Directorio Activo - Active Directory

http://www.bujarra.com/ProcedimientoADyDA.html

ACTIVE DIRECTORY - PROPIEDADES DE USUARIO

Directorio activo , En este procedimiento se explica lo bsico de cmo organizar el directorio activo con unidades organizativas, cmo crear usuarios para la gente y que puedan loguearse en todos los puestos, crear grupos, y al final del todo las propiedades ms interesantes de los usuarios. Para abrir la consola principal del Directorio activo, tenemos que estar en un MS Windows 2000 o 2003 versin server, luego hay que ir a: "Inicio" > "Programas" > "Herramientas Administrativas" > "Usuarios y equipos del Active Directory"

Lo primero de todo es ver todas las opciones y pestaas, pq unas vienen ocultas y luego algunas nos harn falta, para eso: pinchamos en la pestaa "Ver" y luego en "Caractersticas avanzadas".

1 de 17

01/12/2007 1:25

Directorio Activo - Active Directory

http://www.bujarra.com/ProcedimientoADyDA.html

En la imagen anterior es cmo suelo dejar organizado el directorio activo, lo suelo organizar con una carpeta principal con el nombre de la empresa para luego ir creando unidades organizativas (UO) dentro, del estilo de Usuarios, Equipos y Grupos, dentro de cada contenedor se crean los contenedores y dentro de estos por ejemplo los usuarios; en la carpeta Equipos muevo los ordenadores que estan en el dominio, estos por defecto estan en el contenedor "Computers", y igual que con los usuarios se hace con los Grupos de Usuarios. Todo esto es importante por si nos interesa poner politicas en nuestro DA (Directorio Activo) para una optima gestion de seguridad y control de usuarios/equipos/grupos...

2 de 17

01/12/2007 1:25

Directorio Activo - Active Directory

http://www.bujarra.com/ProcedimientoADyDA.html

Lo primero es crear una estructura mediante unidades organizativas (UO), para ello desde la raiz creamos una con el nombre de la empresa o el nombre de dominio, luego crearemos las que se nos vayan ocurriendo. Para ello donde nos interese, botn derecho > "Nuevo" > "Unidad organizativa".

3 de 17

01/12/2007 1:25

Directorio Activo - Active Directory

http://www.bujarra.com/ProcedimientoADyDA.html

Le indicamos el nombre de la UO, por ejemplo el de un departamento de una empresa.

Una vez creada la estructura de UO's, lo siguiente es crear los usuarios, para eso o pinchamos en el icono ese o sino botn derecho > "Nuevo" > "Usuario".

4 de 17

01/12/2007 1:25

Directorio Activo - Active Directory

http://www.bujarra.com/ProcedimientoADyDA.html

Le indicamos los datos que nos interesen, por ejemplo el nombre y los apellidos, es importante poner el "Nombre de inicio de sesin de usuario" con una poltica interesante, ya que si ponemos el nombre de la persona y entra en nuestra organizacin o empresa otra que se llame igual... pues... no es plan :), lo ideal es poner la inicial del nombre seguido del apellido, es lo ms formal que se me ocurre. Si en un futuro usaremos un servidor MS Exchange para el correo electronico interno de nuestra empresa, podemos a provechar, ya que el nombre de inicio de sesin sera lo mismo que el login, quedando: napellido3@bujarra.com, le damos a "Siguiente".

Le indicamos una contrasea, si ponemos una corta y estamos en un servidor MS Windows 2003 nos dar un error pq no cumplimos con una contrasea robusta, esto es por seguridad, ya que cuanto ms compleja sea nuestra contrasea ms segura es nuestra red, para que no

5 de 17

01/12/2007 1:25

Directorio Activo - Active Directory

http://www.bujarra.com/ProcedimientoADyDA.html

nos saquen contraseas. Lo de la compleidad de contraseas se ver en el procedimiento de polticas, ya que se editan en otro lado. Marcamos los checks que nos interesen y "Siguiente".

Finalizar. Al final de este procedimiento estn las Propiedades de Usuarios ms comunes.

Una vez creados varios usuarios vamos a crear Grupos. En principio, si no tenemos un

6 de 17

01/12/2007 1:25

Directorio Activo - Active Directory

http://www.bujarra.com/ProcedimientoADyDA.html

servidor de correo Exchange instalado los usaremos slo para cuando asignemos permisos en carpetas, en vez de ir usuario por usuario dando permisos se usarn los grupos.

Indicamos el nombre del Grupo, que podra ser el mismo que un departamento de una empresa, el tipo de grupo es el importante, si queremos aplicar para temas de permisos en carpetas a un grupo de usuarios escojemos "Seguridad"; en cambio, si es para crear el tipico grupo que cuando alguien manda un mail quieres que llegue a varias personas a la vez, sera de tipo "Distribucin", por ejemplo que alguien manda un mail a tecnicos@bujarra.com le lleguen a Nombre1 Apellido1 (napellido1) y a Nombre2 Apellido2 (napellido2), pero eso est en el Procedimiento de MS Exchange 2003 explicado.

7 de 17

01/12/2007 1:25

Directorio Activo - Active Directory

http://www.bujarra.com/ProcedimientoADyDA.html

Seleccionamos los usuarios que nos interesan aadir al grupo, botn derecho encima de ellos > "Agregar a un grupo..."

Escribimos el nombre del grupo, damos a "Comprobar nombres" y despus a "Aceptar". Propiedades de usuarios, Una vez creados los usuarios es interesante mirar las opciones ms interesantes de ellos:

8 de 17

01/12/2007 1:25

Directorio Activo - Active Directory

http://www.bujarra.com/ProcedimientoADyDA.html

Esta es la pestaa General, donde lo interesante es tener bien puesto sus datos y el "Nombre para mostrar".

9 de 17

01/12/2007 1:25

Directorio Activo - Active Directory

http://www.bujarra.com/ProcedimientoADyDA.html

En la pestaa "Cuenta", podemos indicar en que horas del da puede iniciar sesin, en que equipos puede iniciar sesin, cuando le caduca la cuenta de usuario...

10 de 17

01/12/2007 1:25

Directorio Activo - Active Directory

http://www.bujarra.com/ProcedimientoADyDA.html

Ruta de acceso al perfil: Si tenemos perfiles moviles, aqu indicariamos cuando el usuario inicie sesin de donde cojer los datos del perfl, en el procedimiento de perfiles mviles est explicado. Secuencia de comandos de inicio de sesin: Si queremos que este usuario cuando inicie su sesion en su PC se le ejecute algun archivo de comandos, por ejemplo el tipico archivo de MSDOS que mapea unidades de red... Estos archivos deberan de guardarse en uno de los servidores, en la carpeta SYSVOL, si hay ms de un servidor se replican entre ellos estos archivos, si no sabes donde est la SYSVOL, deja los scripts en \\servidor\netlogon, en el campo de texto de la imagen se tiene que poner slo el nombre del ejecutable.

11 de 17

01/12/2007 1:25

Directorio Activo - Active Directory

http://www.bujarra.com/ProcedimientoADyDA.html

Esta pantalla es para el uso exclusivo de los servicios de TS (Terminal Server), si queremos que este usuario controle remotamente sesiones de otros usuarios, y si necesita permiso del usuario a controlar, si queremos que slo vea o que tambin controle la sesin.

12 de 17

01/12/2007 1:25

Directorio Activo - Active Directory

http://www.bujarra.com/ProcedimientoADyDA.html

Esta pantalla es igual que la de "Perfil" pero slo se aplicara cuando un usuario inicie sesin en un terminal Server (TS). Es importante el ltimo check, que es donde le daremos permiso a un usuario para que inicie sesin o no en un servidor de TS.

13 de 17

01/12/2007 1:25

Directorio Activo - Active Directory

http://www.bujarra.com/ProcedimientoADyDA.html

En "Miembro de" es a que grupos pertenece el usuario.

14 de 17

01/12/2007 1:25

Directorio Activo - Active Directory

http://www.bujarra.com/ProcedimientoADyDA.html

Esta pantalla es por si queremos que este usuario tenga acceso desde el exterior a nuestra red, bien por VPN (o VPN Segura) o bien por RAS, todo esto desde la consola de "Enrutamiento y Acceso Remoto". Es importante marcar el check, pq si no no tendra permiso de acceso.

15 de 17

01/12/2007 1:25

Directorio Activo - Active Directory

http://www.bujarra.com/ProcedimientoADyDA.html

Si queremos que cuando un usuario inicie sesin en un servidor de TS en vez que vea el escritorio tenga acceso slo a un programa determinado se le indica el path y el ejecutable y ya est. Adems tenemos las opciones de que se intalen las impresoras del usuario en el servidor para cuando le de a imprimir imprima por las suyas.

16 de 17

01/12/2007 1:25

Directorio Activo - Active Directory

http://www.bujarra.com/ProcedimientoADyDA.html

Finalizar una sesin desconectada: Una sesin desconectada es cuando se cierra la ventana del cliente de TS sin haberle dado a cerrar sesin, es el tiempo que se espera hasta que se finaliza la sesin. Limite de sesin activa: El tiempo mximo que puede estar logueado un usuario sin cerrar sesin. Limite de sesin inactiva: El tiempo mximo que puede estar cerrada una sesin desconectada en el servidor TS. Cuando se alcanza el limite de una sesion o se pierde la conexin: Que hace el servidor cuando un usuario desconecta la sesin o cuando no tiene conexin con el servidor. Si la deja desconectada o la finaliza. Permitir volverse a conectar: Cuando se desconecta una sesin y se tiene que volver a conectarse el usuario, desde donde se le deja volver a conectarse, si slo desde su puesto o desde cualquier otro PC. Hay que tener en cuenta que si se finaliza la sesin puede que haya perdidas de datos.

17 de 17

01/12/2007 1:25