3

Organización de Active Directory sobre MS Windows Server 2012 R2

Hola a tod@s.

En este post veremos cómo organizar el Active Directory una vez que hemos instalado el controlador de dominio y configurado el DNS, crearemos unidades organizativas, grupos y usuarios que podrán iniciar sesión en los equipos del dominio una vez creados.

  • Empezaremos creando las unidades organizativas, y la primera que crearemos será dónde se encuentran ubicadas geográficamente nuestras oficinas (Cala), y dentro de esta unidad organizativa crearemos otras unidades organizativas departamentales que serán dónde vamos a ubicar a los usuarios y grupos, para ello hacemos lo siguiente:
  • Nos vamos a Panel de Control>Herramientas Administrativas>Usuarios y Equipos de Active Directory:

oad1

  • Clic derecho sobre el nombre del dominio>Nuevo>Unidad Organizativa:

oad2

  • Le asignamos un nombre, marcamos el check “Proteger contenedor contra eliminación accidental” y Aceptar:

oad3

  • Para las unidades organizativas departamentales anidadas dentro de la principal seguimos el mismo proceso:

oad4

  • Ahora vamos a crear otras unidades organizativas, pero éstas colgarán directamente del dominio:

oad5

  • Las unidades organizativas Domain Controllers y Users ya vienen creadas por defecto y como su propio nombre indica, la primera de ellas contendrá a los controladores de dominio de la infraestructura y la segunda a los usuarios:

oad6

  • Una vez que hemos creado las unidades organizativas, vamos a proceder a crear los usuarios y grupos ordenados cada uno según al departamento al que pertenezcan, mostraremos como ejemplo como se organizan estos usuarios y grupos en la unidad organizativa del departamento de Administración ya que para las demás vamos a seguir el mismo proceso, los nombres de los usuarios aquí mostrados son ficticios.
  • Empezaremos creando los grupos, para ello vamos a crear un grupo de seguridad global, que lo utilizaremos para anidarlo dentro de otros grupos de seguridad de dominio local, el cuál vamos a utilizar para el tema de los permisos, que ya lo explicaremos en otro post, cuando expliquemos el servidor de ficheros y el servidor de impresión, aquí solo vamos a mostrar cómo se crea y a los grupos a los que pertenece, junto con sus miembros.
  • Clic derecho sobre la unidad organizativa Administración y hacemos lo siguiente:

oad7

oad8

  • La pertenencia de este grupo como miembro de otros grupos de dominio local quedará explicada en otro post:

oad32

  • Tenemos otro grupo de distribución Universal llamado Administracion Cala, que será explicado en el post de Exchange 2013, ya que este grupo lo vamos a crear desde la consola ECP de Exchange, su función es la de contener una cuenta de correo departamental, para que todos los usuarios del departamento de Administración puedan recibir e-mails en esta cuenta:

oad9

oad10

  • Ahora vamos a crear los usuarios pertenecientes al departamento de Administración, yo tengo como costumbre, siempre que organizo el Active Directory crear una plantilla de usuario por departamentos, sobre la cuál voy creando los nuevos usuarios que queremos dar de alta en el sistema, esta plantilla es un usuario más del dominio, por eso, una vez que la tengo creada la deshabilito, aquí cada uno es libre de crear y organizar los usuarios a su manera, comento esto porque resulta mucho más cómodo, ya que sólo trabajas una vez al tener toda la configuración hecha sobre esta plantilla, como por ejemplo la pertenencia a los grupos:

oad11

oad12

oad13

oad14

  • Una vez que tenemos la plantilla creada procedemos a su configuración e introducimos los siguientes parámetros:

oad15

oad16

oad17

oad18

oad19

  • Una vez que la plantilla está creada procedemos a deshabilitar la cuenta:

oad20

  • Ahora que ya tenemos la plantilla creada y deshabilitada, procedemos a crear todos los usuarios del departamento de Administración, para ello hacemos clic derecho sobre la plantilla y le damos a “copiar”:

oad21

  • Se nos abre un asistente para crear el nuevo usuario, introducimos los datos necesarios para la nueva cuenta:

oad22

  • Esta nueva cuenta creada, ya tendrá toda la configuración de la plantilla que hemos creado anteriormente, para cada usuario que queramos crear utilizaremos el mismo método, el departamento de Administración nos quedaría de la siguiente manera:

oad23

  • Para los demás departamentos hemos utilizado el mismo método.
  • Departamento de contabilidad:

oad24

  • Departamento de Ingeniería:

oad25

  • Departamento de Publicidad:

oad26

  • Departamento de Ventas:

oad27

  • Departamento de Dirección:

oad28

  • Departamento de IT:

oad29

  • Nos hemos creado dos unidades organizativas más, una de ellas contiene los servidores empresariales y otra los equipos de los usuarios de nuestra infraestructura:

oad30

oad31

 

Saludos y espero que os sea de ayuda 😉

Jose Ramon Ramos Gata

Técnico Superior STI

3 comentarios

  1. Tengo una duda en mi configuracion tengo los equipos en la unidad organizativa «Computers». No me figura esa carpeta para crear un Nuevo GPO. Que puedo hacer?

    • Hola Franco, «Computers» NO es una unidad organizativa, es un contenedor que crea por defecto el Active Directory en su estructura logica LDAP, al cuál no se pueden aplicar GPOs, debes crearte una Unidad Organizativa y aplicarle las GPOs que para eso estan.
      Muchas gracias

  2. Buenas,
    actualmente en mi directorio activo necesito crear un permiso para que unos equipos puedan ingresar y/o bloquear por medio de RDP a ciertos servidores, espero me ayudes.

    Mil gracias.

Responder a ragasys Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.