Primeros pasos…
Unidades organizativas
Lo primero que hacemos es crear la estructura de Unidades Organizativas que utilizaremos tomando como referencia las grandes agrupaciones que se utilizan en la organización.
Utilizando estas unidades organizativas, podemos mantener ordenados y estructurados los elementos del dominio como usuarios y grupos del dominio de acuerdo con una división o agrupación que se utiliza en la organización de forma natural.
Equipos
Los equipos son los sistemas informáticos que van a forma parte del dominio.
Podemos añadir cuentas de equipo directamente desde la herramienta de usuarios y equipos de Active Directory. Aunque los equipos que representan no formarán parte del dominio activamente hasta que los unamos nosotros.
También podemos unir los equipos primero y, automáticamente, se creará la información de los equipos en la BBDD de AD.
Añadiendo una cuenta de equipo manualmente
Ahora mismo tenemos una cuenta de equipo en el dominio llamada pc02, cuyo nombre completo en nuestro dominio será pc02.castelar.ex.
Sin embargo, realmente ese equipo todavía no está unido al dominio. Tenemos que realizar todavía el proceso de unión.
Muchos de los campos de información del equipo no están rellenos, los tendremos que rellenar a mano o esperar a que el equipo se una y entonces se obtendrán del propio equipo.
Unir un equipo al dominio
Para unir un equipo al dominio primero tenemos que configurar el adaptador de red del equipo cliente para que tenga conexión con el controlador de dominio y que utilice como DNS el servidor DNS del dominio.
Iniciamos sesión con la cuenta de administrador, la que creamos durante la instalación del sistema operativo, y nos vamos a configuración de red.
¿Qué configuración ponemos?.
VirtualBox – Redes NAT
Como estamos trabajando con máquinas virtuales en VirtualBox, tendremos que haber creado previamente una Red NAT con la que vamos a interconectar los sistemas invitados. Vamos a echar un vistazo a dicha red NAT y a configurar nuestro sistema invitado Windows 10 para que utilice esa red NAT.
Datos del servidor
Ahora que tenemos ambas máquinas conectadas a la misma red NAT tendré que conocer cual es la dirección IP del controlador de dominio, es decir del sistema invitado Windows Server 2016. Necesitamos esta información porqu es en este equipo en el que se está ejecutando el servidor DNS del dominio que se instaló al instalar el rol de Servicios de Dominio de Active Directory.
Configuramos el adaptador de red del equipo cliente
Importante, tenemos que tener conexión de red con el controlador de dominio, así que le damos una dirección IP de la red NAT. Como servidor DNS utilizamos el servidor DNS del dominio.
Ahora podemos comprobar si todo ha ido bien utilizando comandos de red de Windows.
Si ese ping funciona significa por un lado que funciona la resolución de nombres del dominio, hemos utilizado el FQDN del controlador de dominio dc01.castelar.ex, y además nos devuelve el ping con lo que sabemos que tenemos conexión con él – ya lo sabíamos solo por la resolución porque el servidor DNS está en el controlador de dominio.
El servidor DNS que resuelve es el WS2106 controlador del dominio.
2. Añadir el equipo al dominio
Una vez que tenemos conexión con el controlador de dominio ahora lo que tenemos que hacer es unir el equipo al dominio.
Para ello, nos vamos al panel Sistema. Podemos utilizar el acelerador de teclado WND+PAUSE.
Puslamos en cambiar configuración en nombre del equipo. Esto nos llevará a propiedades del sistema.
Pulsamos el botón cambiar y rellenamos los datos con el nombre del equipo y el dominio al que queremos unirnos.
Pulsamos Aceptar y nos pedirá las credenciales de una cuenta con permiso suficiente para unir un equipo al dominio. Ahora mismo esta cuenta será la del administrador del dominio, no la cuenta de administrador de este equipo local.
Vamos a comprobar que se ha creado la cuenta de equipo.
Pulsamos F5 o actualizar si no aparece en primer término.
Cuentas de usuario del dominio
Para que los usuarios de nuestra organización puedan utilizar los recursos del dominio necesitan contar con una cuenta de usuario del dominio.
Con estas cuentas, atendiendo a las restricciones que queramos establecer, podrán iniciar sesión en cualquier equipo del dominio y trabajar con el sistema.
Para ello nos vamos a la UO en la que queramos crear la nueva cuenta de usuario.
Hay muchas pestañas de configuración, pero nos vamos a centrar en las que, a priori, para nosotros son más útiles.
También podemos configurar el perfil de la cuenta de usuario.
Lo utilizaremos cuando configuremos perfiles móviles y carpeta particular del usuario.
En la pestaña miembro de podemos comprobar a qué grupos pertenece el usuario y añadir el usuario a distintos grupos.
Copiar una cuenta de usuario..
Si vamos a crear varias cuentas de usuario que compartan una configuración concreta, como por ejemplo restricciones de horas, o pertenencia a grupos, podemos crear una primera cuenta de usuario, configurarla y después copiar dicha cuenta.
De hecho, esto se suele hacer con unas cuentas especiales llamadas plantillas. No es que sean cuentas especiales para Windows Server o AD, sino que el uso que le damos es el de poder crear nuevas cuentas de forma simple.
Se copia la configuración de Perfil, de miembro de y restricciones de la Cuenta.
Grupos de usuarios del dominio
Como sabemos hay tres tipos de grupos de dominio en un dominio AD: Global, Dominio Local y Universal.
Vamos crear un grupo global para representar cada una de las agrupaciones de usuarios que se utilizan de forma natural en la empresa.
Añadiendo usuarios a un grupo
Para añadir usuarios a un grupo podemos seleccionar todos los usuarios que queremos añadir al grupo desde la herramienta de usuarios y equipos de AD y haciendo con el botón derecho, seleccionamos Agregar a un grupo.. en el menú emergente contextual.
Seleccionamos el grupo, bien escribiendo el nombre del mismo o bien haciendo clic en comprobar nombres.
Si accedemos a propiedes del grupo, en la pestaña miembros tenemos los miembros del grupo.
Deste esta pestaña podemos agregar nuestros usuarios al grupo o quitar usuarios del grupo.
¿A qué grupos pertenece el grupo?
Gracias a la pestaña Miembro de del cuadro de dialogo de propiedades de un grupo, podemos comprobar a qué grupos pertenece un grupo.
Cambiando propiedades de varios usuarios a la vez
Seleccionamos los usuarios y hacemos clic con el botón secundario. Ahora se mostrará en el menú contextual las operaciones que podemos hacer sobre todos ellos.
Si pulsamos propiedades nos apacerá un cuadro de dialogo de propiedades de usuario donde podremos establecer valores para todas las cuentas de usuario seleccionadas.
El número de pestañas disponible ha disminuido, puesto que las operaciones de configuración se aplicarán a varias cuentas de usuario.
Iniciando sesión en un equipo del dominio
Ahora que tenemos cuentas de usuario del dominio podemos iniciar sesión con las cuentas de usuario del dominio creadas en los equipos en los que tengan permiso para ello. Por defecto, tienen permiso de inicio de sesión en todos los equipos, salvo que hayamos cambiado la configuración para alguna cuenta de usuario.
Con las cuentas de usuario del dominio, como las tenemos configuradas en este caso práctico, podemos iniciar sesión en cualquier equipo del dominio.
El problema está en que, se están utilizando perfiles de usuario locales. Es decir, todo lo que haga en el equipo pc01 el usuario marinapg@castelar.ex se va a guardar localmente en un perfil de usuario local en dicho equipo.
Si inicia sesión en otro equipo, estos ficheros no estarán disponibles.
Vamos a echar un vistazo al tipo de perfil que se está utilizando en esta cuenta de usuario.
Podemos observar que hay dos perfiles de cuentas de usuario del dominio almacenados en este equipo. Ambos perfiles son de los usuarios Administrador@castelar.ex y marinapg@castelar.ex. Aunque la nomenclatura que utiliza W10 en este caso es la de NetBIOS antigua CASTELAR\Administrador y CASTELAR\marinapg.
También podemos observar que hay dos perfiles de cuentas de usuario locales de este equipo. PC01\alumno y PC01\marinapg. Es decir, en este equipo teníamos una cuenta previamente para el usuario marinapg.
Iniciando sesión con una cuenta local del equipo
Para iniciar sesión con una cuenta local de un equipo que ya está unido a un dominio, tenemos que indicar en el nombre del usuario que queremos utilizar una cuenta local de este equipo.
Para ello, vamos a otro usuario.
Investigando un error…
Estos errores pueden estar causados por las discrepancias en la configuración de fecha y hora de nuestros sistemas. Esto no suele pasar en sistemas reales, pero si en sistemas virtualizados en los que, para ahorrar tiempo, guardamos el estado de la máquina y la retomamos después de días.
Dejar una respuesta