nuevo" "Usuario": Juan Noé SG Página 12
Introduciremos los datos del usuario, el más importante es "Nombre de inicio de sesión de usuario" que será el nick (usuario) que introducirá la persona en el equipo cliente para iniciar sesión. Pulsaremos "Siguiente" para continuar: A continuación introduciremos la contraseña para el usuario, se recomienda, para cumplir la LOPD y por seguridad, introducir una contraseña "estándar" y Juan Noé SG Página 13
obligar al usuario a que cambie la contraseña e introduzca una suya propia que sea personal e intransferible (que nadie, salvo él, la sepa). Por ejemplo, introduciremos como contraseña "11223344" y marcaremos la opción "El usuario debe cambiar la contraseña al iniciar una sesión de nuevo". De esta forma, cuando el usuario inicie sesión por primera vez en su equipo deberá introducir la anterior y se le solicitará y obligará a que cambie la contraseña por una nueva: Por último el asistente para crear un nuevo usuario en Active Directory nos mostrará el resumen de las opciones seleccionadas para el nuevo usuario, si son correctas pulsaremos "Finalizar": Juan Noé SG Página 14
Tras crear el usuario, podremos establecer los grupos de seguridad de los que será miembro. Para ello pulsaremos con el botón derecho del ratón sobre el usuario y seleccionaremos "Propiedades": En la pestaña "Miembro de" de la ventana de Propiedades del usuario podremos agregar los grupos de seguridad a los que pertenecerá. Por ejemplo, para hacer un usuario administrador del dominio pulsaremos en "Agregar": Juan Noé SG Página 15
Introduciremos el grupo de seguridad al que pertenecerá el usuario (o varios grupos separados por punto y coma) y pulsaremos "Aceptar". En nuestro caso, como ejemplo, agregaremos el usuario "facturacion" al grupo de seguridad "Admins. del dominio" por lo que lo convertiremos en administrador del dominio. Obviamente esto es un ejemplo, no conviene agregar usuarios a este grupo pues tendrán todos los permisos administrativos sobre el servidor y sobre todos los equipos clientes agregados al dominio: De esta forma el usuario será miembro de los grupos de seguridad que hayamos elegido, en función de estos grupos de seguridad tendrá más o menos permisos sobre los equipos del dominio. Por defecto, un usuario sólo pertenecerá al grupo de seguridad "Usuarios del dominio", con este grupo es Juan Noé SG Página 16
suficiente para iniciar sesión en cualquier equipo cliente agregado al dominio y realizar las tareas típicas de navegación, correo electrónico, ofimática, etc.: Directiva de cuenta, directiva de contraseñas, caducidad, historial, longitud mínima Además de crear los usuarios para los equipos clientes en el dominio, podremos indicar las directivas de seguridad para establecer el nivel de complejidad de las contraseñas, cifrado, historial, longitud mínima, vigencia máxima (caducidad). Para ello accederemos al servidor controlador de dominio, pulsaremos en "Inicio" - "Herramientas administrativas" - "Directiva de seguridad de dominio". En esta ventana, accederemos a "Configuración de seguridad" - "Directivas de cuenta" - "Directiva de contraseñas": Juan Noé SG Página 17
Para activar una directiva haremos doble clic sobre ella, por ejemplo "Las contraseñas deben cumplir los requerimientos de complejidad" y marcaremos "Habilitada". De esta forma, la directiva quedará activa y se aplicará a todos los usuarios de todos los equipos que hayamos agregado al dominio: A continuación mostramos las directivas de contraseñas disponibles y una descripción de cada una de ellas: Almacenar contraseñas usando cifrado reversible: esta configuración de seguridad determina si el sistema operativo almacena contraseñas con el cifrado reversible. Esta directiva proporciona compatibilidad para aplicaciones Juan Noé SG Página 18
que usan protocolos que exigen el conocimiento de la contraseña del usuario para propósitos de autenticación. Almacenar contraseñas con el cifrado reversible es fundamentalmente lo mismo que almacenar versiones de texto simple de las contraseñas. Por esta razón, esta directiva no debería habilitarse nunca, a menos que los requisitos de la aplicación tengan más importancia que la necesidad de proteger la información de contraseñas. Se exige esta directiva cuando se usa la autenticación CHAP (Protocolo de autenticación por desafío mutuo) a través de acceso remoto o IAS (Servicios de autenticación Internet). También se exige cuando se usa la autenticación implícita en Internet InformationServices (IIS). El valor predeterminado es: deshabilitada. Forzar el historial de contraseñas: esta configuración de seguridad determina el número de nuevas contraseñas únicas que deben asociarse a una cuenta de usuario antes de poder reutilizar una contraseña antigua. El valor debe estar comprendido entre 0 y 24 contraseñas. Esta directiva permite a los administradores mejorar la seguridad ya que garantiza que no se reutilicen continuamente contraseñas antiguas. El valor predeterminado: 24 en controladores de dominio, 0 en servidores independientes. Nota: de manera predeterminada, los equipos miembros usan la configuración de sus controladores de dominio. Para mantener la eficacia del historial de contraseñas, no permita que las contraseñas se cambien inmediatamente después de haberlas cambiado habilitando también la configuración de directiva de seguridad Vigencia mínima de la contraseña. Las contraseñas deben cumplir los requerimientos de complejidad: esta configuración de seguridad determina si las contraseñas deben cumplir los requisitos de complejidad. Si se habilita esta directiva, las contraseñas deben cumplir los siguientes requisitos mínimos: No contener el nombre de cuenta del usuario o partes del nombre completo del usuario en más de dos caracteres consecutivos. Tener una longitud mínima de seis caracteres. Incluir caracteres de tres de las siguientes categorías: mayúsculas (de la A a la Z), minúsculas (de la a a la z), dígitos de base 10 (del 0 al 9), caracteres no alfanuméricos (por ejemplo, !, $, #, %). Longitud mínima de la contraseña: esta configuración de seguridad determina el número mínimo de caracteres que debe contener la contraseña de una cuenta de usuario. Puede establecer un valor comprendido entre 1 y 14 caracteres, o puede indicar que no se exija contraseña alguna estableciendo el número de caracteres en 0. El valor predeterminado: 7 en controladores de dominio, 0 en servidores independientes. Juan Noé SG Página 19
Vigencia máxima de la contraseña: esta configuración de seguridad determina el período de tiempo (en días) en que puede usarse una contraseña antes de que el sistema solicite al usuario que la cambie. Puede establecer las contraseñas para que expiren tras un número de días comprendido entre 1 y 999, o puede especificar que las contraseñas no expiren nunca estableciendo el número de días en 0. Si la vigencia máxima de la contraseña está comprendida entre 1 y 999 días, la vigencia mínima deberá ser menor que la vigencia máxima. Si la vigencia máxima de la contraseña se establece en 0, la vigencia mínima de la contraseña podrá ser cualquier valor entre 0 y 998 días. Nota: como recomendación de seguridad, se aconseja hacer que las contraseñas expiren a los 30-90 días, en función del entorno. De este modo, un atacante contará con tiempo limitado para apropiarse la contraseña de un usuario y obtener acceso a los recursos de la red. El valor predeterminado: 42. Vigencia mínima de la contraseña: esta configuración de seguridad determina el período de tiempo (en días) en que debe usarse una contraseña antes de que el usuario pueda cambiarla. Puede establecer un valor entre 1 y 998 días, o puede permitir que se realicen cambios de forma inmediata estableciendo el número de días en 0. La vigencia mínima de la contraseña debe ser menor que la vigencia máxima de la contraseña, salvo que esta última esté establecida en 0, lo que indica que las contraseñas no expirarán nunca. Si la vigencia máxima se establece en 0, la vigencia mínima podrá establecerse en cualquier valor comprendido entre 0 y 998. Configure la vigencia mínima de la contraseña de modo que sea mayor que 0 si desea que sea efectiva la configuración Exigir historial de contraseñas. Sin una vigencia mínima, los usuarios pueden reutilizar las contraseñas repetidamente hasta llegar a una contraseña favorita antigua. La configuración predeterminada no sigue esta recomendación, de modo que un administrador puede especificar una contraseña para un usuario y, a continuación, pedir al usuario que la cambie cuando inicie sesión. Si el historial de contraseñas se establece en 0, el usuario no tiene que elegir una nueva contraseña. Esta es la razón de que Exigir historial de contraseñas se establezca en 1 de manera predeterminada. El valor predeterminado: 1 en controladores de dominio, 0 en servidores independientes. Agregarequipo con Windows XP a dominio Windows Server 2003 Para agregar un equipo con Microsoft Windows XP deberemos cumplir los requisitos del servidor y del equipo cliente indicados aquí y deberemos obtener los datos necesarios como explicamos aquí. Arrancaremos el equipo cliente con Microsoft Windows XP, iniciaremos sesión en el equipo con un usuario administrador del equipo local a ser posible. Accederemos al botón "Inicio" - "Panel de control": Juan Noé SG Página 20
Haremos doble clic en "Sistema" (también es posible con la combinación de teclas Windows + Pausa): Desde la pestaña "Nombre de equipo" pulsaremos en el botón "Cambiar": Juan Noé SG Página 21
En "Miembro de" marcaremos la opción "Dominio" e introduciremos el nombre del dominio Windows Server al que queremos agregar el equipo cliente, en nuestro caso "dominioajpdsoft.com". Pulsaremos "Aceptar": Juan Noé SG Página 22
Si hemos añadido el dominio correctamente nos solicitará usuario y contraseña. Introduciremos un usuario y contraseña del dominio con permisos suficientes para agregar un equipo. Para evitar problemas de permisos podremos usar un usuario del dominio miembro del grupo administradores: Si todo es correcto mostrará un mensaje con el texto "Bienvenido al dominio dominioajpdsoft.com": Juan Noé SG Página 23
Nos indicará con otro mensaje que debemos reiniciar el equipo para que los cambios tengan efecto: Pulsaremos "Aceptar" en la ventana de Propiedades del sistema: Juan Noé SG Página 24
Nos mostrará un cuadro de diálogo indicando si queremos reinciar ahora el equipo, pulsaremos "Sí" para reiniciarlo: Tras el primer reinicio nos solicitará usuario y contraseña, antes de introducirlo, pulsaremos en el botón "Opciones": En "Conectarse a" nos aparecerá el dominio al que hemos agregado el equipo, lo seleccionaremos. A partir de ahora deberemos introducir un usuario y contraseña del dominio (no del equipo local) por lo que debe estar creado en el servidor: Juan Noé SG Página 25
Tras introducir usuario y contraseña en la ventana anterior de Inicio de sesión de Windows el equipo realizará la comprobación de las credenciales (usuario y contraseña) en el equipo servidor controlador de dominio. En nuestro caso usaremos el usuario creado aquí llamado "facturacion". Si son correctas las credenciales se iniciará sesión: Puesto que hemos marcado para el usuario "facturacion" la opción de que en el próximo inicio de sesión se le solicite un cambio de contraseña, en el arranque nos mostrará este mensaje: Con el texto: Necesita cambiar su contraseña la primera vez que inicie la sesión. Introduciremos la nueva contraseña para el usuario "facturacion". Esta nueva contraseña sólo debe conocerla la persona que utilizará en adelante el usuario con el que se está iniciando sesión. Una vez cambiada, la contraseña quedará almacenada en el servidor controlador de dominio (Active Directory) y no en el equipo local: Juan Noé SG Página 26
Además, si hemos aplicado alguna directiva de contraseñas, obligaremos a los usuarios a cumplir con los requisitos de complejidad marcados por las directivas, si no los cumplen mostrará un mensaje como este (el mensaje variará en función de la directiva de seguridad infringida): Con el texto: La contraseña debe tener al menos 4 caracteres, no puede repetir ninguna de las 24 contraseñas anteriores y debe tener una antigüedad de al menos 1 días. Escriba una contraseña diferente. Escriba una contraseña que cumpla con estos requisitos en ambos cuadros de texto. Si todo es correcto, mostrará una aviso al usuario indicando que la contraseña se ha cambiado correctamente: Si es el primer inicio de sesión que se realiza en el equipo local con el usuario actual del dominio, se creará su perfil de usuario (escritorio y demás carpetas del perfil): Juan Noé SG Página 27
De esta forma, los usuarios y contraseñas quedarán guardados sólo en el servidor y no en los equipos locales. Además, por defecto, el usuario con el que se inicia sesión (creado en el servidor) por defecto será una cuenta limitada y en el equipo cliente agregado al dominio no podrá realizar tareas de administración. Por ejemplo, si volvemos a mostrar las Propiedades del sistema, veremos que no aparecen todas las opciones y algunas sólo aparecen para consulta y no son modificables: Juan Noé SG Página 28
Con esta medida evitaremos que un usuario pueda instalar software indeseado o innecesario, tampoco podrá modificar la configuración del equipo y será más difícil que el equipo sea infectado por un virus, pues el usuario con que se ha iniciado sesión, por defecto, es limitado. Esto redundará en un ahorro para la empresa en mantenimiento informático, con este método los equipos no necesitarán mantenimiento (limpieza de malware, spyware, adware, virus, etc.). Como ya hemos comentado, una vez que el equipo es miembro del dominio, se le aplicarán de forma automática las directivas que hayamos establecido en el servidor. A partir de este momento este equipo podrá ser administrado y configurado de forma automática y centralizada en el servidor. Se le aplicarán, por ejemplo, las directivas de contraseñaspara el usuario que inicia sesión. Tras agregar el equipo al dominio, aparecerá automáticamente "Computers", en "Usuarios y equipos de Active Directory": en Desde el servidor podremos aplicar directivas de seguridad tanto a los usuarios como a los equipos. A partir de este momento, cualquier usuario puede iniciar sesión en cualquier equipo de la empresa (siempre que esté agregado al dominio). Agregarequipo con Windows 7 a dominio Windows Server 2003 Para agregar un equipo con Microsoft Windows 7 a un dominio deberemos cumplir los requisitos del servidor y del equipo cliente indicados aquí y deberemos obtener los datos necesarios como explicamos aquí. Iniciaremos sesión en el equipo, a ser posible con un usuario con permisos de administrador. Pulsaremos en el botón "Iniciar" - "Panel de control": Juan Noé SG Página 29
Pulsaremos en "Sistema" (también podemos abrir esta ventana pulsando las teclas Windows + Pausa): En la ventana de Sistema, en la sección "Configuración de nombre, dominio y grupo de trabajo del equipo", pulsaremos en "Cambiar configuración": Juan Noé SG Página 30
En la pestaña "Nombre de equipo" de la ventana "Propiedades del sistema" pulsaremos en el botón "Cambiar": En "Miembro del" marcaremos "Dominio" e introduciremos el nombre del dominio, en nuestro caso "dominioajpdsoft.com". Pulsaremos en "Aceptar": Juan Noé SG Página 31
Si hemos añadido el dominio correctamente nos solicitará usuario y contraseña. Introduciremos un usuario y contraseña del dominio con permisos suficientes para agregar un equipo. Para evitar problemas de permisos podremos usar un usuario del dominio miembro del grupo administradores: Si todo es correcto, nos mostrará un mensaje con el texto "Se unió correctamente al dominio dominioajpdsoft.com": Juan Noé SG Página 32
Nos avisará de que debemos reiniciar el equipo para aplicar los cambios: Pulsaremos "Aceptar" en la ventana de Propiedades del sistema: Juan Noé SG Página 33
Pulsaremos "Reiniciar ahora" definitivamente al dominio: para reinciar el equipo y agregarlo Tras el arranque del equipo, pulsaremos Control + Alt + Supr: Juan Noé SG Página 34
Para iniciar sesió por primera vez validando en el dominio pulsaremos en "Cambiar de usuario": Pulsaremos en "Otro usuario": Juan Noé SG Página 35
Introduciremos un usuario existente en el servidor con Active Directory, en la parte inferior nos indicará el dominio donde se iniciará sesión: "Iniciar sesión en: AJPDSOFT". Si queremos cambiar el dominio usaremos la nomenclatura: nombre_usuario@nombre_dominio Por ejemplo, para iniciar sesión con el usuario "alonso" en el dominio "ajpdsoft" introduciríamos "alonso@ajpdsoft". Introduciremos usuario y contraseña y pulsaremos en la flecha o INTRO para iniciar sesión: Juan Noé SG Página 36
Nota: volvemos a repetir que este usuario y contraseña no existen en el equipo local sino en el dominio de Windows Server. Por ello se aplicarán las directivas establecidas en el dominio para el usuario de caducidad de contraseña, complejidad, cifrado, historial, etc. Y ya tendremos el equipo validado en el dominio y podremos iniciar sesión con un usuario de Active Directory: Juan Noé SG Página 37
En el servidor con Windows Server 2003 controlador de dominio, en Usuarios y equipos de Active Directory podremos ver el equipo agregado, en "Computers": Recomendaciones importantes para los equipos clientes agregados al dominio Windows Una de las recomendaciones más importantes para los equipos clientes validados (agregados) en el dominio Windows Server es deshabilitar los usuarios locales de los equipos. Si no deshabilitamos los usuarios locales cualquier persona podría iniciar sesión sin validar en el equipo, algo que no es recomendable. En el caso de un equipo con Microsoft Windows 7 pulsaremos en el botón "Iniciar", en "Equipo" pulsaremos con el botón derecho del ratón y seleccionaremso "Administrar": Juan Noé SG Página 38
En la ventana de Administración de equipos seleccionaremos "Herramientas del sistema" - "Usuarios y grupos locales" - "Usuarios", en la parte derecha aparecerán todos los usuarios del equipo local, para deshabilitarlos y que no puedan ser usados pulsaremos con el botón derecho del ratón sobre ellos (uno a uno), seleccionaremos "Propiedades": En la pestaña "General" marcaremos la opción "La cuenta está deshabilitada" y pulsaremos "Aceptar": Juan Noé SG Página 39
Con esto impediremos que una persona pueda iniciar sesión con un usuario local del equipo y lo obligamos a que valide siempre con un usuario del dominio. Por seguridad recomendamos que también se deshabilite el usuario administrador. Por tareas de mantenimiento, para los administradores de los equipos, podríamos crear un usuario local en todos los equipos, hacerlo miembro del grupo de seguridad "Administradores" y establecer una contraseña segura que ningún usuario sepa (salvo los administradores del sistema). De esta forma tendremos un usuario local en todos los equipos con el mismo nombre por si en algún momento queremos sacar el equipo del dominio o por si la red falla y no tenemos acceso al servidor, en este caso sólo se podría iniciar sesión sin validar en el dominio, de forma local con este usuario. Por último, hay que tener en cuenta que las versiones de "Home" de Windows XP, Windows Vista y Windows 7 no permiten validación en dominio Windows. Estas versiones de estos sistemas operativos no sirven para ser agregadas a un dominio. Windows 8 a server 2008 Juan Noé SG Página 40
En la ventana de Sistema, en la sección "Configuración de nombre, dominio y grupo de trabajo del equipo", pulsaremos en "Cambiar configuración": En la pestaña "Nombre de equipo" de la ventana "Propiedades del sistema" pulsaremos en el botón "Cambiar": En "Miembro del" marcaremos "Dominio" e introduciremos el nombre del dominio, en nuestro caso "dominioajpdsoft.com". Pulsaremos en "Aceptar": Juan Noé SG Página 41
Si hemos añadido el dominio correctamente nos solicitará usuario y contraseña. Introduciremos un usuario y contraseña del dominio con permisos suficientes para agregar un equipo. Para evitar problemas de permisos podremos usar un usuario del dominio miembro del grupo administradores: Si todo es correcto, nos mostrará un mensaje con el texto "Se unió correctamente al dominio dominioajpdsoft.com": Nos avisará de que debemos reiniciar el equipo para aplicar los cambios: Juan Noé SG Página 42
Pulsaremos "Aceptar" en la ventana de Propiedades del sistema: Pulsaremos "Reiniciar ahora" definitivamente al dominio: para reinciar el equipo y agregarlo Para iniciar sesió por primera vez validando en el dominio pulsaremos en "la flecha": Pulsaremos en "Otro usuario": Juan Noé SG Página 43
Introduciremos un usuario existente en el servidor con Active Directory, en la parte inferior nos indicará el dominio donde se iniciará sesión: "Iniciar sesión en: AJPDSOFT". Si queremos cambiar el dominio usaremos la nomenclatura: nombre_usuario/nombre_dominio Por ejemplo, para iniciar sesión con el usuario "alonso" en el dominio "ajpdsoft" introduciríamos "Alonso/ajpdsoft". Introduciremos usuario y contraseña y pulsaremos en la flecha o INTRO para iniciar sesión: Nota: volvemos a repetir que este usuario y contraseña no existen en el equipo local sino en el dominio de Windows Server. Por ello se aplicarán las directivas establecidas en el dominio para el usuario de caducidad de contraseña, complejidad, cifrado, historial, etc. Y ya tendremos el equipo validado en el dominio y podremos iniciar sesión con un usuario de Active Directory: WINDOWS SERVER 2008 Y WINDOWS VISTA El requisito mínimo requerido para completar este procedimiento es la pertenencia al grupo Usuarios del dominio o un grupo equivalente. Para unirse a equipos que ejecutan Windows Server 2008 y Windows Vista al dominio Juan Noé SG Página 44
1. Inicie sesión en el equipo con la cuenta de administrador local. 2. Haga clic en Inicio, haga clic con el botón secundario en Equipo y, después, haga clic en Propiedades. Se abrirá el cuadro de diálogo Sistema. 3. En Configuración de nombre, dominio y grupo de trabajo del equipo, haga clic en Cambiar la configuración. Se abrirá el cuadro de diálogoPropiedades del sistema. Nota En los equipos que ejecutan Windows® 7, antes de que se abra el cuadro de diálogo Propiedades del sistema, se abre el cuadro de diálogoControl de cuentas de usuario, que solicita permiso para continuar. Haga clic en Continuar para proceder. 4. Haga clic en Cambiar. Se abrirá el cuadro de diálogo Cambios en el dominio o el nombre del equipo. 5. En Nombre del equipo, en Miembro de, seleccione Dominio y, a continuación, escriba el nombre del dominio al que quiere unirse. Por ejemplo, si el nombre del dominio es ejemplo.com, escriba ejemplo.com. 6. Haga clic en Aceptar. Se abrirá el cuadro de diálogo Seguridad de Windows. 7. En Cambios en el dominio o el nombre del equipo, en Nombre de usuario escriba el nombre del usuario y en Contraseña escriba la contraseña; a continuación, haga clic en Aceptar. Se abrirá el cuadro de diálogo Cambios en el dominio o el nombre del equipo y le dará la bienvenida al dominio. Haga clic en Aceptar. 8. El cuadro de diálogo Cambios en el dominio o el nombre del equipo muestra un mensaje que le indica que debe reiniciar el equipo para aplicar los cambios. Haga clic en Aceptar. 9. En el cuadro de diálogo Propiedades del sistema, en la pestaña Nombre del equipo, haga clic en Cerrar. Se abrirá el cuadro de diálogo Microsoft Windows y mostrará un mensaje que le indicará nuevamente que debe reiniciar el equipo para aplicar los cambios. Haga clic en Reiniciar ahora. Juan Noé SG Página 45

Recomendados

5 Network Security Threats Facing Businesses Today
5 Network Security Threats Facing Businesses Today5 Network Security Threats Facing Businesses Today
5 Network Security Threats Facing Businesses TodayVelocity Network Solutions
 
Active Directory
Active DirectoryActive Directory
Active DirectoryHameda Hurmat
 
Protecting the Organization - Cisco: Intro to Cybersecurity Chap-4
Protecting the Organization - Cisco: Intro to Cybersecurity Chap-4Protecting the Organization - Cisco: Intro to Cybersecurity Chap-4
Protecting the Organization - Cisco: Intro to Cybersecurity Chap-4Mukesh Chinta
 
Presentacion servidores
Presentacion servidoresPresentacion servidores
Presentacion servidoresejrendonp01
 
Security & protection in operating system
Security & protection in operating systemSecurity & protection in operating system
Security & protection in operating systemAbou Bakr Ashraf
 
ACTIVE-DIRECTORY.ppt
ACTIVE-DIRECTORY.pptACTIVE-DIRECTORY.ppt
ACTIVE-DIRECTORY.pptmwti2
 
Protection and security
Protection and securityProtection and security
Protection and securitymbadhi
 
Instalación e Introducción básica de Windows Server 2012
Instalación e Introducción básica de Windows Server 2012Instalación e Introducción básica de Windows Server 2012
Instalación e Introducción básica de Windows Server 2012Moisés Elías Araya
 

Recomendados

5 Network Security Threats Facing Businesses Today
5 Network Security Threats Facing Businesses Today5 Network Security Threats Facing Businesses Today
5 Network Security Threats Facing Businesses TodayVelocity Network Solutions
 
Active Directory
Active DirectoryActive Directory
Active DirectoryHameda Hurmat
 
Protecting the Organization - Cisco: Intro to Cybersecurity Chap-4
Protecting the Organization - Cisco: Intro to Cybersecurity Chap-4Protecting the Organization - Cisco: Intro to Cybersecurity Chap-4
Protecting the Organization - Cisco: Intro to Cybersecurity Chap-4Mukesh Chinta
 
Presentacion servidores
Presentacion servidoresPresentacion servidores
Presentacion servidoresejrendonp01
 
Security & protection in operating system
Security & protection in operating systemSecurity & protection in operating system
Security & protection in operating systemAbou Bakr Ashraf
 
ACTIVE-DIRECTORY.ppt
ACTIVE-DIRECTORY.pptACTIVE-DIRECTORY.ppt
ACTIVE-DIRECTORY.pptmwti2
 
Protection and security
Protection and securityProtection and security
Protection and securitymbadhi
 
Instalación e Introducción básica de Windows Server 2012
Instalación e Introducción básica de Windows Server 2012Instalación e Introducción básica de Windows Server 2012
Instalación e Introducción básica de Windows Server 2012Moisés Elías Araya
 
Mail server using Linux(Ubuntu)
Mail server using Linux(Ubuntu)Mail server using Linux(Ubuntu)
Mail server using Linux(Ubuntu)Navjot Navi
 
Introduction_of_ADDS
Introduction_of_ADDSIntroduction_of_ADDS
Introduction_of_ADDSHarsh Sethi
 
Computer viruses
Computer virusesComputer viruses
Computer virusesPRANJAL SAIKIA
 
Instalación de software comercial.
Instalación de software comercial.Instalación de software comercial.
Instalación de software comercial.Obed Isai
 
Comparticion de recursos- Sistemas Distribuidos
Comparticion de recursos- Sistemas Distribuidos Comparticion de recursos- Sistemas Distribuidos
Comparticion de recursos- Sistemas Distribuidos Freddy Hugo Estupiñan Batalla
 
Program and System Threats
Program and System ThreatsProgram and System Threats
Program and System ThreatsReddhi Basu
 
Cloud computing kb gupta
Cloud computing kb guptaCloud computing kb gupta
Cloud computing kb guptaShivalik college of engineering
 
Computer viruses
Computer virusesComputer viruses
Computer virusesSanjana Jain
 
Configuring and administrate server
Configuring and administrate serverConfiguring and administrate server
Configuring and administrate serverGera Paulos
 
Ch02 System Threats and Risks
Ch02 System Threats and RisksCh02 System Threats and Risks
Ch02 System Threats and RisksInformation Technology
 
Cisco Cybersecurity Essential cap 4
Cisco Cybersecurity Essential cap 4Cisco Cybersecurity Essential cap 4
Cisco Cybersecurity Essential cap 4Daniel Oscar Fortin
 
Google drive trabajo practico numero 4
Google drive trabajo practico numero 4Google drive trabajo practico numero 4
Google drive trabajo practico numero 4Leonel Tomelin
 
MySQL y XAMPP
MySQL y XAMPPMySQL y XAMPP
MySQL y XAMPPFRANKLIN DAVILA TORRES
 
Active directory domain services
Active directory domain servicesActive directory domain services
Active directory domain servicesIGZ Software house
 
Threat Actors - Vietnam (OceansLotus).pptx
Threat Actors - Vietnam (OceansLotus).pptxThreat Actors - Vietnam (OceansLotus).pptx
Threat Actors - Vietnam (OceansLotus).pptxMALCOMNORONHA1
 
Virus and worms
Virus and wormsVirus and worms
Virus and wormsVikas Sharma
 
SERVIDORES – WINDOWS SERVER
SERVIDORES – WINDOWS SERVER SERVIDORES – WINDOWS SERVER
SERVIDORES – WINDOWS SERVER BenjaminAnilema
 
How to install adobe dreamweaver 4
How to install adobe dreamweaver 4How to install adobe dreamweaver 4
How to install adobe dreamweaver 4Jahid Blackrose
 
Microsoft Offical Course 20410C_02
Microsoft Offical Course 20410C_02Microsoft Offical Course 20410C_02
Microsoft Offical Course 20410C_02gameaxt
 
Computer virus
Computer virusComputer virus
Computer virusHemn Amin
 
Unión Cliente a Dominio Windows Server 2012 R2
Unión Cliente a Dominio Windows Server 2012 R2Unión Cliente a Dominio Windows Server 2012 R2
Unión Cliente a Dominio Windows Server 2012 R2cyberleon95
 
Guía para agregar clientes al dominio (máquinas virtuales)
Guía para agregar clientes al dominio (máquinas virtuales)Guía para agregar clientes al dominio (máquinas virtuales)
Guía para agregar clientes al dominio (máquinas virtuales)Yeni ChT
 

Mais conteúdo relacionado

Mais procurados

Mail server using Linux(Ubuntu)
Mail server using Linux(Ubuntu)Mail server using Linux(Ubuntu)
Mail server using Linux(Ubuntu)Navjot Navi
 
Introduction_of_ADDS
Introduction_of_ADDSIntroduction_of_ADDS
Introduction_of_ADDSHarsh Sethi
 
Instalación de software comercial.
Instalación de software comercial.Instalación de software comercial.
Instalación de software comercial.Obed Isai
 
Program and System Threats
Program and System ThreatsProgram and System Threats
Program and System ThreatsReddhi Basu
 
Configuring and administrate server
Configuring and administrate serverConfiguring and administrate server
Configuring and administrate serverGera Paulos
 
Cisco Cybersecurity Essential cap 4
Cisco Cybersecurity Essential cap 4Cisco Cybersecurity Essential cap 4
Cisco Cybersecurity Essential cap 4Daniel Oscar Fortin
 
Google drive trabajo practico numero 4
Google drive trabajo practico numero 4Google drive trabajo practico numero 4
Google drive trabajo practico numero 4Leonel Tomelin
 
Active directory domain services
Active directory domain servicesActive directory domain services
Active directory domain servicesIGZ Software house
 
Threat Actors - Vietnam (OceansLotus).pptx
Threat Actors - Vietnam (OceansLotus).pptxThreat Actors - Vietnam (OceansLotus).pptx
Threat Actors - Vietnam (OceansLotus).pptxMALCOMNORONHA1
 
SERVIDORES – WINDOWS SERVER
SERVIDORES – WINDOWS SERVER SERVIDORES – WINDOWS SERVER
SERVIDORES – WINDOWS SERVER BenjaminAnilema
 
How to install adobe dreamweaver 4
How to install adobe dreamweaver 4How to install adobe dreamweaver 4
How to install adobe dreamweaver 4Jahid Blackrose
 
Microsoft Offical Course 20410C_02
Microsoft Offical Course 20410C_02Microsoft Offical Course 20410C_02
Microsoft Offical Course 20410C_02gameaxt
 
Computer virus
Computer virusComputer virus
Computer virusHemn Amin
 

Mais procurados (20)

Mail server using Linux(Ubuntu)
Mail server using Linux(Ubuntu)Mail server using Linux(Ubuntu)
Mail server using Linux(Ubuntu)
 
Introduction_of_ADDS
Introduction_of_ADDSIntroduction_of_ADDS
Introduction_of_ADDS
 
Computer viruses
Computer virusesComputer viruses
Computer viruses
 
Instalación de software comercial.
Instalación de software comercial.Instalación de software comercial.
Instalación de software comercial.
 
Comparticion de recursos- Sistemas Distribuidos
Comparticion de recursos- Sistemas Distribuidos Comparticion de recursos- Sistemas Distribuidos
Comparticion de recursos- Sistemas Distribuidos
 
Program and System Threats
Program and System ThreatsProgram and System Threats
Program and System Threats
 
Cloud computing kb gupta
Cloud computing kb guptaCloud computing kb gupta
Cloud computing kb gupta
 
Computer viruses
Computer virusesComputer viruses
Computer viruses
 
Configuring and administrate server
Configuring and administrate serverConfiguring and administrate server
Configuring and administrate server
 
Ch02 System Threats and Risks
Ch02 System Threats and RisksCh02 System Threats and Risks
Ch02 System Threats and Risks
 
Cisco Cybersecurity Essential cap 4
Cisco Cybersecurity Essential cap 4Cisco Cybersecurity Essential cap 4
Cisco Cybersecurity Essential cap 4
 
Google drive trabajo practico numero 4
Google drive trabajo practico numero 4Google drive trabajo practico numero 4
Google drive trabajo practico numero 4
 
MySQL y XAMPP
MySQL y XAMPPMySQL y XAMPP
MySQL y XAMPP
 
Active directory domain services
Active directory domain servicesActive directory domain services
Active directory domain services
 
Threat Actors - Vietnam (OceansLotus).pptx
Threat Actors - Vietnam (OceansLotus).pptxThreat Actors - Vietnam (OceansLotus).pptx
Threat Actors - Vietnam (OceansLotus).pptx
 
Virus and worms
Virus and wormsVirus and worms
Virus and worms
 
SERVIDORES – WINDOWS SERVER
SERVIDORES – WINDOWS SERVER SERVIDORES – WINDOWS SERVER
SERVIDORES – WINDOWS SERVER
 
How to install adobe dreamweaver 4
How to install adobe dreamweaver 4How to install adobe dreamweaver 4
How to install adobe dreamweaver 4
 
Microsoft Offical Course 20410C_02
Microsoft Offical Course 20410C_02Microsoft Offical Course 20410C_02
Microsoft Offical Course 20410C_02
 
Computer virus
Computer virusComputer virus
Computer virus
 

Destaque

Unión Cliente a Dominio Windows Server 2012 R2
Unión Cliente a Dominio Windows Server 2012 R2Unión Cliente a Dominio Windows Server 2012 R2
Unión Cliente a Dominio Windows Server 2012 R2cyberleon95
 
Guía para agregar clientes al dominio (máquinas virtuales)
Guía para agregar clientes al dominio (máquinas virtuales)Guía para agregar clientes al dominio (máquinas virtuales)
Guía para agregar clientes al dominio (máquinas virtuales)Yeni ChT
 
Instalación y Configuración Active Directory en Windows Server 2012 R2
Instalación y Configuración Active Directory en Windows Server 2012 R2Instalación y Configuración Active Directory en Windows Server 2012 R2
Instalación y Configuración Active Directory en Windows Server 2012 R2cyberleon95
 
Guía win2012 ad-dns-dhcp
Guía win2012 ad-dns-dhcpGuía win2012 ad-dns-dhcp
Guía win2012 ad-dns-dhcpCarlos Mojica
 
Configurar red domestica Windows 7 Professional
Configurar red domestica Windows 7 ProfessionalConfigurar red domestica Windows 7 Professional
Configurar red domestica Windows 7 Professionalcosmotheoro
 
Paso a paso como crear un usuario en el directorio activo de windows server 2012
Paso a paso como crear un usuario en el directorio activo de windows server 2012Paso a paso como crear un usuario en el directorio activo de windows server 2012
Paso a paso como crear un usuario en el directorio activo de windows server 2012cacs Correa
 
Upgrading from Windows Server 2008 / 2008 R2 to Windows Server 2012
Upgrading from Windows Server 2008 / 2008 R2 to Windows Server 2012Upgrading from Windows Server 2008 / 2008 R2 to Windows Server 2012
Upgrading from Windows Server 2008 / 2008 R2 to Windows Server 2012Harold Wong
 
Presentación Servidor DHCP
Presentación Servidor DHCP Presentación Servidor DHCP
Presentación Servidor DHCP Jhonatan Renteria
 
Active Directory Domain Services Installation & Configuration - Windows Ser...
Active Directory Domain Services Installation & Configuration - Windows Ser...Active Directory Domain Services Installation & Configuration - Windows Ser...
Active Directory Domain Services Installation & Configuration - Windows Ser...Adel Alghamdi
 
Manual de instalación y administración de active directory en windows server ...
Manual de instalación y administración de active directory en windows server ...Manual de instalación y administración de active directory en windows server ...
Manual de instalación y administración de active directory en windows server ...camilaml
 
Manual configuración GPO
Manual configuración GPOManual configuración GPO
Manual configuración GPOcyberleon95
 

Destaque (12)

Unión Cliente a Dominio Windows Server 2012 R2
Unión Cliente a Dominio Windows Server 2012 R2Unión Cliente a Dominio Windows Server 2012 R2
Unión Cliente a Dominio Windows Server 2012 R2
 
Guía para agregar clientes al dominio (máquinas virtuales)
Guía para agregar clientes al dominio (máquinas virtuales)Guía para agregar clientes al dominio (máquinas virtuales)
Guía para agregar clientes al dominio (máquinas virtuales)
 
Instalación y Configuración Active Directory en Windows Server 2012 R2
Instalación y Configuración Active Directory en Windows Server 2012 R2Instalación y Configuración Active Directory en Windows Server 2012 R2
Instalación y Configuración Active Directory en Windows Server 2012 R2
 
MANUAL COBIAN
MANUAL COBIANMANUAL COBIAN
MANUAL COBIAN
 
Guía win2012 ad-dns-dhcp
Guía win2012 ad-dns-dhcpGuía win2012 ad-dns-dhcp
Guía win2012 ad-dns-dhcp
 
Configurar red domestica Windows 7 Professional
Configurar red domestica Windows 7 ProfessionalConfigurar red domestica Windows 7 Professional
Configurar red domestica Windows 7 Professional
 
Paso a paso como crear un usuario en el directorio activo de windows server 2012
Paso a paso como crear un usuario en el directorio activo de windows server 2012Paso a paso como crear un usuario en el directorio activo de windows server 2012
Paso a paso como crear un usuario en el directorio activo de windows server 2012
 
Upgrading from Windows Server 2008 / 2008 R2 to Windows Server 2012
Upgrading from Windows Server 2008 / 2008 R2 to Windows Server 2012Upgrading from Windows Server 2008 / 2008 R2 to Windows Server 2012
Upgrading from Windows Server 2008 / 2008 R2 to Windows Server 2012
 
Presentación Servidor DHCP
Presentación Servidor DHCP Presentación Servidor DHCP
Presentación Servidor DHCP
 
Active Directory Domain Services Installation & Configuration - Windows Ser...
Active Directory Domain Services Installation & Configuration - Windows Ser...Active Directory Domain Services Installation & Configuration - Windows Ser...
Active Directory Domain Services Installation & Configuration - Windows Ser...
 
Manual de instalación y administración de active directory en windows server ...
Manual de instalación y administración de active directory en windows server ...Manual de instalación y administración de active directory en windows server ...
Manual de instalación y administración de active directory en windows server ...
 
Manual configuración GPO
Manual configuración GPOManual configuración GPO
Manual configuración GPO
 

Semelhante a Agregar equipos a dominio Windows

Proyecto final admistracion de redes
Proyecto final admistracion de redesProyecto final admistracion de redes
Proyecto final admistracion de redeskare26
 
Proyecto final de Windows Server 2008 U Otima
Proyecto final de Windows Server 2008 U OtimaProyecto final de Windows Server 2008 U Otima
Proyecto final de Windows Server 2008 U Otimabubba0204
 
Características de windows server 2008
Características de windows server 2008Características de windows server 2008
Características de windows server 2008DC03
 
instalacion de servidores
instalacion de servidores instalacion de servidores
instalacion de servidores kellyapolo
 
instalacion de servidores de red
instalacion de servidores de red instalacion de servidores de red
instalacion de servidores de red kellyapolo
 
Unir windows xp, visa, 7 y 8 con server 2008
Unir windows xp, visa, 7 y 8 con server 2008Unir windows xp, visa, 7 y 8 con server 2008
Unir windows xp, visa, 7 y 8 con server 2008dovalos
 
Manual de Instalacion y Configuracion de WSUS
Manual de Instalacion y Configuracion de WSUSManual de Instalacion y Configuracion de WSUS
Manual de Instalacion y Configuracion de WSUSK-milo Rivera
 
Implementación Auditoria Windows Server 2008 R2
Implementación Auditoria Windows Server 2008 R2Implementación Auditoria Windows Server 2008 R2
Implementación Auditoria Windows Server 2008 R2RaGaZoMe
 
Servidores windows
Servidores windowsServidores windows
Servidores windowsrulo182
 

Semelhante a Agregar equipos a dominio Windows (20)

QUE ES SERVER
QUE ES SERVERQUE ES SERVER
QUE ES SERVER
 
Lot
LotLot
Lot
 
Lot
LotLot
Lot
 
Proyecto final admistracion de redes
Proyecto final admistracion de redesProyecto final admistracion de redes
Proyecto final admistracion de redes
 
Seguimiento de clase
Seguimiento de claseSeguimiento de clase
Seguimiento de clase
 
Redes Locales 3
Redes Locales 3Redes Locales 3
Redes Locales 3
 
5 redes locales
5 redes locales5 redes locales
5 redes locales
 
Redes Locales 3
Redes Locales 3Redes Locales 3
Redes Locales 3
 
Proyecto final de Windows Server 2008 U Otima
Proyecto final de Windows Server 2008 U OtimaProyecto final de Windows Server 2008 U Otima
Proyecto final de Windows Server 2008 U Otima
 
Características de windows server 2008
Características de windows server 2008Características de windows server 2008
Características de windows server 2008
 
instalacion de servidores
instalacion de servidores instalacion de servidores
instalacion de servidores
 
instalacion de servidores de red
instalacion de servidores de red instalacion de servidores de red
instalacion de servidores de red
 
Windows server 2008
Windows server 2008Windows server 2008
Windows server 2008
 
Práctica 7
Práctica 7Práctica 7
Práctica 7
 
Unir windows xp, visa, 7 y 8 con server 2008
Unir windows xp, visa, 7 y 8 con server 2008Unir windows xp, visa, 7 y 8 con server 2008
Unir windows xp, visa, 7 y 8 con server 2008
 
Manual de Instalacion y Configuracion de WSUS
Manual de Instalacion y Configuracion de WSUSManual de Instalacion y Configuracion de WSUS
Manual de Instalacion y Configuracion de WSUS
 
Requisitos jin
Requisitos jinRequisitos jin
Requisitos jin
 
13 active directoryasoitsona
13 active directoryasoitsona13 active directoryasoitsona
13 active directoryasoitsona
 
Implementación Auditoria Windows Server 2008 R2
Implementación Auditoria Windows Server 2008 R2Implementación Auditoria Windows Server 2008 R2
Implementación Auditoria Windows Server 2008 R2
 
Servidores windows
Servidores windowsServidores windows
Servidores windows
 

Mais de toboreon

Poner usuarios y agregar equipos
Poner usuarios y agregar equiposPoner usuarios y agregar equipos
Poner usuarios y agregar equipostoboreon
 
Activacion de los cervicios de domino, desde la instalacion de windows server...
Activacion de los cervicios de domino, desde la instalacion de windows server...Activacion de los cervicios de domino, desde la instalacion de windows server...
Activacion de los cervicios de domino, desde la instalacion de windows server...toboreon
 
software axiliar
software axiliarsoftware axiliar
software axiliartoboreon
 
Fuente de poder
Fuente de poderFuente de poder
Fuente de podertoboreon
 
Diplomado manrenimiento
Diplomado manrenimientoDiplomado manrenimiento
Diplomado manrenimientotoboreon
 
Terminacion del tutorial juan noe s.g
Terminacion del tutorial juan noe s.gTerminacion del tutorial juan noe s.g
Terminacion del tutorial juan noe s.gtoboreon
 

Mais de toboreon (6)

Poner usuarios y agregar equipos
Poner usuarios y agregar equiposPoner usuarios y agregar equipos
Poner usuarios y agregar equipos
 
Activacion de los cervicios de domino, desde la instalacion de windows server...
Activacion de los cervicios de domino, desde la instalacion de windows server...Activacion de los cervicios de domino, desde la instalacion de windows server...
Activacion de los cervicios de domino, desde la instalacion de windows server...
 
software axiliar
software axiliarsoftware axiliar
software axiliar
 
Fuente de poder
Fuente de poderFuente de poder
Fuente de poder
 
Diplomado manrenimiento
Diplomado manrenimientoDiplomado manrenimiento
Diplomado manrenimiento
 
Terminacion del tutorial juan noe s.g
Terminacion del tutorial juan noe s.gTerminacion del tutorial juan noe s.g
Terminacion del tutorial juan noe s.g
 

Agregar equipos a dominio Windows

  • 1. COMO UNIR WINDOWS XP VISTA Ó WINDOWS 7,8 A UN DOMINIO WINDOWS SERVER 2008, 2003. ¿Por qué agregar equipos cliente con Windows XP ó Windows 7 a un dominio Windows Server 2003 ó Windows Server 2008? Windows vista y 8 con server 2008. En una organización con 10 ó más equipos es recomendable disponer de un dominio Windows con al menos un servidor controlador de dominio con Windows Server 2000, Windows Server 2003 ó Windows Server 2008 y todos los equipos agregados a este dominio. La ventaja principal es que, de esta forma, es posible aplicar directivas de seguridad y configuración a los equipos de nuestra organización de forma automática y centralizada. Así podremos tener los equipos clientes "controlados" sin necesidad de ir equipo por equipo aplicando las políticas de seguridad y configuración. Otra gran ventaja de disponer de un dominio Windows es que nos ayudará a cumplir la Ley de Protección de Datos (LOPD) pues, al validar los equipos en el dominio Windows, los usuarios y contraseñas se "almacenan" en el servidor y no en el equipo cliente. De esta forma es posible, mediante directivas, controlar la caducidad de contraseñas, la fortaleza de contraseñas y auditar los accesos (aciertos y fallos). Todo ello de forma centraliza en el servidor (o servidores) controladores del dominio. Por el motivo anterior, conseguimos otra ventaja y es que, dado que los usuarios y contraseñas quedan almacenadas en el servidor controlador de dominio (o servidores) cualquier usuario podrá iniciar sesión en cualquier equipo de la organización sin que se haya creado el usuario en el equipo local, puesto que los equipos agregados al dominio realizan la validación (comprobación de las credenciales de usuario y contraseña) en el servidor y no en el equipo local. Esto supone una gran ventaja pues nos evitará tener que crear las cuentas de usuario que vayan a usar el equipo en el propio equipo, mejorando así la movilidad. Por supuesto, para que este método sea lo más adecuado posible lo "ideal" es que todos los datos de los usuarios residan en un servidor de almacenamiento y no en el equipo local. Así cualquier usuario podrá acceder a sus datos desde cualquier equipo de la organización. Por ejemplo, el tener un dominio y los equipos (PCs) de los usuarios agregados en este dominio permite en nuestra organización aplicar una política de homogeneización de la configuración de los equipos cliente: fondo de escritorio (papel tapiz) con el logotipo de la empresa, página de inicio del navegador oficial de la organización, uso obligatorio de un proxy de red, denegar el acceso a dispositivos de almacenamiento extraíbles (para evitar propagación de los típicos virus de autorun en pendrives), ejecutar scripts de configuración al inicio y al finalizar la sesión, instalar (distribuir) aplicaciones de forma desatendida en los equipos cliente agregados al dominio, impedir el uso de determinadas Juan Noé SG Página 1
  • 2. aplicaciones, ... Todo ello de forma centralizada, desde el servidor, aplicando las directivas oportunas, sin necesidad de acceder ni físicamente ni por control remoto a los equipos clientes. Sin duda son muchas las ventajas de disponer de un dominio Windows y todos los equipos de la organización validados (agregados) en él. Para indicar alguna desventaja, podríamos decir que, puesto que es necesario un equipo servidor (al menos) con Windows Server 2003 ó Windows Server 2008 se necesitará un desembolso económico en hardware (un servidor, aunque este servicio no necesita muchos recursos) y en licencias del sistema operativo. Para una organización con unos 300 equipos clientes es recomendable que el servidor de Windows Server 2003 / 2008 sea dedicado, es decir, que sólo se use con este fin: dominio de Windows (promocionado a controlador de dominio con Active Directory). Aunque con unos 300 usuarios también es recomendable disponer de un segundo controlador de dominio para mantener una copia del catálogo global (base de datos de Active Directory). Otra desventaja de disponer de un dominio y los equipos agregados y validados en él es que si sólo disponemos de un servidor controlador de dominio y éste sufre una caída (por avería física, por "cuelgue" del sistema operativo o por avería de la electrónica de red) los usuarios que intenten validar (iniciar sesión) en sus equipos no podrán hacerlo pues el controlador de dominio para validación del usuario y contraseña no estará disponible. Por ello recomendamos disponer de dos controladores de dominio (al menos), el "secundario" podría dedicarse a otro fin además de la validación (almacenamiento de datos, servidor de base de datos, etc.). Requisitos iniciales para validación en dominio Windows Server Servidor con Windows Server 2003 ó Windows Server 2008 El primer requisito indispensable para que los equipos de los usuarios de nuestra organización sean agregados a un dominio Windows es, precisamente, disponer de uno o varios servidores pertenecientes a un dominio Windows con un controlador de dominio y Active Directory. En el siguiente artículo explicamos cómo instalar el sistema operativoMicrosoft Windows Server 2003, necesario para montar un dominio Windows: Instalar Windows Server 2003 Enterprise En este otro artículo explicamos cómo instalar Windows Server 2008 que también sirve, por supuesto, para montar un dominio Windows: Instalar y testear Windows Server 2008 Enterprise Release Candidate Juan Noé SG Página 2
  • 3. Servidor promocionado a controlador de dominio (Active Directory) El servidor con Windows Server 2003 ó Windows Server 2008 debe estar promocionado a controlador de dominio. En el siguiente artículo explicamos cómo promocionar un servidor con Windows Server 2003 a controlador de dominio (Active Directory), requisito necesario para montar un dominio Windows, pues al promocionar un equipo a controlador de dominio, si es el primero, se creará el dominio para validar los equipos: Promocionar el servidor a Controlador de Dominio (Active Directory) Disponer de una red LAN y todos los equipos conectados a la red, incluido el servidor Otro de los requisitos evidentes es disponer de una red LAN y todos los equipos conectados a la misma red que los servidores, pues a partir de ahora la identificación de usuario (validación de crendenciales) se realizará a través de la red en el servidor y no en el equipo cliente. Servidor de DNS, configuración de red, equipo controlador de dominio El equipo servidor promocionado a controlador de dominio con Active Directory, con el que hemos creado el dominio Windows, debe ser servidor de DNS (es lo recomendable). Si el servidor no tiene activo este servicio o si no lo tenemos en otro servidor lo podemos activar desde "Agregar o quitar programas", pulsando en "Agregar o quitar componentes de Windows": Juan Noé SG Página 3
  • 4. Seleccionaremos "Servicios de red" y pulsaremos "Detalles": Marcaremos el subcomponente "Sistema de nombres de dominio (DNS)" y pulsaremos "Aceptar" (es posible que nos solicite el CD de instalación de Windows Server 2003): Juan Noé SG Página 4
  • 5. Tras instalar el servicio de Servidor de DNS, desde el menú "Inicio" "Herramientas administrativas" podremos seleccionar "DNS": Desde donde podremos ver el estado y configurar el servidor de DNS (DomainNameSystem) que traduce nombres de equipo DNS en direcciones IP: zonas de búsqueda directa, zonas de búsqueda inversa, sucesos de DNS: Juan Noé SG Página 5
  • 6. Por supuesto, el servidor controlador de dominio no debe tener activada la opción de "Obtener una dirección IP automáticamente", debe tener una IP fija (estática), por ejemplo 192.168.1.125. Además, este servidor, como servidor de DNS preferido en laconfiguración de la red tendrá su propia IP pues él mismo es servidor de DNS: Configuración de red equipo cliente Juan Noé SG Página 6
  • 7. Es muy recomendable que los equipos clientes tengan como DNS primaria la IP del servidor controlador de dominio (que será servidor de DNS). Accederemos a la configuración de red del equipo desde "Conexiones de red", pulsando con el botón derecho del ratón sobre "Conexión de área local" y seccionando "Propiedades": Seleccionaremos "Protocolo Internet (TCP/IP)" y pulsaremos en "Propiedades": En "Servidor DNS preferido" introduciremos la IP del servidor controlador de dominio de nuestra red (en nuestro ejemplo 192.168.1.125): Juan Noé SG Página 7
  • 8. Nota: si usamos un servidor DHCP y los equipos clientes tienen habilitada la opción "Obtener la dirección del servidor DNS automáticamente" deberemos establecer en el servidor DHCP, en el ámbito correspondiente, como servidor DNS primario la IP del servidor controlador de dominio. De esta forma en los equipos clientes se configurará este DNS de forma automática. Sistema operativo para el equipo cliente que agregaremos al dominio Windows En cuanto a los equipos cliente, es suficiente con que dispongan de un sistema operativo Microsoft Windows XP, Microsoft Windows Vista ó Microsoft Windows 7. A continuación mostramos tres artículos sobre cómo instalar estos sistemas operativos: Instalar Windows XP Service Pack 3, configurar Windows XP. Instalar Windows Vista Beta 2, testear Windows Vista. Instalar Microsoft Windows 7 Ultimatevirtualizado en VMware Server 2.0.1. Instalar Microsoft Windows 7 Ultimate Beta 1 Build 7000. Juan Noé SG Página 8
  • 9. Obtener datos necesarios para agregar equipos cliente a un dominio Windows Necesitaremos dos datos principales para agregar un equipo cliente con Windows XP, Windows Vista ó Windows 7 a un dominio Windows Server: la IP del servidor de DNS (normalmente coincidirá con la IP del controlador de dominio) y el nombre del dominio. Para obtener estos datos accederemos al servidor controlador de dominio con Windows Server 2003 ó Windows Server 2008, pulsaremos en el botón "Inicio" - "Panel de control" - "Sistema": En la pestaña "Nombre de equipo" de la ventana de Propiedades del sistema, en Dominio podremos consultar y anotar el nombre del dominio Windows que hemos montado al promocionar el primer servidor a controlador de dominio. En nuestro caso el dominio se llama "dominioajpdsoft.com": Juan Noé SG Página 9
  • 10. También podremos obtener este dato desde una ventana de MS-DOS (línea óshell de comandos), introduciendo el siguiente comando que mostrará el valor de la variable de entorno USERDNSDOMAIN: set USERDNSDOMAIN Desde el shell de comandos también podremos obtener la IP del servidor (si es el servidor de DNS) que necesitaremos para configurar la red de los equipos cliente que agregaremos al dominio, el comando a ejecutar es: ipconfig Juan Noé SG Página 10
  • 11. Anotaremos la "Dirección IP". Por supuesto, también podemos obtenerla en el modo gráfico, desde las propiedades de red: Crear los usuarios de los equipos clientes en el servidor Windows Server 2003, establecer directivas de contraseñas Alta de usuarios en el dominio, servidor con Active directory Uno de los requisitos fundamentales para agregar los equipos informáticos de nuestra organización a un dominio Windows es crear los usuarios que usarán cada equipo. Dichos usuarios se crearán en el servidor controlador de dominio Juan Noé SG Página 11
  • 12. con Windows Server 2003, pues a partir de este momento ya no se usarán usuarios locales de los equipos, los usuarios y sus credenciales (contraseña) quedarán guardados de forma centralizada únicamente en el servidor promocionado a controlador de dominio con Active Directory. Por lo tanto será en el servidor donde creemos todos los usuarios que iniciarán sesión en los equipos informáticos de nuestra empresa. Además, la Ley de Protección de Datos (LOPD) obliga a que no se usen usuarios genéricos (un mismo usuario y contraseña compartida por varias personas) sino que se utilice un usuario y contraseña por cada persona de la organización. Por ello, el primer paso antes de agregar un equipo informático a un dominio Microsoft Windows será crear los usuarios que iniciarán sesión en estos equipos. Para crear un usuario en Active Directory accederemos al servidor con un usuario miembro del grupo administradores (con permisos de administrador), abriremos "Usuarios y equipos de Active Directory" (que podremos encontrar en "Inicio" - "Herramientas administrativas"). Desde "Usuarios y equipos de Active Directory" podremos crear unidades organizativas (carpetas contenedoras) para ordenar y guardar los usuarios de nuestra organización por departamentos. Por ejemplo, podremos tener las siguientes unidades organizativas (se crean pulsando con el botón derecho sobre "dominioajpdsoft.com" y seleccionado "Nuevo" - "Unidad organizativa"): uoFacturacion, uoContabilidad, uoDesarrollo, uoMarketing, ... En realidad, las unidades organizativas son como "carpetas" donde podremos estructurar los usuarios para administrarlos de forma más sencilla. Podremos, por ejemplo, aplicar directivas de seguridad diferentes a cada unidad organizativa. No son obligatorias pero recomendamos usarlas. Si hemos creado unidades organizativas, para crear un usuario en Active Directory, pulsaremos con el botón derecho del ratón sobre la unidad organizativa donde queramos crear el usuario y seleccionaremos "Nuevo" "Usuario": Juan Noé SG Página 12
  • 13. Introduciremos los datos del usuario, el más importante es "Nombre de inicio de sesión de usuario" que será el nick (usuario) que introducirá la persona en el equipo cliente para iniciar sesión. Pulsaremos "Siguiente" para continuar: A continuación introduciremos la contraseña para el usuario, se recomienda, para cumplir la LOPD y por seguridad, introducir una contraseña "estándar" y Juan Noé SG Página 13
  • 14. obligar al usuario a que cambie la contraseña e introduzca una suya propia que sea personal e intransferible (que nadie, salvo él, la sepa). Por ejemplo, introduciremos como contraseña "11223344" y marcaremos la opción "El usuario debe cambiar la contraseña al iniciar una sesión de nuevo". De esta forma, cuando el usuario inicie sesión por primera vez en su equipo deberá introducir la anterior y se le solicitará y obligará a que cambie la contraseña por una nueva: Por último el asistente para crear un nuevo usuario en Active Directory nos mostrará el resumen de las opciones seleccionadas para el nuevo usuario, si son correctas pulsaremos "Finalizar": Juan Noé SG Página 14
  • 15. Tras crear el usuario, podremos establecer los grupos de seguridad de los que será miembro. Para ello pulsaremos con el botón derecho del ratón sobre el usuario y seleccionaremos "Propiedades": En la pestaña "Miembro de" de la ventana de Propiedades del usuario podremos agregar los grupos de seguridad a los que pertenecerá. Por ejemplo, para hacer un usuario administrador del dominio pulsaremos en "Agregar": Juan Noé SG Página 15
  • 16. Introduciremos el grupo de seguridad al que pertenecerá el usuario (o varios grupos separados por punto y coma) y pulsaremos "Aceptar". En nuestro caso, como ejemplo, agregaremos el usuario "facturacion" al grupo de seguridad "Admins. del dominio" por lo que lo convertiremos en administrador del dominio. Obviamente esto es un ejemplo, no conviene agregar usuarios a este grupo pues tendrán todos los permisos administrativos sobre el servidor y sobre todos los equipos clientes agregados al dominio: De esta forma el usuario será miembro de los grupos de seguridad que hayamos elegido, en función de estos grupos de seguridad tendrá más o menos permisos sobre los equipos del dominio. Por defecto, un usuario sólo pertenecerá al grupo de seguridad "Usuarios del dominio", con este grupo es Juan Noé SG Página 16
  • 17. suficiente para iniciar sesión en cualquier equipo cliente agregado al dominio y realizar las tareas típicas de navegación, correo electrónico, ofimática, etc.: Directiva de cuenta, directiva de contraseñas, caducidad, historial, longitud mínima Además de crear los usuarios para los equipos clientes en el dominio, podremos indicar las directivas de seguridad para establecer el nivel de complejidad de las contraseñas, cifrado, historial, longitud mínima, vigencia máxima (caducidad). Para ello accederemos al servidor controlador de dominio, pulsaremos en "Inicio" - "Herramientas administrativas" - "Directiva de seguridad de dominio". En esta ventana, accederemos a "Configuración de seguridad" - "Directivas de cuenta" - "Directiva de contraseñas": Juan Noé SG Página 17
  • 18. Para activar una directiva haremos doble clic sobre ella, por ejemplo "Las contraseñas deben cumplir los requerimientos de complejidad" y marcaremos "Habilitada". De esta forma, la directiva quedará activa y se aplicará a todos los usuarios de todos los equipos que hayamos agregado al dominio: A continuación mostramos las directivas de contraseñas disponibles y una descripción de cada una de ellas: Almacenar contraseñas usando cifrado reversible: esta configuración de seguridad determina si el sistema operativo almacena contraseñas con el cifrado reversible. Esta directiva proporciona compatibilidad para aplicaciones Juan Noé SG Página 18
  • 19. que usan protocolos que exigen el conocimiento de la contraseña del usuario para propósitos de autenticación. Almacenar contraseñas con el cifrado reversible es fundamentalmente lo mismo que almacenar versiones de texto simple de las contraseñas. Por esta razón, esta directiva no debería habilitarse nunca, a menos que los requisitos de la aplicación tengan más importancia que la necesidad de proteger la información de contraseñas. Se exige esta directiva cuando se usa la autenticación CHAP (Protocolo de autenticación por desafío mutuo) a través de acceso remoto o IAS (Servicios de autenticación Internet). También se exige cuando se usa la autenticación implícita en Internet InformationServices (IIS). El valor predeterminado es: deshabilitada. Forzar el historial de contraseñas: esta configuración de seguridad determina el número de nuevas contraseñas únicas que deben asociarse a una cuenta de usuario antes de poder reutilizar una contraseña antigua. El valor debe estar comprendido entre 0 y 24 contraseñas. Esta directiva permite a los administradores mejorar la seguridad ya que garantiza que no se reutilicen continuamente contraseñas antiguas. El valor predeterminado: 24 en controladores de dominio, 0 en servidores independientes. Nota: de manera predeterminada, los equipos miembros usan la configuración de sus controladores de dominio. Para mantener la eficacia del historial de contraseñas, no permita que las contraseñas se cambien inmediatamente después de haberlas cambiado habilitando también la configuración de directiva de seguridad Vigencia mínima de la contraseña. Las contraseñas deben cumplir los requerimientos de complejidad: esta configuración de seguridad determina si las contraseñas deben cumplir los requisitos de complejidad. Si se habilita esta directiva, las contraseñas deben cumplir los siguientes requisitos mínimos: No contener el nombre de cuenta del usuario o partes del nombre completo del usuario en más de dos caracteres consecutivos. Tener una longitud mínima de seis caracteres. Incluir caracteres de tres de las siguientes categorías: mayúsculas (de la A a la Z), minúsculas (de la a a la z), dígitos de base 10 (del 0 al 9), caracteres no alfanuméricos (por ejemplo, !, $, #, %). Longitud mínima de la contraseña: esta configuración de seguridad determina el número mínimo de caracteres que debe contener la contraseña de una cuenta de usuario. Puede establecer un valor comprendido entre 1 y 14 caracteres, o puede indicar que no se exija contraseña alguna estableciendo el número de caracteres en 0. El valor predeterminado: 7 en controladores de dominio, 0 en servidores independientes. Juan Noé SG Página 19
  • 20. Vigencia máxima de la contraseña: esta configuración de seguridad determina el período de tiempo (en días) en que puede usarse una contraseña antes de que el sistema solicite al usuario que la cambie. Puede establecer las contraseñas para que expiren tras un número de días comprendido entre 1 y 999, o puede especificar que las contraseñas no expiren nunca estableciendo el número de días en 0. Si la vigencia máxima de la contraseña está comprendida entre 1 y 999 días, la vigencia mínima deberá ser menor que la vigencia máxima. Si la vigencia máxima de la contraseña se establece en 0, la vigencia mínima de la contraseña podrá ser cualquier valor entre 0 y 998 días. Nota: como recomendación de seguridad, se aconseja hacer que las contraseñas expiren a los 30-90 días, en función del entorno. De este modo, un atacante contará con tiempo limitado para apropiarse la contraseña de un usuario y obtener acceso a los recursos de la red. El valor predeterminado: 42. Vigencia mínima de la contraseña: esta configuración de seguridad determina el período de tiempo (en días) en que debe usarse una contraseña antes de que el usuario pueda cambiarla. Puede establecer un valor entre 1 y 998 días, o puede permitir que se realicen cambios de forma inmediata estableciendo el número de días en 0. La vigencia mínima de la contraseña debe ser menor que la vigencia máxima de la contraseña, salvo que esta última esté establecida en 0, lo que indica que las contraseñas no expirarán nunca. Si la vigencia máxima se establece en 0, la vigencia mínima podrá establecerse en cualquier valor comprendido entre 0 y 998. Configure la vigencia mínima de la contraseña de modo que sea mayor que 0 si desea que sea efectiva la configuración Exigir historial de contraseñas. Sin una vigencia mínima, los usuarios pueden reutilizar las contraseñas repetidamente hasta llegar a una contraseña favorita antigua. La configuración predeterminada no sigue esta recomendación, de modo que un administrador puede especificar una contraseña para un usuario y, a continuación, pedir al usuario que la cambie cuando inicie sesión. Si el historial de contraseñas se establece en 0, el usuario no tiene que elegir una nueva contraseña. Esta es la razón de que Exigir historial de contraseñas se establezca en 1 de manera predeterminada. El valor predeterminado: 1 en controladores de dominio, 0 en servidores independientes. Agregarequipo con Windows XP a dominio Windows Server 2003 Para agregar un equipo con Microsoft Windows XP deberemos cumplir los requisitos del servidor y del equipo cliente indicados aquí y deberemos obtener los datos necesarios como explicamos aquí. Arrancaremos el equipo cliente con Microsoft Windows XP, iniciaremos sesión en el equipo con un usuario administrador del equipo local a ser posible. Accederemos al botón "Inicio" - "Panel de control": Juan Noé SG Página 20
  • 21. Haremos doble clic en "Sistema" (también es posible con la combinación de teclas Windows + Pausa): Desde la pestaña "Nombre de equipo" pulsaremos en el botón "Cambiar": Juan Noé SG Página 21
  • 22. En "Miembro de" marcaremos la opción "Dominio" e introduciremos el nombre del dominio Windows Server al que queremos agregar el equipo cliente, en nuestro caso "dominioajpdsoft.com". Pulsaremos "Aceptar": Juan Noé SG Página 22
  • 23. Si hemos añadido el dominio correctamente nos solicitará usuario y contraseña. Introduciremos un usuario y contraseña del dominio con permisos suficientes para agregar un equipo. Para evitar problemas de permisos podremos usar un usuario del dominio miembro del grupo administradores: Si todo es correcto mostrará un mensaje con el texto "Bienvenido al dominio dominioajpdsoft.com": Juan Noé SG Página 23
  • 24. Nos indicará con otro mensaje que debemos reiniciar el equipo para que los cambios tengan efecto: Pulsaremos "Aceptar" en la ventana de Propiedades del sistema: Juan Noé SG Página 24
  • 25. Nos mostrará un cuadro de diálogo indicando si queremos reinciar ahora el equipo, pulsaremos "Sí" para reiniciarlo: Tras el primer reinicio nos solicitará usuario y contraseña, antes de introducirlo, pulsaremos en el botón "Opciones": En "Conectarse a" nos aparecerá el dominio al que hemos agregado el equipo, lo seleccionaremos. A partir de ahora deberemos introducir un usuario y contraseña del dominio (no del equipo local) por lo que debe estar creado en el servidor: Juan Noé SG Página 25
  • 26. Tras introducir usuario y contraseña en la ventana anterior de Inicio de sesión de Windows el equipo realizará la comprobación de las credenciales (usuario y contraseña) en el equipo servidor controlador de dominio. En nuestro caso usaremos el usuario creado aquí llamado "facturacion". Si son correctas las credenciales se iniciará sesión: Puesto que hemos marcado para el usuario "facturacion" la opción de que en el próximo inicio de sesión se le solicite un cambio de contraseña, en el arranque nos mostrará este mensaje: Con el texto: Necesita cambiar su contraseña la primera vez que inicie la sesión. Introduciremos la nueva contraseña para el usuario "facturacion". Esta nueva contraseña sólo debe conocerla la persona que utilizará en adelante el usuario con el que se está iniciando sesión. Una vez cambiada, la contraseña quedará almacenada en el servidor controlador de dominio (Active Directory) y no en el equipo local: Juan Noé SG Página 26
  • 27. Además, si hemos aplicado alguna directiva de contraseñas, obligaremos a los usuarios a cumplir con los requisitos de complejidad marcados por las directivas, si no los cumplen mostrará un mensaje como este (el mensaje variará en función de la directiva de seguridad infringida): Con el texto: La contraseña debe tener al menos 4 caracteres, no puede repetir ninguna de las 24 contraseñas anteriores y debe tener una antigüedad de al menos 1 días. Escriba una contraseña diferente. Escriba una contraseña que cumpla con estos requisitos en ambos cuadros de texto. Si todo es correcto, mostrará una aviso al usuario indicando que la contraseña se ha cambiado correctamente: Si es el primer inicio de sesión que se realiza en el equipo local con el usuario actual del dominio, se creará su perfil de usuario (escritorio y demás carpetas del perfil): Juan Noé SG Página 27
  • 28. De esta forma, los usuarios y contraseñas quedarán guardados sólo en el servidor y no en los equipos locales. Además, por defecto, el usuario con el que se inicia sesión (creado en el servidor) por defecto será una cuenta limitada y en el equipo cliente agregado al dominio no podrá realizar tareas de administración. Por ejemplo, si volvemos a mostrar las Propiedades del sistema, veremos que no aparecen todas las opciones y algunas sólo aparecen para consulta y no son modificables: Juan Noé SG Página 28
  • 29. Con esta medida evitaremos que un usuario pueda instalar software indeseado o innecesario, tampoco podrá modificar la configuración del equipo y será más difícil que el equipo sea infectado por un virus, pues el usuario con que se ha iniciado sesión, por defecto, es limitado. Esto redundará en un ahorro para la empresa en mantenimiento informático, con este método los equipos no necesitarán mantenimiento (limpieza de malware, spyware, adware, virus, etc.). Como ya hemos comentado, una vez que el equipo es miembro del dominio, se le aplicarán de forma automática las directivas que hayamos establecido en el servidor. A partir de este momento este equipo podrá ser administrado y configurado de forma automática y centralizada en el servidor. Se le aplicarán, por ejemplo, las directivas de contraseñaspara el usuario que inicia sesión. Tras agregar el equipo al dominio, aparecerá automáticamente "Computers", en "Usuarios y equipos de Active Directory": en Desde el servidor podremos aplicar directivas de seguridad tanto a los usuarios como a los equipos. A partir de este momento, cualquier usuario puede iniciar sesión en cualquier equipo de la empresa (siempre que esté agregado al dominio). Agregarequipo con Windows 7 a dominio Windows Server 2003 Para agregar un equipo con Microsoft Windows 7 a un dominio deberemos cumplir los requisitos del servidor y del equipo cliente indicados aquí y deberemos obtener los datos necesarios como explicamos aquí. Iniciaremos sesión en el equipo, a ser posible con un usuario con permisos de administrador. Pulsaremos en el botón "Iniciar" - "Panel de control": Juan Noé SG Página 29
  • 30. Pulsaremos en "Sistema" (también podemos abrir esta ventana pulsando las teclas Windows + Pausa): En la ventana de Sistema, en la sección "Configuración de nombre, dominio y grupo de trabajo del equipo", pulsaremos en "Cambiar configuración": Juan Noé SG Página 30
  • 31. En la pestaña "Nombre de equipo" de la ventana "Propiedades del sistema" pulsaremos en el botón "Cambiar": En "Miembro del" marcaremos "Dominio" e introduciremos el nombre del dominio, en nuestro caso "dominioajpdsoft.com". Pulsaremos en "Aceptar": Juan Noé SG Página 31
  • 32. Si hemos añadido el dominio correctamente nos solicitará usuario y contraseña. Introduciremos un usuario y contraseña del dominio con permisos suficientes para agregar un equipo. Para evitar problemas de permisos podremos usar un usuario del dominio miembro del grupo administradores: Si todo es correcto, nos mostrará un mensaje con el texto "Se unió correctamente al dominio dominioajpdsoft.com": Juan Noé SG Página 32
  • 33. Nos avisará de que debemos reiniciar el equipo para aplicar los cambios: Pulsaremos "Aceptar" en la ventana de Propiedades del sistema: Juan Noé SG Página 33
  • 34. Pulsaremos "Reiniciar ahora" definitivamente al dominio: para reinciar el equipo y agregarlo Tras el arranque del equipo, pulsaremos Control + Alt + Supr: Juan Noé SG Página 34
  • 35. Para iniciar sesió por primera vez validando en el dominio pulsaremos en "Cambiar de usuario": Pulsaremos en "Otro usuario": Juan Noé SG Página 35
  • 36. Introduciremos un usuario existente en el servidor con Active Directory, en la parte inferior nos indicará el dominio donde se iniciará sesión: "Iniciar sesión en: AJPDSOFT". Si queremos cambiar el dominio usaremos la nomenclatura: nombre_usuario@nombre_dominio Por ejemplo, para iniciar sesión con el usuario "alonso" en el dominio "ajpdsoft" introduciríamos "alonso@ajpdsoft". Introduciremos usuario y contraseña y pulsaremos en la flecha o INTRO para iniciar sesión: Juan Noé SG Página 36
  • 37. Nota: volvemos a repetir que este usuario y contraseña no existen en el equipo local sino en el dominio de Windows Server. Por ello se aplicarán las directivas establecidas en el dominio para el usuario de caducidad de contraseña, complejidad, cifrado, historial, etc. Y ya tendremos el equipo validado en el dominio y podremos iniciar sesión con un usuario de Active Directory: Juan Noé SG Página 37
  • 38. En el servidor con Windows Server 2003 controlador de dominio, en Usuarios y equipos de Active Directory podremos ver el equipo agregado, en "Computers": Recomendaciones importantes para los equipos clientes agregados al dominio Windows Una de las recomendaciones más importantes para los equipos clientes validados (agregados) en el dominio Windows Server es deshabilitar los usuarios locales de los equipos. Si no deshabilitamos los usuarios locales cualquier persona podría iniciar sesión sin validar en el equipo, algo que no es recomendable. En el caso de un equipo con Microsoft Windows 7 pulsaremos en el botón "Iniciar", en "Equipo" pulsaremos con el botón derecho del ratón y seleccionaremso "Administrar": Juan Noé SG Página 38
  • 39. En la ventana de Administración de equipos seleccionaremos "Herramientas del sistema" - "Usuarios y grupos locales" - "Usuarios", en la parte derecha aparecerán todos los usuarios del equipo local, para deshabilitarlos y que no puedan ser usados pulsaremos con el botón derecho del ratón sobre ellos (uno a uno), seleccionaremos "Propiedades": En la pestaña "General" marcaremos la opción "La cuenta está deshabilitada" y pulsaremos "Aceptar": Juan Noé SG Página 39
  • 40. Con esto impediremos que una persona pueda iniciar sesión con un usuario local del equipo y lo obligamos a que valide siempre con un usuario del dominio. Por seguridad recomendamos que también se deshabilite el usuario administrador. Por tareas de mantenimiento, para los administradores de los equipos, podríamos crear un usuario local en todos los equipos, hacerlo miembro del grupo de seguridad "Administradores" y establecer una contraseña segura que ningún usuario sepa (salvo los administradores del sistema). De esta forma tendremos un usuario local en todos los equipos con el mismo nombre por si en algún momento queremos sacar el equipo del dominio o por si la red falla y no tenemos acceso al servidor, en este caso sólo se podría iniciar sesión sin validar en el dominio, de forma local con este usuario. Por último, hay que tener en cuenta que las versiones de "Home" de Windows XP, Windows Vista y Windows 7 no permiten validación en dominio Windows. Estas versiones de estos sistemas operativos no sirven para ser agregadas a un dominio. Windows 8 a server 2008 Juan Noé SG Página 40
  • 41. En la ventana de Sistema, en la sección "Configuración de nombre, dominio y grupo de trabajo del equipo", pulsaremos en "Cambiar configuración": En la pestaña "Nombre de equipo" de la ventana "Propiedades del sistema" pulsaremos en el botón "Cambiar": En "Miembro del" marcaremos "Dominio" e introduciremos el nombre del dominio, en nuestro caso "dominioajpdsoft.com". Pulsaremos en "Aceptar": Juan Noé SG Página 41
  • 42. Si hemos añadido el dominio correctamente nos solicitará usuario y contraseña. Introduciremos un usuario y contraseña del dominio con permisos suficientes para agregar un equipo. Para evitar problemas de permisos podremos usar un usuario del dominio miembro del grupo administradores: Si todo es correcto, nos mostrará un mensaje con el texto "Se unió correctamente al dominio dominioajpdsoft.com": Nos avisará de que debemos reiniciar el equipo para aplicar los cambios: Juan Noé SG Página 42
  • 43. Pulsaremos "Aceptar" en la ventana de Propiedades del sistema: Pulsaremos "Reiniciar ahora" definitivamente al dominio: para reinciar el equipo y agregarlo Para iniciar sesió por primera vez validando en el dominio pulsaremos en "la flecha": Pulsaremos en "Otro usuario": Juan Noé SG Página 43
  • 44. Introduciremos un usuario existente en el servidor con Active Directory, en la parte inferior nos indicará el dominio donde se iniciará sesión: "Iniciar sesión en: AJPDSOFT". Si queremos cambiar el dominio usaremos la nomenclatura: nombre_usuario/nombre_dominio Por ejemplo, para iniciar sesión con el usuario "alonso" en el dominio "ajpdsoft" introduciríamos "Alonso/ajpdsoft". Introduciremos usuario y contraseña y pulsaremos en la flecha o INTRO para iniciar sesión: Nota: volvemos a repetir que este usuario y contraseña no existen en el equipo local sino en el dominio de Windows Server. Por ello se aplicarán las directivas establecidas en el dominio para el usuario de caducidad de contraseña, complejidad, cifrado, historial, etc. Y ya tendremos el equipo validado en el dominio y podremos iniciar sesión con un usuario de Active Directory: WINDOWS SERVER 2008 Y WINDOWS VISTA El requisito mínimo requerido para completar este procedimiento es la pertenencia al grupo Usuarios del dominio o un grupo equivalente. Para unirse a equipos que ejecutan Windows Server 2008 y Windows Vista al dominio Juan Noé SG Página 44
  • 45. 1. Inicie sesión en el equipo con la cuenta de administrador local. 2. Haga clic en Inicio, haga clic con el botón secundario en Equipo y, después, haga clic en Propiedades. Se abrirá el cuadro de diálogo Sistema. 3. En Configuración de nombre, dominio y grupo de trabajo del equipo, haga clic en Cambiar la configuración. Se abrirá el cuadro de diálogoPropiedades del sistema. Nota En los equipos que ejecutan Windows® 7, antes de que se abra el cuadro de diálogo Propiedades del sistema, se abre el cuadro de diálogoControl de cuentas de usuario, que solicita permiso para continuar. Haga clic en Continuar para proceder. 4. Haga clic en Cambiar. Se abrirá el cuadro de diálogo Cambios en el dominio o el nombre del equipo. 5. En Nombre del equipo, en Miembro de, seleccione Dominio y, a continuación, escriba el nombre del dominio al que quiere unirse. Por ejemplo, si el nombre del dominio es ejemplo.com, escriba ejemplo.com. 6. Haga clic en Aceptar. Se abrirá el cuadro de diálogo Seguridad de Windows. 7. En Cambios en el dominio o el nombre del equipo, en Nombre de usuario escriba el nombre del usuario y en Contraseña escriba la contraseña; a continuación, haga clic en Aceptar. Se abrirá el cuadro de diálogo Cambios en el dominio o el nombre del equipo y le dará la bienvenida al dominio. Haga clic en Aceptar. 8. El cuadro de diálogo Cambios en el dominio o el nombre del equipo muestra un mensaje que le indica que debe reiniciar el equipo para aplicar los cambios. Haga clic en Aceptar. 9. En el cuadro de diálogo Propiedades del sistema, en la pestaña Nombre del equipo, haga clic en Cerrar. Se abrirá el cuadro de diálogo Microsoft Windows y mostrará un mensaje que le indicará nuevamente que debe reiniciar el equipo para aplicar los cambios. Haga clic en Reiniciar ahora. Juan Noé SG Página 45