Instalación Windows Server 2008 R2 x64 Bits Enterprise Vamos a instalar el Server 2008 R2 x64 Bits Enterprise desde la carpeta ‘Windows Server 2008 R2 with Service Pack 1 (x64) - DVD (Spanish)’ con la ISO ‘es_windows_server_2008_r2_with_sp1_x64_dvd_617398.iso’. Este Server 2008 será en esta práctica nuestro controlador de Dominio principal y el servidor Zentyal pasará a controlador de Dominio Adicional. Como siempre con nuestro usuario como en todos los demás Server’s Administrador y contraseña Administrador. Antes de arrancar la instalación le cambiamos el adaptador de red y lo colocamos en la misma Custom 3 que tenemos el Servidor Zentyal.
Como nombre de máquina DC1-2K8R2 que se lo cambiamos nada más arrancar el Servidor después de su instalación Una vez instalado le daremos la IP 192.168.2.2 y al crear el Server con su AD, como dominio ISO.ORG (es el mismo que tenemos en el Zentyal)
Panel de Control Cuentas de Usuario Cuentas de Usuario Administrar otra cuenta La cuenta Administrator que es una cuenta local vamos a ponerle la contraseña AdminRoberto1 Reiniciamos el servidor para pasar a realizar un DCPROMO e instalar el Active Directory con su correspondiente servicio de DNS
Para la contrase帽a del modo de restauraci贸n AdminRoberto1
Una vez finalizada la instalaciรณn del AD y del DNS, reiniciamos la mรกquina
Ahora pasamos a dejar bien configurado el DNS y para ello desde la configuraciรณn de la tarjeta de red, en el Protocolo IPv6 Propiedades y activamos Obtener la direcciรณn del servidor DNS automรกticamente
Inicio Herramientas administrativas DNS Primero deberemos de crear una zona inversa.
Como Zona principal, para todos los servidores DNS que se ejecutan en controladores de dominio en este dominio: ISO.ORG
Nos colocamos sobre el nombre de nuestro servidor en la zona directa botón derecho y propiedades Marcamos la opción Actualizar el registro del puntero (PTR) asociado
Y vemos como ahora nos aparece en la zona inversa, que antes no aparecía
Ahora nos colocamos sobre nuestra zona DNS, botón derecho Propiedades Marcamos en la pestaña Interfaces, Sólo las siguientes direcciones IP y desmarcamos la correspondiente al IPv6
Borramos la cache, actualizamos la zona DNS y ejecutamos nslookup para comprobar que nuestra zona DNS funciona correctamente A la direcci贸n IP 192.168.2.2 Al nombre del servidor (Zona Inversa) dc1-2k8r2.iso.org Y al nombre del dominio iso.org
Ahora pasamos a arrancar el Servidor Zentyal y en nuestro Server2008 colocamos su IP como puerta de enlace
De esta manera ya tenemos internet en nuestro Server 2008, vemos como nos resuelve un Ping tanto a la DNS de Google como a su direcci贸n Web
Y en el navegador Internet Explorer x64 también nos aparece
Ahora vamos a probar la Zona DNS Desde Inicio Herramientas Administrativas DNS (Botón derecho sobre el Nombre del Servidor) Pestaña Supervisión, primero realizamos una única consulta con este servidor DNS
DespuĂŠs hacemos la prueba con Una consulta recursiva a otros servidores DNS
En la pestaĂąa Reenviadores, metemos la IP DNS de Google 8.8.8.8 y la IP del Servidor Zentyal 192.168.2.1 Nos da todo correcto porque previamente hemos ingresado en la configuraciĂłn de la tarjeta de red la Puerta de enlace al Servidor ZENTYAL 192.168.2.1 Volvemos a realizar la prueba Una consulta recursiva a otros servidores DNS
Ahora vamos a preparar el Servidor Zentyal para ponerlo como Controlador de dominio Adicional Lo primero de todo tendremos que tener nuestros dos servidores sincronizados con la hora En General Fecha/hora Desactivamos NTP y lo volvemos a activar
Ya lo tenemos sincronizado a la hora real
Ahora en DNS, Direcciones IP del Dominio
Quitamos la IP correspondiente al DHCP de la WAN (Conex. Externa) y metemos la IP del Server 2008
Una vez modificado, nos queda algo como esto
Ahora en Nombres de máquinas, vemos como sólo tenemos Zentyal
Añadimos el del Server 2008 (DC1-2K8R2), junto con su IP. Además de modificar la IP del Zentyal (Quitamos la WAN)
En los Redireccionadores
Añadimos la IP del Server 2008 (192.168.2.2)
Ya vamos a pasar a meterlo en el dominio Desde Dominio, Configuración Elegimos Controlador de dominio adicional FQDN: DC1-2K8R2.ISO.ORG IP: 192.168.2.2 Cuenta Administrador: Administrador (Cuenta administrador del Server 2008) Contraseña Administrador: Administrador
Si nos diera algĂşn fallo para unirlo al dominio debido al servicio samba, antes de realizar este paso en ComparticiĂłn de ficheros. Deshabilitamos la carpeta compartida.
Ahora ya una vez que nos hemos unido al dominio como controlador adicional, ya podemos volver a habilitar la carpeta compartida En nuestro Server 2008, vemos como ya se ha unido el Servidor Zentyal a Domain Controllers
AsĂ como en el Servidor Zentyal en Usuarios, igualmente vemos los dos equipos en la carpeta Domain Controllers
Seleccionamos el dominio ISO.ORG, y vamos a crear una Unidad Organizativa (Trabajo), un Grupo (Trabajo_Seguridad) y un Usuario (Usuario_Trabajo) con la contraseña Usuario01* Si al intentar crear la UO nos da algún fallo, deberemos de reiniciar el Servidor Zentyal Nueva Unidad Organizativa
Nuevo Grupo
Nuevo Usuario. En el Server 2008 actualizamos y vemos la UO y el nuevo usuario
Para probar ahora el usuario, desde una máquina W7. La máquina que antes teníamos unida al Dominio ISO.ORG cuando el Servidor Zentyal estaba como Stand-alone. Deberemos de sacarlo del dominio y volver a meterlo. Entramos como usuario local (W7X64EFI\weasel Usuario01*). Sacamos al equipo del Dominio y lo metemos en GRUPO_TRABAJO
Reiniciamos la mĂĄquina W7 y ahora lo metemos en el Dominio ISO.ORG donde tenemos el Servidor 2008 como servidor principal y el Servidor Zentyal como Controlador de dominio adicional
Una vez unido al dominio, comprobamos como aparece nuestro equipo en los dos servidores
Reiniciamos de nuevo y ahora entramos con el usuario del dominio Usuario_trabajo y la contraseĂąa Usuario01*
Autenticación Kerberos V5 Autenticación Kerberos V5 Krbtgt es: Kerberos Ticket Granting Ticket, es el servicio que proporciona los Tickets para acceder al servicio de distribución de tickets. https://msdn.microsoft.com/es-es/library/cc783708%28v=ws.10%29.aspx
Autenticación Kerberos V5 Kerberos V5 es el protocolo de seguridad principal para la autenticación dentro de un dominio. El protocolo Kerberos V5 comprueba la identidad del usuario que solicita la autenticación y el servidor que proporciona la autenticación solicitada. Esta comprobación doble se denomina también autenticación mutua.
Introducción al funcionamiento de Kerberos V5 El mecanismo de autenticación de Kerberos V5 emite vales para tener acceso a los servicios de red. Estos vales contienen datos cifrados, que incluyen una contraseña cifrada para confirmar la identidad del usuario al servicio solicitado. Aparte de la escritura de una contraseña o las credenciales de tarjeta inteligente, todo el proceso de autenticación pasa desapercibido para el usuario. Un servicio importante de Kerberos V5 es el Centro de distribución de claves (KDC, Key Distribution Center). El KDC se ejecuta en cada controlador de dominio como parte del servicio de directorio Active Directory, que almacena todas las contraseñas del cliente y otros datos de las cuentas. El proceso de autenticación de Kerberos V5 funciona de la siguiente manera: 1. El usuario de un sistema de cliente se autentica en el KDC mediante una contraseña o tarjeta inteligente. 2. El KDC emite al cliente un vale especial que concede vales. El sistema cliente utiliza este vale para tener acceso al servicio de concesión de vales (TGS, Ticket-Granting Service), que forma parte del mecanismo de autenticación de Kerberos V5 en el controlador de dominio. 3. El servicio de concesión de vales emite a continuación un vale de servicio para el cliente. 4. El cliente presenta este vale de servicio al servicio de red solicitado. El vale de servicio prueba la identidad del usuario al servicio y la identidad del servicio al usuario.
Se instalan los servicios de Kerberos V5 en cada controlador de dominio y un cliente de Kerberos en cada estación de trabajo o servidor. Cada controlador de dominio funciona como un KDC. Un cliente utiliza una búsqueda de Servicio de nombres de dominio (DNS) para localizar el controlador de dominio disponible más cercano. Este controlador de dominio funcionará como el KDC preferido para ese usuario durante sus inicios de sesión. Si el KDC preferido deja de estar disponible, el sistema localizará otro alternativo para proporcionar la autenticación.
El Interior del Directorio Activo Esquema • Definición formal de todos los objetos Directorio Activo y sus atributos • Cada tipo de objeto (clase) deriva de una clase principal Top • Las clases heredan de otras clases su definición y comportamiento • Cada objeto dispone de atributos obligatorios y atributos opcionales • Símil con una tabla de BBDD Relacional • Clase => Definición en una fila de un objeto • Atributos => Columnas que definen una clase • Cada atributo a su vez puede verse como una colección de posibles valores • El Esquema se puede ver en la consola de Active Directory Schema • Se pueden ver/añadir/modificar clases y atributos por separado Nomenclatura de objetos • Cada objeto se designa por su DN (Distinguished Name) • Este recorre la estructura del DA en forma de árbol • Cada objeto dispone de un RDN (Relative Distiguished Name) dentro de su ámbito local (p.e. dentro de una OU) • El DN de un objeto se compone de todos los RDN de él mismo y de todos sus contenedores • Ej. De DN • Cn=alex,ou=usuariosdemo,dc=zaltormovil,dc=local 1. Common Name = alex 2. Organizational Unit = usuariosdemo 3. Domain Component = zaltormovil 4. Domain Component = local • Cada objeto lleva asignado un GUID único (asignado por RID) • Objetos de tipo Security Principals (usuarios, grupos, equipos; objetos con acceso a recursos) además disponen de SID • El nombre de un usuario o de un PC puede cambiar, pero su GUID no. • EL GUID se puede ver con ADSI Edit • Atributo: objectGUID
Administrar Servidores (Zentyal) usando RSAT Fuente: https://oitibs.com/manage-zentyal-using-rsat/ Nos descargamos la herramienta RSAT for Windows 7 SP1 (Windows6.1-KB958830-x64-RefreshPkg.msu) La instalamos en una máquina W7 dentro de nuestro dominio. Tendremos en cuenta si nuestra máquina es x32 o x64 para descargar la aplicación e instalarla Entramos en la máquina W7 como usuario Administrator y contraseña AdminRoberto1
Inicio Panel de Control Programas Programas y características Activar o desactivar las características de Windows Instalamos las Herramientas de administración remota del servidor tal y como las fotos
Ahora ya podemos ver en nuestra mรกquina W7 Herramientas Administrativas
Vamos al Editor ADSI
Antes de continuar verificamos la IP de nuestra mĂĄquina, posiblemente nos haya cambiado la IP a otra que no estĂŠ conectado a nuestro dominio Ejecutamos cmd ipconfig /release ipconfig /renew
Para conectar utilizamos cualquiera de estas dos opciones
Bot贸n derecho sobre OU=Trabajo Propiedades
Abrimos un cmd sobre este ejecutamos klist (nos muestra los tickets kerberos)
En Zentyal vemos la configuraci贸n LDAP
klist tgt (Datos TGT almacenados en cache)
Prioridad de las directivas de grupo Fuente : https://msdn.microsoft.com/es-es/library/cc785665(v=ws.10).aspx
Orden de procesamiento de la configuración En esta sección se proporcionan detalles acerca del orden en que se procesa la configuración de la directiva de grupo para usuarios y equipos. Para obtener información acerca de la importancia del procesamiento de la configuración de directivas en el marco de inicio del equipo y del inicio de sesión del usuario, vea los pasos 3 y 8 de Inicio de sistema e inicio de sesión, en este tema. La configuración de la directiva de grupo se procesa en el orden siguiente: 1. Objeto de directiva de grupo local: cada equipo tiene exactamente un objeto de directiva de grupo almacenado de forma local. Este objeto controla el procesamiento de las directivas de grupo de equipo y usuario. 2. Sitio: todos los GPO vinculados al sitio al que pertenece el equipo se procesan a continuación. El procesamiento se efectúa en el orden especificado por el administrador, en la ficha Objetos de directivas de grupo vinculados del sitio en la Consola de administración de directivas de grupo (GPMC, Group Policy Management Console). El GPO con el orden de vínculos más bajo es el último en procesarse y, por tanto, tiene la máxima prioridad. 3. Dominio: el procesamiento de varios GPO vinculados a un dominio se efectúa en el orden especificado por el administrador, en la ficha Objetos de directivas de grupo vinculados del dominio en GPMC. El GPO con el orden de vínculos más bajo es el último en procesarse y, por tanto, tiene la máxima prioridad. 4. Unidades organizativas: los GPO vinculados a la unidad organizativa que se encuentra en el nivel más alto de la jerarquía de Active Directory se procesan primero, luego los GPO vinculados a su unidad organizativa secundaria y así sucesivamente. Por último, se procesan los GPO vinculados a la unidad organizativa que contiene el usuario o el equipo. En el nivel de cada unidad organizativa de la jerarquía de Active Directory, pueden vincularse uno, varios o ningún GPO. Si varios GPO están vinculados a una unidad organizativa, su procesamiento se efectúa en el orden especificado por el administrador, en la ficha Objetos de directivas de grupo vinculados de la unidad organizativa en GPMC. El GPO con el orden de vínculos más bajo es el último en procesarse y, por tanto, tiene la máxima prioridad. Este orden significa que el GPO local se procesa en primer lugar y que los GPO vinculados a la unidad organizativa de la que es miembro directo el equipo o el usuario se procesan en último lugar, con lo que se sobrescribe la configuración de los GPO anteriores en caso de conflicto. (Si no hay conflicto, simplemente se agregan la configuración anterior y la posterior).
¿¿ GPO en OU con grupos globales ??? Las GPOs para que surtan efecto se deben enlazar únicamente a Sitios, Dominios o Unidades Organizativas; no se pueden enlazar a grupos Seguramente te servirá esta nota para aclarar un poco, que aunque ya tiene bastante tiempo explica conceptualmente el tema Cómo Funcionan las Directivas de Grupo (GPOs) | WindowServer: https://windowserver.wordpress.com/2011/02/10/como-funcionan-las-directivas-de-grupo-gpos/ Referente al tema, todo lo que son directivas de cuentas (Contraseñas, Bloqueo, y Kerberos) valen solamente, y se aplican únicamente a nivel de Dominio, específicamente en la "Default Domain Policy". Cualquier otra GPO con configuraciones de cuenta enlazada a una OU tiene efecto solamente sobre las cuentas locales de las máquinas que afecte A partir de W2008, se pueden tener diferentes directivas de cuentas en el Dominio, pero el proceso para lograrlo es diferente La forma de configurar para que diferentes grupos de usuario tengan diferentes directivas de cuenta, contraseñas y/o bloqueo lo tienes detallado paso a paso en: Windows Server 2012 – Fine-grained Passwords and Account Lockout Policy | WindowServer: https://windowserver.wordpress.com/2012/06/08/windows-server-2012-fine-grained-passwords-and-lockout/
Prioridad directivas Grupo (GPO) Primero desde el Server W2008 movemos al Usuario (Usuario_Trabajo) con la contraseĂąa Usuario01* desde los usuarios a la Unidad Organizativa
Vamos como ese cambio tambiĂŠn ha sido realizado al instante en el Servidor Zentyal
Herramientas Administrativas Administraci贸n de directivas de Grupo
Bosque Dominios ISO.ORG UO Trabajo(Bot贸n Derecho) Crear un GPO en este dominio y vinculada aqu铆 Foto_Escritorio
Sobre el objeto ya creado, Bot贸n derecho y Editar
Vamos a crear una GPO para que cuando un usuario de la UO Trabajo ingrese en el dominio le forcemos a una foto de nuestra elección en el Escritorio Configuración de Usuario Plantillas administrativas Escritorio Active Desktop Tapiz del Escritorio
Sobre la máquina W7 y estando como usuario Administrator, creamos una carpeta en C:\Escritorio y metemos dentro cualquier imagen descargada de internet. En nuestro caso imágenes-fotos-Ojo-obscuro.jpg, la renombramos a hpdefault.jpg
Editamos el Tapiz de Escritorio en las GPO, ponemos la ruta “C:\Escritorio\hpdefault.jpg” y habilitamos la GPO
Ahora forzamos Exigido
Pasamos a crear la siguiente GPO para que nos coloque como pรกgina de inicio de IE nuestra pรกgina del blog http://iso-asir1-roberto.blogspot.com.es/ Configuraciรณn de Usuario Directivas Conf. Windows Mantenimiento de IE Direcciones URL Direcciones URL Importantes
Bot贸n derecho Propiedades Ingresamos nuestra URL, Aceptamos
Volvemos a Exigir
Sobre un cmd Forzamos a que actualize las GPO sin reiniciar el servidor W2008
Ahora vamos a pasar a probar las dos GPO creadas, iniciamos en nuestra máquina W7 del dominio con el Usuario_trabajo Y al arrancar deberíamos ver la foto como fondo del Escritorio y al iniciar el IE nuestra página de nuestro blog
Probamos a entrar varias veces con el usuario y actualizar las GPO desde el servidor para que funcione. No funciona por algo de la máquina W7 Ahora vamos a probar las GPO sobre un Usuario dentro de un Grupo Global, creamos otros usuario usuario_GPO con contraseña User01* Creamos un Grupo Global Alumnos-iso y metemos dentro al usuario recién creado. Vemos como nos queda en el Servidor Zentyal
Movemos nuestras dos GPO que teníamos asociadas a la UO al Dominio y dentro del filtrado de seguridad quitamos los usuarios autentificados y metemos el Grupo Global (alumnos-iso). Modificamos también la GPO de la imagen de escritorio para que la coja de una carpeta compartida del servidor. Además metemos otra GPO asociada a la UO (Trabajo) para que no puedan acceder al Panel de Control
Dominio 1. Escritorio personalizado Configuración de usuario > Directivas > Plantillas administrativas >Escritorio>Active Desktop>Tapiz de escritorio 2. Blog página personal Configuración de usuario > Directivas >Mantenimiento de Internet Explorer>Direcciones URL>Direcciones URLs importantes 3. Política de contraseñas Configuración de equipo > Directivas > Configuración de Windows >Configuración de seguridad >Directivas de cuenta>Directiva de contraseñas -- La contraseña debe cumplir los requisitos de complejidad deshabilitada y longitud mínima de la contraseña 0 caracteres UO 1. Prohibir el acceso al panel de control Configuración de usuario > Directivas > Plantillas administrativas > Panel de control > Prohibir el acceso al panel de control
Desde nuestra máquina W7 vamos a entrar como Administrator (AdminRoberto1) para probar las GPO locales y ver que funcionan Inicio Herramientas Administrativas Administración de directivas de grupo
Modificamos para que la foto del escritorio la coja en local, reiniciamos y antes de probar realizamos gpupdate /force desde el servidor. Probamos con el usuario usuario_GPO (User01*). Vemos como nos carga la foto de fondo y además tenemos como página de origen en IE la de nuestro blog
Ahora vamos a corregir otra vez desde el usuario Administrator y dejar la GPO como la teníamos, y volvemos a forzar desde el Servidor su actualización
Reiniciamos la máquina y entramos con el usuario usuario_GPO (User01*). Vemos como nos carga la foto de fondo del ojo que está en una carpeta compartida del Servidor y además tenemos como página de origen en IE la de nuestro blog. Lo hace todo correctamente al segundo reinicio
Aquí vemos como las restricciones por las GPO se cumple perfectamente en los usuarios del Dominio con el grupo Global (alumnos-iso) Ahora probamos con el usuario usuario_trabajo (Usuario01*) una vez que hayamos accedido con este usuario no deberíamos poder acceder al Panel de Control, ya que este usuario que está dentro de la UO Trabajo y tiene esta restricción. Vemos como no nos aparece el Panel de Control
Además de no aparecer el Panel de Control, tampoco nos deja ejecutarlo desde la consola de comandos con el comando control Aquí vemos como la restricción por la GPO se cumple perfectamente en los usuarios de la UO (Trabajo)