Son muchos los tutoriales y manuales prácticos que solemos realizar sobre Windows Server, pero este en concreto es uno de los principales, ya que abordamos el Directorio Activo o Active Directory. Es un tema de suma importancia en nuestro día a día como administradores de una red, ya que gracias a al Directorio Activo tenemos control centralizado de todos los recursos de nuestra red, esto significa que a través del Directorio Activo podremos gestionar los usuarios, impresoras, equipos, etc.
El servicio implementado en Windows Server se denomina AD DS (Active Directory Domain Services- Servicios de Dominio en Directorio Activo).
Aunque hay muchas cosas necesarias previas como ser servidor DNS, ahora vamos a comprender el proceso de la instalación y configuración de nuestro Directorio Activo. El servicio AD DS es un servicio que nos permite como administradores de red en una organización gestionar nuestros recursos a través de una o unas divisiones organizacionales llamadas Dominio, pero que es un dominio, es un contenedor lógico de los componentes de red de nuestra empresa, este contenedor se encuentra ubicado en el servidor que ha sido designado como DC (Domain Controller- Controlador de Dominio).
Vamos a empezar con la instalación del Directorio Activo. Para crear un nuevo dominio debemos instalar el rol de AD DS y a partir de allí ejecutar el asistente. Debemos tener en cuenta que necesitamos tener asignada una dirección IP estática en nuestra red y podremos crear un nuevo dominio o adicionar uno existente.
1. Instalar Directorio Activo en Windows Server
Para instalar nuestro rol de AD DS vamos a realizar los siguientes pasos:
Nos dirigimos a nuestro Administrador de Servidor o Server Manager y allí elegimos la opción Agregar roles o características (Puede ser a través del menú de inicio rápido o a través del menú Administrar).
En la ventana inicial (informativa) damos clic en Siguiente, posteriormente elegimos la opción de la Instalación basada en roles.
Damos clic en Siguiente y elegimos el servidor donde deseamos instalar nuestro rol de AD DS:
Damos clic en Siguiente y procedemos a elegir el rol solicitado (Servicios de dominio de Active Directory), agregamos las características desplegadas:
Damos clic en Siguiente seleccionamos (si deseamos) las características y damos clic en Siguiente y se desplegará un resumen de lo que vamos a instalar en nuestro servidor:
Damos clic en Siguiente y procedemos a comenzar nuestra instalación dando clic en el botón Instalar.
Una vez instalado nuestro rol de AD DS debemos reiniciar nuestro servidor para aplicar los cambios. Antes de iniciar nuestro asistente de AD DS debemos promover nuestro servidor a controlador de dominio (DC).
Para promover el servidor a DC nos dirigimos a nuestro Administrador de Servidor y desplegamos el flag de información, allí se indicará la siguiente nota: Promover este servidor a controlador de dominio.
Damos clic en esta opción y se desplegará el asistente para configuración de servicios de dominio de Directorio Activo.
Veremos que contamos con tres (3) opciones de configuración:
En nuestro caso elegiremos la opción Agregar un nuevo bosque, elegiremos el nombre para nuestro domino y damos clic en Siguiente:
Después que el sistema valide si el nombre de dominio raíz es válido, se desplegarán las opciones del controlador de dominio, donde contamos con algunas opciones muy importantes que debemos tener en cuenta a nivel de funcionalidad de nuestro servidor:
- Windows Server 2003
- Windows Server 2008
- Windows Server 2008 R2
- Windows Server 2012
Recordemos que si deseamos incrementar la funcionalidad sólo podremos en una edición superior, por ejemplo, no es posible si tengo el nivel funcional en Windows Server 2008 R2 pasarlo a Windows Server 2008.
Seleccionamos el nivel que requiera nuestra infraestructura, ingresamos la contraseña DSRM-Directory Service Restore Mode-Modo de restauración de servicios de directorio, esta contraseña es necesaria en caso de tener que restaurar el sistema desde una copia de seguridad del DC. Damos clic en Siguiente
En la siguiente ventana tenemos las opciones de DNS (es normal que aparezca esta advertencia, luego lo configuraremos a través de la consola de DNS):
Damos clic en Siguiente, y veremos el nombre de NETBIOS asignado por el sistema, nosotros decidimos si lo cambiamos o dejamos ése por defecto:
Clic en Siguiente, se desplegará la ventana informativa de ubicación de la base de datos de AD DS.
Clic en Siguiente, a continuación se desplegará una ventana informativa con el proceso a realizar, si notamos en la parte inferior podemos realizar este mismo procedimiento usando Powershell, Windows Server nos da la opción de ver y copiar el script:
Damos clic en Siguiente, y Windows Server realizará una validación para que todos los requisitos de instalación estén correctos y así poder comenzar la instalación:
Damos clic en Instalar para iniciar el proceso de promover nuestro servidor a controlador de dominio:
El sistema se reiniciará para guardar la configuración y veremos en el panel del Administrador del Servidor que ya contamos con las opciones relacionadas al Directorio Activo.
En caso de que necesitemos borrar un controlador de dominio de nuestra estructura de red, debemos seguir los siguientes pasos:
1. Entramos al menú Administrar y elegimos Quitar roles y funciones
2. Se desplegará la ventana informativa, damos clic en Siguiente
3. Seleccionamos el servidor donde tenemos instalado el rol de AD DS
4. En la ventana de Roles de servidor seleccionamos la opción Servicios de dominio de directorio activo (debe quedar desactivada), quitamos las características de AD DS
5. Damos clic en Siguiente, seleccionamos las características que deseemos eliminar (en este caso no) y damos clic en Siguiente, se mostrará un resumen de la tarea que estamos por ejecutar y damos clic en Quitar
2. Administrar Directorio Activo en Windows Server
Como administradores tenemos una gran responsabilidad en la creación, eliminación y modificación de objetos en el Directorio Activo, por ello debemos ser extremadamente cuidadosos con el proceso que realizamos en el mismo; Uno de las bases del Directorio son los usuarios y los equipos, recordemos que para que un usuario pueda pertenecer a nuestro dominio debe estar incluido en el AD y tener credenciales de ingreso.
Podemos crear un usuario a través de diferentes herramientas como lo son: Los asistentes de la consola de AD DS, el comando DSADD.EXE, PowerShell entre otros, en nuestro ejemplo usaremos el asistente de AD DS. Para ello vamos a realizar los siguientes pasos:
Ingresamos a Administre el servidor, elegimos del menú Herramientas la opción Centro de administración de Active Directory:
Se desplegará la consola del centro de administración de AD.
Al seleccionar nuestro servidor en el panel lateral izquierdo podremos ver que se despliegan una serie de opciones, como por ejemplo, equipos, usuarios, sistema, dispositivos TPM entre otros.
En el panel lateral derecho, en la parte inferior veremos que se abren las opciones referentes al objeto Users:
Allí podremos elegir lo que deseemos crear, usuarios, equipos, grupos, etc. Elegimos Usuario y podremos ver cómo cambia la estructura de creación comparada con versiones anteriores (a nivel de apariencia):
Nos podemos dar cuenta que debemos agregar la información básica del usuario para su configuración:
Una vez tengamos los cambios necesarios en el perfil del usuario damos clic en Aceptar para guardar dicha configuración.
El mismo procedimiento realizamos para la creación de cualquier otro objeto en nuestro Directorio Activo, equipos, OUs, etc. Por ejemplo para la creación de un equipo nos dirigimos al menú inferior derecho del Centro de administración de Active Directory y elegimos Nuevo / Equipo.
En la ventana desplegada ingresamos información del equipo, así mismo indicamos a que dominio se va a incluir dicho equipo y para guardar los cambios damos clic en Aceptar.
En el centro de administración de Active Directory podemos gestionar otras funciones de nuestro rol, en el panel lateral derecho podemos encontrar lo siguiente:
Dentro de nuestro dominio podemos crear Unidades Organizacionales para tener un control más específico de los usuarios u objetos, así mismo podemos crear diferentes perfiles para cada OU. Un ejemplo gráfico puede ser el siguiente:
Así en nuestro ejemplo podríamos crear una política para cada OU sin que las demás se vean afectadas. Para crear una OU en nuestro Directorio Activo realizaremos el siguiente proceso:
Abrimos el Centro de administración de Active Directory desde el menú Herramientas y elegiremos del panel lateral derecho la opción Nuevo / Unidad Organizativa. Se desplegará la siguiente ventana:
Allí debemos especificar el nombre de la OU (en este caso usemos Pruebas IT) y podemos agregar comentarios y en la opción superior derecha Crear en: podemos definir en qué parte de nuestro Árbol vamos a crear dicha OU, por ejemplo, si nuestro esquema está conformado así:
Podríamos incluir Pruebas IT dentro de la OU IT:
Ingresamos los datos en la ventana del Centro de administración:
Podremos ver que nuestra OU Pruebas IT ha sido creada correctamente dentro de nuestro árbol:
Cuando un usuario inicia sesión en el dominio, Active Directory crea un token o una especie de identidad que indica automáticamente en que grupos está incluido este usuario; Un grupo puede crearse para fines distintos, por ejemplo, para acceder a ciertas rutas, para poder imprimir, para que le lleguen determinados correos etc.
Existen básicamente dos (2) tipos de grupos:
- Distribución: Son creados básicamente para el envío de información a una o más personas
- Seguridad: Son creados para garantizar el acceso a los recursos de la organización.
Para crear nuestro grupo realizaremos el siguiente proceso, primero nos dirigimos al Centro de administración de Active Directory, en el panel derecho elegimos Nuevo y luego Grupo. A continuación se desplegará la siguiente ventana donde elegiremos el tipo de grupo, ingresar nombre, entre otros parámetros (En nuestro caso elegiremos un grupo de Seguridad con ámbito global):
En este menú también podremos elegir la ubicación de nuestro grupo y damos clic en Aceptar. Veremos que nuestro grupo fue creado de manera correcta:
Podemos ver claramente como las múltiples herramientas que incorpora el Directorio Activo nos pueden ayudar a gestionar toda nuestra infraestructura de manera práctica, sencilla y eficaz, teniendo siempre a mano toda la información disponible.
Exploremos a fondo cada herramienta de AD DS ya que sus utilidades son mucho más de las que nos podemos imaginar o plasmar, podemos crear, administrar o eliminar usuarios, equipos, OUs no sólo a través de los asistentes incorporados sino también a través de herramientas como PowerShell, línea de comandos etc.
Si quieres seguir aprendiendo e investigando nuevos tutoriales sobre Windows Server de todas las versiones, recuerda que tienes una sección en exclusiva de este tipo de contenido.