Configuración y establecimiento de directivas de grupo (GPO)

Objetivo: Establecer mediante directivas de grupo (GPO) el redireccionamiento

de las carpetas personales del usuario desde la ubicación local a una
ubicación de red (preferentemente un servidor de archivos).

1. Crea el recurso compartido \\SERVER\userdomainsdocs.

1.1. Revisa, adecúa y aplica los permisos locales y de red adecuados para el recurso.
1.2. Publica el recurso compartido en Active Directory.
2. Accede a la consola de creación y/o aplicación de directivas de grupo correspondiente al
dominio adecuado.
2.1. Crea, si no existe, la directiva de grupo “DG-dominio CATALUNYA”
2.2. Selecciona la subcategoría Configuración de Windows/Redireccionamiento de carpetas/Mis
documentos, de la sección “Usuarios”.
2.3. Accede a las propiedades de este objeto utilizando el menú emergente
2.3.1. En la pestaña destino:
2.3.1.1. Selecciona la opción de configuración básica.
2.3.1.2. Establece como ubicación una carpeta de nueva creación indicando su ruta
preferentemente UNC.
2.3.2. En la pestaña configuración:
2.3.2.1. Mantén las opciones que por defecto se proponen
3. Crea el recurso compartido \\SERVER\user_ou_documents.
3.1. Revisa, adecúa y aplica los permisos locales y de red adecuados para el recurso.
3.2. Publica el recurso compartido en Active Directory.
4. Accede a la consola de creación y/o aplicación de directivas de grupo correspondiente a la
unidad organizativa adecuada.
4.1. Crea, si no existe, la directiva de grupo “DG-ou verdaguer”
4.2. Selecciona la subcategoría Configuración de Windows/Redireccionamiento de carpetas/Mis
documentos, de la sección “Usuarios”.
4.3. Accede a las propiedades de este objeto utilizando el menú emergente
4.3.1. En la pestaña destino:
4.3.1.1. Selecciona la opción de configuración avanzada.
4.3.1.2. Selecciona los grupos de usuarios y establece, para ellos las diferentes
ubicaciones de las sus carpetas adecuadamente.
4.3.2. En la pestaña configuración:
4.3.2.1. Mantén las opciones que por defecto se proponen
5. Prueba las nuevas configuraciones.
5.1. Inicia sesión con un usuario del dominio, que no sea de la OU.
5.1.1. Comprueba el efecto de la configuración.
5.2. Inicia sesión con un usuario de la unidad organizativa.
5.2.1. Comprueba el efecto de la configuración.

Nota: Adecua los nombres propuestos a la realidad de tu entorno de trabajo.

Nota: Los recursos que interactúan con objetos de Active Directory deben ser publicados para su
posterior localización.

Nota: Se recuerda que siempre existe la posibilidad de aplicación inmediata de las directivas de
grupo mediante la ejecución del comando gpupdate.
 Configuración y establecimiento de directivas de grupo (GPO)

Objetivo: Ejecutar scripts de encendido del equipo.

1. Establece una directiva de grupo para asociar un guión con el encendido del equipo.
1.1. Crea una directiva de grupo, denominada “piztu”, y vincúlala al dominio.
1.2. Diseña un script de shell (fichero BAT) que incluya operaciones a realizar cuando el equipo
sea encendido. Almacénalo en la carpeta %SYSTEMROOT
%\SYSVOL\sysvol\<dominio>\Policies\<GUID>\MACHINE\Scripts\Startup.
1.3. Comprueba el efecto.

Objetivo: Ejecutar scripts de inicio de sesión.

2. Establece una directiva de grupo para asociar un guión con el inicio de sesión.
2.1. Crea una directiva de grupo, denominada “hasi”, y vincúlala al dominio.
2.2. Diseña un script de shell (fichero BAT) que incluya operaciones a realizar cuando el usuario
inicia sesión. Almacénalo en la carpeta %SYSTEMROOT
%\SYSVOL\sysvol\<dominio>\Policies\<GUID>\USER\Scripts\Logon.
2.3. Comprueba el efecto.

Objetivo: Ejecutar scripts de cierre de sesión.

1. Establece una directiva de grupo para asociar un guión con el cierre de sesión.
1.1. Crea una directiva de grupo, denominada “bukatu”, y vincúlala al dominio.
1.2. Diseña un script de shell (fichero BAT) que incluya operaciones a realizar cuando el usuario
cierra sesión. Almacénalo en la carpeta %SYSTEMROOT
%\SYSVOL\sysvol\<dominio>\Policies\<GUID>\USER\Scripts\Logoff.
1.3. Comprueba el efecto.

Objetivo: Ejecutar scripts de apagado del equipo.

1. Establece una directiva de grupo para asociar un guión con el apagado del equipo.
1.1. Crea una directiva de grupo, denominada “itzali”, y vincúlala al dominio.
1.2. Diseña un script de shell (fichero BAT) que incluya operaciones a realizar cuando el equipo
sea apagado. Almacénalo en la carpeta %SYSTEMROOT
%\SYSVOL\sysvol\<dominio>\Policies\<GUID>\MACHINE\Scripts\Shutdown.
1.3. Comprueba el efecto.

Nota: El GUID (Globally Unique Identifier) referido es el identificador de la directiva de grupo.

Puede verse como una de sus propiedades.

Objetivo: Permitir a los usuarios el inicio de sesión local en el controlador del

dominio.

1. Edita la GPO por defecto para los controladores de dominio, denominada “Default Domain
Controllers Policy”, o crea una nueva en su defecto.
1.1. Configuración de equipo/Configuración de Windows/Configuración de seguridad/Directivas
locales/Asignación de derechos de usuario
1.1.1. Selecciona la directiva “Permitir inicio de sesión local” e incluye las cuentas de los
usuarios a los que quieras conceder este derecho.
2. Comprueba el efecto de la nueva configuración.
2.1. Ejecuta el comando gpupdate /force /boot /logoff.
 Configuración y establecimiento de directivas de grupo (GPO)

Objetivo: Crear una GPO para desplegar y distribuir aplicaciones.

1. Crea una carpeta compartida para contener los paquetes para publicar y distribuir.
1.1. Establece adecuadamente la seguridad local y los permisos de red.
2. Obtén los paquetes msi necesarios y alojalos en la carpeta.
2.1. En el CD de instalación: adminpack.msi.
2.2. En internet: Pstory.msi, gpmc.msi.
2.3. En otros sitios: office.msi
3. Crea una directiva de grupo denominada “Distribución de aplicaciones” y asóciala al
contenedor adecuado (sitio, dominio u OU).
3.1. Accede al contenedor “Configuración de software” de la rama Equipos.
3.2. Accede a las propiedades de “Instalación de aplicaciones” y establece la localización de la
carpeta compartida que almacena los paquetes msi.
4. Configura la directiva para que incluya los paquetes msi y queden asignados.
5. Aplica el efecto de la directiva de inmediato ejecutando gpupdate /force /boot /logoff
6. Enciende un equipo del dominio y comprueba que ha sido instalado el software.

Nota: Los equipos donde se realice el despliegue de aplicaciones no deben tener activado el cortafuegos de
Windows XP.

Objetivo: Crear una GPO para publicar (y distribuir) aplicaciones.

1. Crea una carpeta compartida para contener los paquetes para publicar y distribuir.
1.1. Establece adecuadamente la seguridad local y los permisos de red.
1.2. Publica el recurso compartido en Active Directory.
2. Obtén los paquetes msi necesarios y alojalos en la carpeta.
2.1. En el CD de instalación: adminpack.msi.
2.2. En internet: Pstory.msi, gpmc.msi.
2.3. En otros sitios: office.msi
3. Crea una directiva de grupo denominada “Publicación de aplicaciones” y asóciala al contenedor
adecuado (sitio, dominio u OU).
3.1. Accede al contenedor “Configuración de software” de la rama Usuarios.
3.2. Accede a las propiedades de “Instalación de aplicaciones” y establece la localización de la
carpeta compartida que almacena los paquetes msi.
4. Configura la directiva para que incluya los paquetes msi y queden publicados.
5. Aplica el efecto de la directiva de inmediato ejecutando gpupdate /force /boot /logoff
6. Inicia sesión con un usuario del dominio y comprueba que ha sido preinstalado el software.
7. Si la cuenta tiene derechos administrativos instala el software publicado.

Nota: Los equipos donde se realice la publicación de aplicaciones no deben tener activado el cortafuegos de
Windows XP.
 Ikasturtea Ebal. data Maila / Nivel Úntate didaktikoa
Curso
2012/2013 OCT-2012 IN2AR3 1

Modulua / Módulo Kodea Valor Calific.

AR06-Administración de Sistemas Operativos 70

NOMBRE Y APELLIDOS............Juan A. Navarro.........................................................

Actividad de evaluación procedimental

Título: Creación de un dominio.

Metodología: Trabajo individual personalizado.
Valor máximo:
Criterios de valoración y desglose de calificación:
Presentación general
Valor didáctico y variedad.
Rigor técnico
Adecuación

Para realizar la actividad deberás realizar las siguientes tareas.

1. Prepara un entorno apropiado que te permita disponer un dominio.

En una carpeta creo 3 maquinas virtuales, una un server 2003 y las otras dos con XP

2. Instala (en máquina virtual) un sistema Windows 2003 Server con arreglo a las siguientes
características:
IP: 192.168.X.10 (X es discriminante según lista de alumnos) (X = 21)
Nota: la contraseña de Administrador se establece en: 12345678Aa

Nombre del equipo: SERVERA1A2N (apellido1,apellido2,nombre) (SERVERNGJA)

 Debe ser servidor DNS.
El servicio de DNS se instala al ejecutar dcpromo, captura de pantalla tras la instalación de Active
directory:

3. Promociona el servidor SERVERA1A2N a controlador del dominio “A1A2N.net” (ngja.net).

Ejecuto dcpromo para instalar Active directory
Se escoge:
Controlador de dominio para un dominio nuevo
Dominio en un nuevo bosque
Solo instalar y configurar DNS en este equipo
nombre dns: ngja.net
Nota: la contraseña de modo remoto se establece en: 12345678Bb, diferente a la contraseña de
administrador que es: 12345678Aa
finalizada la instalación hay que reiniciar el servidor.

4. Instala (en máquina virtual) un sistema Windows XP con arreglo a las siguientes características:
IP: 192.168.X.11 (192.168.21.11)
Como servidor DNS se pone la IP del Servidor 2003, he supuesto que hay un router de salida y que
tiene una IP 192.168.21.1

Nombre del equipo: Pcapellido1 (PCN1)

Nota. El cambio de nombre del equipo obliga a realizar un reinicio del sistema para que se apliquen
los cambios.
5. Instala (en máquina virtual) un sistema Windows XP con arreglo a las siguientes características:
IP: 192.168.X.12 (192.168.21.12).

Nombre del equipo: Pcapellido2 (PCG1).

6. Une el equipo PCapellido1 al dominio “A1A2N”.

Captura de pantalla de la petición de unión al Dominio, se requiere un usuario y contraseña del
administrador del Dominio.

Y una captura de la pantalla de que se ha unido al dominio.

Tras aceptar hay que reiniciar el equipo para que se hagan efectivos los cambios.
7. Une el equipo PCapellido2 al dominio “A1A2N”.

8. Incorpora las siguientes capturas de pantalla como prueba de la actividad.

Prueba de la existencia de las cuentas de equipo en Active Directory.
i. Captura de la pantalla de la lista de objetos del contenedor “Computers” de la
consola “Usuarios y equipos de Active Directory”.

Prueba de la unión de un equipo al dominio.

i. Captura de la pantalla de inicio de sesión con lista de proveedores de seguridad
desplegada.
Un apunte, la maquina virtual que he usado para PCG1 es una copia de PCN1 por eso el usuario
administrados es el mismo (un tal ral), pongo una captura de pantalla con todas las maquinas
operativas:

Prueba de la unión del segundo equipo al dominio.

i. Captura de la pantalla del applet de las propiedades del equipo.
Mas arriba hay una captura de pantalla con la unión de los equipos al dominio.
 Unas capturas de Usuarios y equipos de Active directory sobre el segundo ordenador
agregado al dominio (PCG1).

Y una ultima accediendo como el usuario alumno al dominio desde una de las estaciones de trabajo
(previamente se ha creado el usuario en el dominio)

La primera vez que hice esta practica no me salio (no entraban los ordenadores clientes al dominio),
era porque había asignado nombres muy largos y ademas estaba usando un Servidor que ya había
usado en otras practicas y quizás tuviera algún conflicto en las configuraciones, la solución ha sido
hacer la instalación de la maquina virtual del Servidor desde 0 y ya ha ido todo bien a la primera.
 Ikasturtea Ebal. data Maila / Úntate didaktikoa
Curso Nivel
2012/2013 OCT-2012 IN2AR3 2

Modulua / Módulo Kodea Valor Calific.

AR06-Administración de Sistemas Operativos 70

NOMBRE Y APELLIDOS......................Juan A. Navarro......................................................

Actividad de evaluación procedimental

Título: Creación de objetos en Active Directory desde la consola.

Metodología: Trabajo individual personalizado.
Valor máximo:
Criterios de valoración y desglose de calificación:
Presentación general
Valor didáctico y variedad.
Rigor técnico
Adecuación

Entorno de trabajo necesario: Para llevar a cabo esta actividad deberás disponer de un dominio bajo
Windows Server 2003.

Tarea 1
Crea, desde la línea de comandos, 4 unidades organizativas denominadas Comercial, Contabilidad,
Logistica y Marketing.
dsadd ou ou=Comercial,dc=ngja,dc=net
dsadd ou ou=Contabilidad,dc=ngja,dc=net
dsadd ou ou=Logistica,dc=ngja,dc=net
dsadd ou ou=Marketing,dc=ngja,dc=net

Tarea 2
Crea, desde la línea de comandos, 8 grupos de seguridad de ámbito global denominados Alimentacion,
Caballero, Deportes, Libreria, Menaje, Mueble, Perfumeria y Zapateria.
dsadd group cn=Alimentacion,cn=users,dc=ngja,dc=net -scope g -secgrp yes
dsadd group cn=Caballero,cn=users,dc=ngja,dc=net -scope g -secgrp yes
dsadd group cn=Deportes,cn=users,dc=ngja,dc=net -scope g -secgrp yes
dsadd group cn=Libreria,cn=users,dc=ngja,dc=net -scope g -secgrp yes
dsadd group cn=Menaje,cn=users,dc=ngja,dc=net -scope g -secgrp yes
dsadd group cn=Mueble,cn=users,dc=ngja,dc=net -scope g -secgrp yes
dsadd group cn=Perfumeria,cn=users,dc=ngja,dc=net -scope g -secgrp yes
dsadd group cn=Zapateria,cn=users,dc=ngja,dc=net -scope g -secgrp yes
con -scope indico si es global (g), local (l) o universal (u)
con -secgrp indico si es de seguridad (yes) o de distribucion (no)

Tarea 3
Rellena la hoja de cálculo que te envío adjunta donde se incluyen especificaciones para 16 cuentas de
usuario del dominio. Fíjate, pues deberás incluir tu nombre en algunas celdas.
Ver documento adjunto

Tarea 4
Crea, desde la línea de comandos, los 16 usuarios del dominio con las especificaciones definidas en la
tarea anterior.
dsadd user cn=juan,cn=users,dc=ngja,dc=net -fn juan -mi j -ln castro -display juan -desc juanalberto
-office Leioa -tel 944650001 -email juan@ngja.net -webpg juan.ngja.net -upn juan@ngja.net -profile
\\SERVERNGJA\Perfiles\juan -loscr script.bat -hmdrv Z: -hmdir \\SERVERNGJA\Personales\juan
-hometel 944640001 -pager 4001 -mobile 602000001 -fax 944673675 -iptel 6001 -title user -dept ventas
-company ngja -memberof cn=Alimentacion,cn=users,dc=ngja,dc=net -pwd 12345678Aa -mustchpwd no
-canchpwd no -pwdneverexpires yes -disabled no
dsadd user cn=jose,cn=users,dc=ngja,dc=net -fn jose -mi j -ln ruiz -display jose -desc juanalberto -office
Leioa -tel 944650002 -email jose@ngja.net -webpg jose.ngja.net -upn jose@ngja.net -profile
\\SERVERNGJA\Perfiles\jose -loscr script.bat -hmdrv Z: -hmdir \\SERVERNGJA\Personales\jose
-hometel 944640002 -pager 4002 -mobile 602000002 -fax 944673675 -iptel 6002 -title user -dept ventas
-company ngja -memberof cn=Alimentacion,cn=users,dc=ngja,dc=net -pwd 12345678Aa -mustchpwd no
-canchpwd no -pwdneverexpires yes -disabled no

dsadd user cn=ana,cn=users,dc=ngja,dc=net -fn ana -mi a -ln martin -display ana -desc juanalberto
-office Leioa -tel 944650003 -email ana@ngja.net -webpg ana.ngja.net -upn ana@ngja.net -profile
\\SERVERNGJA\Perfiles\ana -loscr script.bat -hmdrv Z: -hmdir \\SERVERNGJA\Personales\ana
-hometel 944640003 -pager 4003 -mobile 602000003 -fax 944673675 -iptel 6003 -title user -dept ventas
-company ngja -memberof cn=Caballero,cn=users,dc=ngja,dc=net -pwd 12345678Aa -mustchpwd no
-canchpwd no -pwdneverexpires yes -disabled no

Es un trabajo arduo, solo he metido 3 usuarios por terminal, pero básicamente el comando es igual en
todos los demás usuarios, simplemente hay que cambiar los datos diferenciadores en cada caso.

***-----------Documentación a enviar -----------***

Incorpora tres capturas de pantalla, las correspondientes a las tareas 1, 2 y 4, donde aparezcan dos
invocaciones al comando dsadd y los mensaje de salida correspondientes, informando de que cada
operación ha sido correctamente realizada.

Creación unidades organizativas.