Un poco de organización del Directorio Activo

Print Friendly, PDF & Email

En este procedimiento se explica lo básico de cómo organizar el directorio activo con unidades organizativas, cómo crear usuarios para la gente y que puedan loguearse en todos los puestos, crear grupos, y al final del todo las propiedades más interesantes de los usuarios. Para abrir la consola principal del Directorio activo, tenemos que estar en un MS Windows 2000 o 2003 versión server, luego hay que ir a: “Inicio” > “Programas” > “Herramientas Administrativas” > “Usuarios y equipos del Active Directory

Lo primero de todo es ver todas las opciones y pestañas, pq unas vienen ocultas y luego algunas nos harán falta, para eso: pinchamos en la pestañaVery luego enCaracterísticas avanzadas”.

En la imagen anterior es cómo suelo dejar organizado el directorio activo, lo suelo organizar con una carpeta principal con el nombre de la empresa para luego ir creando unidades organizativas (UO) dentro, del estilo de Usuarios, Equipos y Grupos, dentro de cada contenedor se crean los contenedores y dentro de estos por ejemplo los usuarios; en la carpeta Equipos muevo los ordenadores que estan en el dominio, estos por defecto estan en el contenedorComputers”, y igual que con los usuarios se hace con los Grupos de Usuarios. Todo esto es importante por si nos interesa poner politicas en nuestro DA (Directorio Activo) para una optima gestion de seguridad y control de usuarios/equipos/grupos

Lo primero es crear una estructura mediante unidades organizativas (UO), para ello desde la raiz creamos una con el nombre de la empresa o el nombre de dominio, luego crearemos las que se nos vayan ocurriendo. Para ello donde nos interese, botón derecho > “Nuevo” > “Unidad organizativa”.

Le indicamos el nombre de la UO, por ejemplo el de un departamento de una empresa.

Una vez creada la estructura de UO’s, lo siguiente es crear los usuarios, para eso o pinchamos en el icono ese o sino botón derecho > “Nuevo” > “Usuario”.

Le indicamos los datos que nos interesen, por ejemplo el nombre y los apellidos, es importante poner elNombre de inicio de sesión de usuariocon una política interesante, ya que si ponemos el nombre de la persona y entra en nuestra organización o empresa otra que se llame igualpuesno es plan :), lo ideal es poner la inicial del nombre seguido del apellido, es lo más formal que se me ocurre. Si en un futuro usaremos un servidor MS Exchange para el correo electronico interno de nuestra empresa, podemos a provechar, ya que el nombre de inicio de sesión sería lo mismo que el login, quedando: na********@bu*****.com, le damos aSiguiente”.

Le indicamos una contraseña, si ponemos una corta y estamos en un servidor MS Windows 2003 nos dará un error pq no cumplimos con una contraseña robusta, esto es por seguridad, ya que cuanto más compleja sea nuestra contraseña más segura es nuestra red, para que no nos saquen contraseñas. Lo de la compleidad de contraseñas se verá en el procedimiento de políticas, ya que se editan en otro lado. Marcamos los checks que nos interesen ySiguiente”.

Finalizar. Al final de este procedimiento están las Propiedades de Usuarios más comunes.

Una vez creados varios usuarios vamos a crear Grupos. En principio, si no tenemos un servidor de correo Exchange instalado los usaremos sólo para cuando asignemos permisos en carpetas, en vez de ir usuario por usuario dando permisos se usarán los grupos.

Indicamos el nombre del Grupo, que podría ser el mismo que un departamento de una empresa, el tipo de grupo es el importante, si queremos aplicar para temas de permisos en carpetas a un grupo de usuarios escojemosSeguridad”; en cambio, si es para crear el tipico grupo que cuando alguien manda un mail quieres que llegue a varias personas a la vez, sería de tipoDistribución”, por ejemplo que alguien manda un mail a te******@bu*****.com le lleguen a Nombre1 Apellido1 (napellido1) y a Nombre2 Apellido2 (napellido2), pero eso está en el Procedimiento de MS Exchange 2003 explicado.

Seleccionamos los usuarios que nos interesan añadir al grupo, botón derecho encima de ellos > “Agregar a un grupo…”

Escribimos el nombre del grupo, damos aComprobar nombresy después aAceptar”.

Propiedades de usuarios,

Una vez creados los usuarios es interesante mirar las opciones más interesantes de ellos:

Esta es la pestaña General, donde lo interesante es tener bien puesto sus datos y elNombre para mostrar”.

En la pestañaCuenta”, podemos indicar en que horas del día puede iniciar sesión, en que equipos puede iniciar sesión, cuando le caduca la cuenta de usuario

Ruta de acceso al perfil: Si tenemos perfiles moviles, aquí indicariamos cuando el usuario inicie sesión de donde cojerá los datos del perfíl, en el procedimiento de perfiles móviles está explicado.

Secuencia de comandos de inicio de sesión: Si queremos que este usuario cuando inicie su sesion en su PC se le ejecute algun archivo de comandos, por ejemplo el tipico archivo de MSDOS que mapea unidades de redEstos archivos deberían de guardarse en uno de los servidores, en la carpeta SYSVOL, si hay más de un servidor se replican entre ellos estos archivos, si no sabes donde está la SYSVOL, deja los scripts en servidornetlogon, en el campo de texto de la imagen se tiene que poner sólo el nombre del ejecutable.

Esta pantalla es para el uso exclusivo de los servicios de TS (Terminal Server), si queremos que este usuario controle remotamente sesiones de otros usuarios, y si necesita permiso del usuario a controlar, si queremos que sólo vea o que también controle la sesión.

Esta pantalla es igual que la dePerfilpero sólo se aplicara cuando un usuario inicie sesión en un terminal Server (TS). Es importante el último check, que es donde le daremos permiso a un usuario para que inicie sesión o no en un servidor de TS.

EnMiembro dees a que grupos pertenece el usuario.

Esta pantalla es por si queremos que este usuario tenga acceso desde el exterior a nuestra red, bien por VPN (o VPN Segura) o bien por RAS, todo esto desde la consola deEnrutamiento y Acceso Remoto”. Es importante marcar el check, pq si no no tendría permiso de acceso.

Si queremos que cuando un usuario inicie sesión en un servidor de TS en vez que vea el escritorio tenga acceso sólo a un programa determinado se le indica el path y el ejecutable y ya está. Además tenemos las opciones de que se intalen las impresoras del usuario en el servidor para cuando le de a imprimir imprima por las suyas.

Finalizar una sesión desconectada: Una sesión desconectada es cuando se cierra la ventana del cliente de TS sin haberle dado a cerrar sesión, es el tiempo que se espera hasta que se finaliza la sesión.

Limite de sesión activa: El tiempo máximo que puede estar logueado un usuario sin cerrar sesión.

Limite de sesión inactiva: El tiempo máximo que puede estar cerrada una sesión desconectada en el servidor TS.

Cuando se alcanza el limite de una sesion o se pierde la conexión: Que hace el servidor cuando un usuario desconecta la sesión o cuando no tiene conexión con el servidor. Si la deja desconectada o la finaliza.

Permitir volverse a conectar: Cuando se desconecta una sesión y se tiene que volver a conectarse el usuario, desde donde se le deja volver a conectarse, si sólo desde su puesto o desde cualquier otro PC.

Hay que tener en cuenta que si se finaliza la sesión puede que haya perdidas de datos.


Posts recomendados

Inicios de sesión con SmartCard en el Directorio Activo
Leer
Implementando Windows LAPS
Leer
VPN con Citrix NetScaler III - Autenticación con certificados
Leer
Implementando FSSO para integrar Fortigate con el Directorio Activo
Leer

Autor

by Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, no dudes en contactar conmigo, os intentare ayudar siempre que pueda, compartir es vivir ;) . Disfrutar de los documentos!!!

Migrar el Directorio Activo de Microsoft Windows 2003 a Microsoft Windows 2008

19 de October de 2008

Recuperación automática del sistema mediante ASR (Automatic System Recovery)

19 de October de 2008