Instalar y administrar Directorio Activo en Windows Server 2012

 

Instalar y administrar Directorio Activo en Windows Server 2012

En este tutorial se enseña cómo instalar y administrar con todas sus funciones, ejemplos y detalles del Directorio Activo en Windows Server 2012.


Son muchos los tutoriales y manuales prácticos que solemos realizar sobre Windows Server, pero este en concreto es uno de los principales, ya que abordamos el Directorio Activo o Active Directory. Es un tema de suma importancia en nuestro día a día como administradores de una red, ya que gracias a al Directorio Activo tenemos control centralizado de todos los recursos de nuestra red, esto significa que a través del Directorio Activo podremos gestionar los usuarios, impresoras, equipos, etc.

 

El servicio implementado en Windows Server se denomina AD DS (Active Directory Domain Services- Servicios de Dominio en Directorio Activo).

 

Aunque hay muchas cosas necesarias previas como ser servidor DNS, ahora vamos a comprender el proceso de la instalación y configuración de nuestro Directorio Activo. El servicio AD DS es un servicio que nos permite como administradores de red en una organización gestionar nuestros recursos a través de una o unas divisiones organizacionales llamadas Dominio, pero que es un dominio, es un contenedor lógico de los componentes de red de nuestra empresa, este contenedor se encuentra ubicado en el servidor que ha sido designado como DC (Domain Controller- Controlador de Dominio).

 

 

Vamos a empezar con la instalación del Directorio Activo. Para crear un nuevo dominio debemos instalar el rol de AD DS y a partir de allí ejecutar el asistente. Debemos tener en cuenta que necesitamos tener asignada una dirección IP estática en nuestra red y podremos crear un nuevo dominio o adicionar uno existente.

 

 


1. Instalar Directorio Activo en Windows Server


Para instalar nuestro rol de AD DS vamos a realizar los siguientes pasos:

 

Paso 1

Nos dirigimos a nuestro Administrador de Servidor o Server Manager y allí elegimos la opción Agregar roles o características (Puede ser a través del menú de inicio rápido o a través del menú Administrar).

 

 

Paso 2

En la ventana inicial (informativa) damos clic en Siguiente, posteriormente elegimos la opción de la Instalación basada en roles.

 

directorio_activo_windows_2.jpg

 

Paso 3

Damos clic en Siguiente y elegimos el servidor donde deseamos instalar nuestro rol de AD DS:

 

directorio_activo_windows_3.jpg

 

Paso 4

Damos clic en Siguiente y procedemos a elegir el rol solicitado (Servicios de dominio de Active Directory), agregamos las características desplegadas:

 

directorio_activo_windows_4.jpg

 

Paso 5

Damos clic en Siguiente seleccionamos (si deseamos) las características y damos clic en Siguiente y se desplegará un resumen de lo que vamos a instalar en nuestro servidor:

 

directorio_activo_windows_5.jpg

 

Paso 6

Damos clic en Siguiente y procedemos a comenzar nuestra instalación dando clic en el botón Instalar.

 

directorio_activo_windows_6.jpg

 

directorio_activo_windows_7.jpg

 

Paso 7

Una vez instalado nuestro rol de AD DS debemos reiniciar nuestro servidor para aplicar los cambios. Antes de iniciar nuestro asistente de AD DS debemos promover nuestro servidor a controlador de dominio (DC).

 

Nota
Para promover nuestro dominio a DC (Domain Controller-Controlador de Dominio) el comando DCPROMO ya no está disponible en Windows Server 2012, debemos instalarlo a través de nuestro Administrador del Servidor.

 

Paso 8

Para promover el servidor a DC nos dirigimos a nuestro Administrador de Servidor y desplegamos el flag de información, allí se indicará la siguiente nota: Promover este servidor a controlador de dominio.

 

 

Damos clic en esta opción y se desplegará el asistente para configuración de servicios de dominio de Directorio Activo.

 

Veremos que contamos con tres (3) opciones de configuración:

 

Agregar un controlador de dominio a un dominio existente
Nos permite añadir el servidor actual a un DC ya existente en la red.

 

Agregar un nuevo dominio a un bosque existente
Nos brinda la posibilidad de adicionar nuestro servidor en un bosque ya existente.

 

Agregar un nuevo bosque
Nos permite crear un bosque desde cero para nuestro servidor.

 

En nuestro caso elegiremos la opción Agregar un nuevo bosque, elegiremos el nombre para nuestro domino y damos clic en Siguiente:

 

directorio_activo_windows_9.jpg

 

Paso 9

Después que el sistema valide si el nombre de dominio raíz es válido, se desplegarán las opciones del controlador de dominio, donde contamos con algunas opciones muy importantes que debemos tener en cuenta a nivel de funcionalidad de nuestro servidor:

 

directorio_activo_windows_10.jpg

 

 

Opciones funcionales a elegir
  • Windows Server 2003
  • Windows Server 2008
  • Windows Server 2008 R2
  • Windows Server 2012

 

Recordemos que si deseamos incrementar la funcionalidad sólo podremos en una edición superior, por ejemplo, no es posible si tengo el nivel funcional en Windows Server 2008 R2 pasarlo a Windows Server 2008.

 

Seleccionamos el nivel que requiera nuestra infraestructura, ingresamos la contraseña DSRM-Directory Service Restore Mode-Modo de restauración de servicios de directorio, esta contraseña es necesaria en caso de tener que restaurar el sistema desde una copia de seguridad del DC. Damos clic en Siguiente

 

Paso 10

En la siguiente ventana tenemos las opciones de DNS (es normal que aparezca esta advertencia, luego lo configuraremos a través de la consola de DNS):

 

directorio_activo_windows_11.jpg

 

Paso 11

Damos clic en Siguiente, y veremos el nombre de NETBIOS asignado por el sistema, nosotros decidimos si lo cambiamos o dejamos ése por defecto:

 

directorio_activo_windows_12.jpg

 

Paso 12

Clic en Siguiente, se desplegará la ventana informativa de ubicación de la base de datos de AD DS.

 

directorio_activo_windows_13.jpg

 

 

Nota
Recomendable no modificar estas ubicaciones.

 

 

Paso 13

Clic en Siguiente, a continuación se desplegará una ventana informativa con el proceso a realizar, si notamos en la parte inferior podemos realizar este mismo procedimiento usando Powershell, Windows Server nos da la opción de ver y copiar el script:

 

directorio_activo_windows_14.jpg

 

Paso 14

Damos clic en Siguiente, y Windows Server realizará una validación para que todos los requisitos de instalación estén correctos y así poder comenzar la instalación:

 

directorio_activo_windows_15.jpg

 

Paso 15

Damos clic en Instalar para iniciar el proceso de promover nuestro servidor a controlador de dominio:

 

directorio_activo_windows_16.jpg

 

El sistema se reiniciará para guardar la configuración y veremos en el panel del Administrador del Servidor que ya contamos con las opciones relacionadas al Directorio Activo.

 

En caso de que necesitemos borrar un controlador de dominio de nuestra estructura de red, debemos seguir los siguientes pasos:

 

1. Entramos al menú Administrar y elegimos Quitar roles y funciones

 

2. Se desplegará la ventana informativa, damos clic en Siguiente

 

3. Seleccionamos el servidor donde tenemos instalado el rol de AD DS

 

4. En la ventana de Roles de servidor seleccionamos la opción Servicios de dominio de directorio activo (debe quedar desactivada), quitamos las características de AD DS

 

5. Damos clic en Siguiente, seleccionamos las características que deseemos eliminar (en este caso no) y damos clic en Siguiente, se mostrará un resumen de la tarea que estamos por ejecutar y damos clic en Quitar

 

 

Nota
Debemos reiniciar el servidor para que los cambios sean aplicados.

 

 


2. Administrar Directorio Activo en Windows Server


Como administradores tenemos una gran responsabilidad en la creación, eliminación y modificación de objetos en el Directorio Activo, por ello debemos ser extremadamente cuidadosos con el proceso que realizamos en el mismo; Uno de las bases del Directorio son los usuarios y los equipos, recordemos que para que un usuario pueda pertenecer a nuestro dominio debe estar incluido en el AD y tener credenciales de ingreso.

 

Creación y administración de usuarios y equipos

Podemos crear un usuario a través de diferentes herramientas como lo son: Los asistentes de la consola de AD DS, el comando DSADD.EXE, PowerShell entre otros, en nuestro ejemplo usaremos el asistente de AD DS. Para ello vamos a realizar los siguientes pasos:

 

Ingresamos a Administre el servidor, elegimos del menú Herramientas la opción Centro de administración de Active Directory:

 

 

Se desplegará la consola del centro de administración de AD.

 

directorio_activo_windows_18.jpg

 

Al seleccionar nuestro servidor en el panel lateral izquierdo podremos ver que se despliegan una serie de opciones, como por ejemplo, equipos, usuarios, sistema, dispositivos TPM entre otros.

 

directorio_activo_windows_19.jpg

 

En el panel lateral derecho, en la parte inferior veremos que se abren las opciones referentes al objeto Users:

 

 

Allí podremos elegir lo que deseemos crear, usuarios, equipos, grupos, etc. Elegimos Usuario y podremos ver cómo cambia la estructura de creación comparada con versiones anteriores (a nivel de apariencia):

 

 

Nos podemos dar cuenta que debemos agregar la información básica del usuario para su configuración:

 

 

 

Una vez tengamos los cambios necesarios en el perfil del usuario damos clic en Aceptar para guardar dicha configuración.

 

Nota
Si deseamos crear nuestros usuarios o equipos a través de la ventana tradicional, podemos ejecutar el comando DCA.MSC o dirigirnos al menú Herramientas y elegir la opción Usuarios y equipos de Active Directory.

 

directorio_activo_windows_24.jpg

 

El mismo procedimiento realizamos para la creación de cualquier otro objeto en nuestro Directorio Activo, equipos, OUs, etc. Por ejemplo para la creación de un equipo nos dirigimos al menú inferior derecho del Centro de administración de Active Directory y elegimos Nuevo / Equipo.

 

 

En la ventana desplegada ingresamos información del equipo, así mismo indicamos a que dominio se va a incluir dicho equipo y para guardar los cambios damos clic en Aceptar.

 

directorio_activo_windows_26.jpg

 

En el centro de administración de Active Directory podemos gestionar otras funciones de nuestro rol, en el panel lateral derecho podemos encontrar lo siguiente:

 

 

Cambiar el controlador de dominio
Nos brinda la posibilidad de modificar nuestro DC

 

Elevar el nivel funcional del bosque
Nos permite elevar la funcionalidad del bosque de nuestro servidor (recordemos que no se puede bajar la funcionalidad)

 

Elevar el nivel funcional del dominio
Brinda la posibilidad de elevar la funcionalidad de nuestro dominio (No se puede rebajar esta funcionalidad)

 

Habilitar la papelera de reciclaje
Habilita la papelera para poder recuperar objetos eliminados en AD

 

 

Creación y administración de OUs (unidades organizacioneales)

Dentro de nuestro dominio podemos crear Unidades Organizacionales para tener un control más específico de los usuarios u objetos, así mismo podemos crear diferentes perfiles para cada OU. Un ejemplo gráfico puede ser el siguiente:

 

grafico-1.jpg

 

Así en nuestro ejemplo podríamos crear una política para cada OU sin que las demás se vean afectadas. Para crear una OU en nuestro Directorio Activo realizaremos el siguiente proceso:

 

Abrimos el Centro de administración de Active Directory desde el menú Herramientas y elegiremos del panel lateral derecho la opción Nuevo / Unidad Organizativa. Se desplegará la siguiente ventana:

 

directorio_activo_windows_28.jpg

 

Allí debemos especificar el nombre de la OU (en este caso usemos Pruebas IT) y podemos agregar comentarios y en la opción superior derecha Crear en: podemos definir en qué parte de nuestro Árbol vamos a crear dicha OU, por ejemplo, si nuestro esquema está conformado así:

 

grafico-2.jpg

 

Podríamos incluir Pruebas IT dentro de la OU IT:

 

grafico-3.jpg

 

Ingresamos los datos en la ventana del Centro de administración:

 

directorio_activo_windows_29.jpg

 

Podremos ver que nuestra OU Pruebas IT ha sido creada correctamente dentro de nuestro árbol:

 

directorio_activo_windows_30.jpg

 

 

 

Creación y administración de grupos en AD

Cuando un usuario inicia sesión en el dominio, Active Directory crea un token o una especie de identidad que indica automáticamente en que grupos está incluido este usuario; Un grupo puede crearse para fines distintos, por ejemplo, para acceder a ciertas rutas, para poder imprimir, para que le lleguen determinados correos etc.

 

Existen básicamente dos (2) tipos de grupos:

  • Distribución: Son creados básicamente para el envío de información a una o más personas
  • Seguridad: Son creados para garantizar el acceso a los recursos de la organización.

 

Para crear nuestro grupo realizaremos el siguiente proceso, primero nos dirigimos al Centro de administración de Active Directory, en el panel derecho elegimos Nuevo y luego Grupo. A continuación se desplegará la siguiente ventana donde elegiremos el tipo de grupo, ingresar nombre, entre otros parámetros (En nuestro caso elegiremos un grupo de Seguridad con ámbito global):

 

directorio_activo_windows_31.jpg

 

En este menú también podremos elegir la ubicación de nuestro grupo y damos clic en Aceptar. Veremos que nuestro grupo fue creado de manera correcta:

 

directorio_activo_windows_32.jpg

 

 

Las principales diferencias entre los diferentes ámbitos de grupos
Dominio Local
Pueden incluir miembros de los siguientes tipos: Usuarios, equipos, grupos globales, grupos universales y grupos de dominio local que estén dentro del mismo dominio.

 

Universal
Pueden albergar: Usuarios, equipos, grupos globales y otros grupos universales.

 

Global
Pueden albergar Usuarios, equipos y otros grupos globales dentro del mismo dominio.

 

 

Podemos ver claramente como las múltiples herramientas que incorpora el Directorio Activo nos pueden ayudar a gestionar toda nuestra infraestructura de manera práctica, sencilla y eficaz, teniendo siempre a mano toda la información disponible.

 

Exploremos a fondo cada herramienta de AD DS ya que sus utilidades son mucho más de las que nos podemos imaginar o plasmar, podemos crear, administrar o eliminar usuarios, equipos, OUs no sólo a través de los asistentes incorporados sino también a través de herramientas como PowerShell, línea de comandos etc.

 

Si quieres seguir aprendiendo e investigando nuevos tutoriales sobre Windows Server de todas las versiones, recuerda que tienes una sección en exclusiva de este tipo de contenido.

 

Comentarios

Entradas populares de este blog

Ejercicios para aprender AutoCAD 3D

Piezas 3D - interesantes

Cómo instalar una fuente de alimentación