Windows server 2008

Microsoft, ademas de su sistema operativo para usuarios, también dispone de un sistema operativo para servidores. Como todo servidor, es capaz de dar varias funciones según para que propósito queremos usarlo, ya sea una pagina web, un servidor ftp, cortafuegos etc.

Hoy voy a explicar cuatro de estas funciones y como se instalan:

Instalar Active Directory Domain Services

¿Que es?

Active Directory (AD) es el término que usa Microsoft para referirse a su implementación de servicio de directorio en una red distribuida de computadores. Utiliza distintos protocolos (principalmente LDAP, DNS, DHCP, Kerberos…).Su estructura jerárquica permite mantener una serie de objetos relacionados con componentes de una red, como usuarios, grupos de usuarios, permisos y asignación de recursos y políticas de acceso.
Active Directory permite a los administradores establecer políticas a nivel de empresa, desplegar programas en muchos ordenadores y aplicar actualizaciones críticas a una organización entera. Un Active Directory almacena información de una organización en una base de datos central, organizada y accesible. Pueden encontrarse desde directorios con cientos de objetos para una red pequeña hasta directorios con millones de objetos.

¿Como se instalan?

Antes de instalar el rol de Active Directory Domain Server en un servidor y promoverlo a servidor de dominio, tenemos que planear la infraestructura de Active Directory.Tenemos que tener decidido el nombre del dominio y de DNS. Un dominio solo puede tener un nombre de DNS.Si el dominio que vamos a crear va a tener controladores de dominio de versiones anteriores a Windows Server 2008. En ese caso tendremos que configurar bien el “nivel funcional”. Si el futuro dominio solo va a tener controladores de dominio con Windows Server 2008, tendremos que configurar el “nivel funcional” correctamente para beneficiarnos de todas la nuevas características de esta versión de Windows.Detallar como se implementara el DNS para soportar Active Directory. Es una buena practica implementar el DNS para nuestros dominios Windows utilizando el servicio DNS de Windows.La configuración IP para el controlador de dominio. Por supuesto una IP estática y los valores de la mascara subred. También deberemos configurar los servidores DNS para que lleve a cabo resolución de nombres.El nombre y contraseña de una cuenta de administrador. La contraseña debe existir y cuanto mas compleja, mejor. Pero eso si, que podamos recordarla.Comenzaremos desde el “Server Manager” (podemos hacerlo de mas formas). Ya sabremos que windows 2008 nos facilita la configuración basada en roles, instalando solo los componentes que son indispensables para los roles que ejecutara el servidor.El el apartado de “Roles Summary” hacemos clic en “Add Roles”.Este “Add Roles Wizard” es muy intuitivo.Pulsamos en “next”.

A continuacion tenemos una lista de los roles que le podemos añadir al servidor.

Activamos la casilla de “Active Directory Domain Services”.

Podemos leer lo que nos muestra para entenderlo un poco mejor.

Después de pulsar en “Install”, comienza la instalación de AD DS.

Al finalizar, nos muestra un resumen de la instalación que ha realizado.Volvemos al “Server Manager” y ahora podemos ver que hay un Rol instalado.En la parte izquierda, expandimos “Roles” y seleccionamos “Active Directory Domain Services” para que nos muestre las características del mismo:Vale, pues ya tenemos instalados los Servicios de Dominio del Directorio Activo. 

Instalar DHCP

¿Que es?

DHCP (sigla en inglés de Dynamic Host Configuration Protocol, en español «protocolo de configuración dinámica de host») es un protocolo de red que permite a los clientes de una red IP obtener sus parámetros de configuración automáticamente. Se trata de un protocolo de tipo cliente/servidor en el que generalmente un servidor posee una lista de direcciones IP dinámicas y las va asignando a los clientes conforme éstas van estando libres, sabiendo en todo momento quién ha estado en posesión de esa IP, cuánto tiempo la ha tenido y a quién se la ha asignado después.

¿Como se instala?

Se realizara la instalación y la configuración inicial del servicio DHCP sobre Active Directory desde las herramientas graficas.

paso 1.- Haz clic en el botón INICIO, ve al menú HERRAMIENTAS ADMINISTRATIVAS y ejecuta ADMINISTRADOR DE SERVIDOR.

Paso 2.- Dentro del bloque RESUMEN DE FUNCIONES, selecciona AGREGAR FUNCIONES. aparecera un asistente de configuracion que muestra una primera caja de dialogo denominada ANTES DE COMENZAR con unos consejos previos.

Paso 3.- A continuación se mostrara la ventana SELECCIONAR FUNCIONES DEL SERVIDOR. Marca el cuadro de verificabilidad SERVIDOR DCHP.

Paso 4.- Selecciona la tarjeta de red que hará de servidor en este caso.

Paso 5.- Indica el dominio primario y las IPv4 del servidor DNS preferido o primario, así como del alternativo o secundario en caso de haberlo.

Paso 6.- no actives el servicio WINS

paso 7.- Deberás crea el ámbito correspondiente  a la configuración  del grupo de usuarios. Escribe también el rango de IPs que deseamos otorgar con el servidor DHCP

Paso 8.- Deja el modo activo, sin estado DHCPv6

Paso 9.- configura el IPv6 (generalmente automáticamente)

Paso 10.- Acredita el servidor DHCP en el Active Directory para que sea autoritario.

LISTO

Para comprobarlo, tendremos que configurar en automática la red del puesto cliente. y fácilmente podremos ver en la linea de comandos que nuestra IP esta dentro del rango del servidor.

NOTA: el servidor y el cliente han de estar en la misma red. A veces tarda un poco en asignar las nuevas IPs en rango, paciencia.

Instalar Escritorio remoto

¿Que es?

Escritorio remoto permite a los usuarios controlar su equipo de escritorio en forma remota. Se trata de un concepto simple, que implementándolo correctamente, puede tener un impacto considerable en la productividad de su organización, facilitando que el personal de la empresa pueda trabajar desde sus casas, inclusive sin tener un equipo móvil.

¿Como se instala?

Configuración de la Terminal Services Gateway

Para agregar la función de servicios de Terminal Server para Windows Server 2008, siga estos pasos:

  1. Inicie una sesión como administrador en el equipo de Windows Server 2008. Haga clic en Inicio y, a continuación, haga clic en Administrador de servidores.
  2. Haga clic con el botón secundario del mouse en funciones y, a continuación, haga clic en Agregar funciones.
    Aquí aparecerá el asistente para agregar funciones de servicios.
  3. En la página de “Antes de comenzar”, hacer clic en siguiente.
  4. En la página Seleccionar Funciones del Servidor, seleccione Servicios de Terminal Server. A continuación, haga clic en siguiente.
  5. En la página de servicios de Terminal Server, haga clic en siguiente.
  6. En la página de servicios de función, seleccione TS Gateway. Cuando se le solicite, haga clic en Agregar función de servicios requeridos. A continuación, haga clic en siguiente.
  7. En la página de certificado de autenticación de servidor, seleccione un certificado SSL y, a continuación, haga clic ensiguiente.
  8. En la página de las directivas de autorización, haga clic en ahora y, a continuación, haga clic en siguiente.
  9. En la página de grupos de usuarios de TS Gateway, haga clic en Agregar para seleccionar los grupos de usuarios que pueden conectarse a través de la puerta de enlace de terminal server. Normalmente, debe crear un grupo de seguridad de Active Directory para los usuarios de escritorio remoto, que se conectan desde el Internet y agregar todos los usuarios autorizados a ese grupo. A continuación, haga clic en siguiente.

10. En la página de TS CAP, introduzca un nombre para la política de autorización de conexión a Terminal Server y elija si desea permitir la autenticación mediante contraseñas, tarjetas inteligentes o ambos. Haga clic en siguiente.

11. En la página de TS RAP, introduzca un nombre para la política de autorización de recursos de Terminal Services. A continuación, elija si desea permitir que los clientes remotos para conectarse a todos los equipos de la red interna o sólo los equipos de un grupo de dominio específico. Para obtener mejores resultados, cree un grupo de seguridad de Active Directory y agregar las cuentas de equipo para todos los servidores de escritorio remoto autorizados a ese grupo. Haga clic en siguienteNota: El CAP define quién puede conectar a la puerta de enlace de TS, mientras que el RAP define los equipos que pueden utilizar la puerta de enlace para acceder. Ambos deben definirse para que un usuario pueda establecer una conexión.

12. Complete cualquier otra página del asistente que aparecen para funciones dependientes aceptando la configuración predeterminada y, a continuación, haga clic en instalar en la página de confirmación.

13. Una vez finalizada la instalación, haga clic en Cerrar y, a continuación, haga clic en  para reiniciar el equipo si es necesario.

14. Después de reiniciar el equipo, iniciar otra sesión y haga clic en Cerrar en la reanudación del Asistente para la instalación.

Más tarde, puede utilizar la consola del administrador del servidor para modificar el CAP o RAP haciendo clic en el nodo correspondiente a roles\terminal services\ts puerta de enlace manager\computer_name\policies.Si es necesario, configure el firewall para permitir conexiones HTTPS entrantes a su puerta de enlace de TS en el puerto TCP 443. Además, la puerta de enlace de TS debe ser capaz de comunicarse a servidores de escritorio remoto mediante el puerto TCP 3389.

Configurar al cliente de escritorio remoto

Usted debe configurar al cliente de escritorio remoto con la dirección IP de la puerta de enlace de TS antes de conectar a un servidor de escritorio remoto que este en la red interna. Para configurar al cliente de escritorio remoto, siga estos pasos:

  1. Si el equipo cliente está ejecutando Windows XP con Service Pack 1 o Windows Server 2003 con Service Pack 1 o 2, instale el cliente de servicios de Terminal Server 6.0. Puede descargar el software desde el siguiente linksupport.microsoft.com/kb/925876. Windows Vista y Server 2008 ya vienen con el cliente incluido. Las versiones anteriores de Windows no pueden usar el nuevo servicio de Cliente de Terminal Server y, por lo tanto, no se pueden conectar a través de una puerta de enlace de TS.
  2. Abra “Conexión a Escritorio Remoto” desde el menú Inicio.
  3. Si es necesario, haga clic en el botón de Opciones para mostrar las opciones de conexión a escritorio remoto.
  4. En la ficha General, escriba el nombre del servidor de escritorio remoto o la dirección IP (no la puerta de enlace de TS), inclusive si la dirección IP es privado y no se la pueda alcanzar directamente.
  5. Haga clic en la ficha avanzadas y, a continuación, haga clic en el botón configuración.
  6. En el cuadro de diálogo de configuración del servidor de puerta de enlace, haga clic en usar esta configuración del servidor de puerta de enlace de TS. A continuación, escriba el nombre del servidor (debe coincidir exactamente con el nombre en el certificado del servidor SSL) y seleccione un método de inicio de sesión. Haga clic en Aceptar para guardar la configuración.
  7. Después de la personalización de cualquier otra opción de configuración, haga clic en la ficha General y haga clic enGuardar como para guardar la configuración a un archivo de formato RDP. Porque el archivo RDP incluye la configuración de TS Gateway, puede distribuirla a cualquier equipo que tenga instalado el servicio de cliente de escritorio remoto versión 6.0 o posterior.

Instalacion de directivas de grupos

¿Qué es?

Con una directiva de grupo podemos ahorrar mucho tiempo a la hora de administración de usuarios, ya que permite administrar todos los usuarios desde el servidor, y de esta forma no tenemos que ir de equpo en equipo para administrar  los diferentes permisos.

1.- Crea los siguientes usuarios y grupos en tu servidor:

  • ATHLETIC:
    • Iraola
    • Gurpegi
    • ERREALA:
      • Ilarramendi
      • Zurutuza

2.- Implementa las siguientes directivas de configuración de equipo.

  • La vigencia máxima de la contraseña para todos los usuarios de la máquina será de15 días.
  • Las contraseñas deben cumplir con los requisitos de complejidad por defecto de Windows server ¿Cuáles son estos requerimientos?
  • Los usuarios que requieran cambiar su contraseña no podrán usar un password que se haya usado antes por lo menos desde los 2 últimos cambios.
  • Los usuarios del grupo ATHLETIC pueden apagar la máquina una vez hayan iniciado sesión, pero los usuarios del grupo ERREALA no podrán apagar el equpo (Desde el sistema operativo)
  • Los usuarios del grupo ATHLETIC podrán cambiar la hora de la máquina local
  • >Todos los usuarios tendrán las siguientes restricciones al usar el navegador Internet Explorer:
    • No podrán eliminar el historial de navegación
    • No se permitirá el cambio de proxy
    • Configuración del historial deshabiltada.
    • No permitir el cambio de las directivas de seguridad del navegador.
    • Desactivar la ventana emergente de reproducción automática.
    • No permitir el apagado remoto de la máquina
    • Aplicar cuotas de 50 MB para todos los usuarios locales y remotos (Esta es un cuota
      muy baja y es usada solo para los fines de esta práctica).

3.- Implementa las siguientes directivas de configuración de usuario.

  • La página principal que se cargará para cada usuario cuando abra su navegador será: http://www.txorierri.net
  • Restringir desde el navegador el acceso a los siguientes sitios: www.facebook.comywww.youtube.com por URL, para todos los usuarios. El administrador será el único con la contraseña de supervisor para el Asesor de Contenidos.
  • Ocultar la unidad C:\ (NOTA: Esto no restringirá el acceso a dicha unidad)
  • Ocultar la menú opciones de carpeta del menú de herramientas. Esto con el fin de que los usuarios no puedan ver archivos ocultos o cambiar algunas configuraciones de las carpetas.
  • Limitar el tamaño de la papelera de reciclaje a 100MB
  • No permitir que se ejecute el solitario y el buscaminas
  • Ocultar todos los elementos del escritorio para todos los usuarios.
  • Bloquear la barra de tareas
  • Prohibir el acceso del Lecto-escritura a cualquier medio de almacenamiento extraible.

4.- Como has podido ver en esta práctica, son muchas las directivas que se pueden utilizar propón y explica el funcionamiento de las tres directivas que consideres más importantes desde el punto de vista de la seguridad y que no se hayan implementado en los puntos anteriores.

Anuncios
Esta entrada fue publicada en Uncategorized. Guarda el enlace permanente.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

w

Conectando a %s