3

Organización de Active Directory sobre MS Windows Server 2016

Hola a tod@s.

En este post veremos cómo organizar el Active Directory una vez que hemos instalado el controlador de dominio y configurado el DNS, crearemos unidades organizativas, grupos y usuarios que podrán iniciar sesión en los equipos del dominio una vez creados.

  • Recordamos nuestra infraestructura de red:

  • Empezaremos creando las unidades organizativas, dónde vamos a seguir una estructura de árbol y la primera que crearemos será una OU que la llamaremos con el nombre de nuestra empresa (RAGASYS), dentro de esta OU irán anidadas otras unidades organizativas que las llamaremos con el nombre de su ubicación geográfica (Madrid, Barcelona, Valencia, Bilbao y Sevilla) y dentro de estas unidades organizativas crearemos otras unidades organizativas departamentales que serán dónde vamos a ubicar a los usuarios y grupos, también crearemos otras OUs para los grupos de dominio local, dónde vamos a ubicar los grupos para asignar los permisos en nuestros File Servers y Servidores de impresión, y para los equipos de la red según su ubicación geográfica también crearemos otras OUs, para ello hacemos lo siguiente:
  • Desde el Administrador del servidor nos abrimos la consola de Usuarios y equipos de AD:

  • Clic derecho sobre el nombre del dominio>Nuevo>Unidad Organizativa:

  • Le asignamos un nombre, marcamos el check “Proteger contenedor contra eliminación accidental” y Aceptar:

  • Para las unidades organizativas anidadas dentro de la OU principal seguimos el mismo proceso y nos quedaría de la siguiente manera:

  • Ahora vamos a crear otras unidades organizativas, que irán anidadas dentro de la Unidad Organizativa principal (RAGASYS), que serán, una para el departamento de “Dirección” para todo el tema de gerencia, otra para el departamento de “Sistemas”, y otra para los “Servidores” de la empresa, dentro de las OUs de “Direccion” e “IT” vamos a crearnos otras unidades organizativas para los grupos de dominio local, dónde vamos a ubicar los grupos para asignar los permisos en nuestros File Servers y Servidores de impresión, y otra para los equipos, nos quedaría de la siguiente manera:

  • Las unidades organizativas Domain Controllers, Users y Computers ya vienen creadas por defecto y como su propio nombre indica, la primera de ellas contendrá a los Controladores de dominio de la infraestructura, la segunda a los usuarios y la tercera a los equipos, aunque Users y Computers no son unidades organizativas en sí, concretamente serían contenedores:

  • Una vez que hemos creado las unidades organizativas, vamos a proceder a crear los usuarios y grupos, ordenados cada uno según su ubicación geográfica y departamento al que pertenezcan, mostraremos como ejemplo como se organizan estos usuarios y grupos en la unidad organizativa del departamento de Administración de Madrid, ya que para todos los demás vamos a seguir el mismo proceso, los nombres de los usuarios aquí mostrados son ficticios.
  • Empezaremos creando los grupos, para ello vamos a crear un grupo de seguridad global, que lo utilizaremos para anidarlo dentro de otros grupos de seguridad de dominio local, el cuál vamos a utilizar para el tema de los permisos, que ya lo explicaremos en otro post, cuando expliquemos el servidor de ficheros y el servidor de impresión, aquí solo vamos a mostrar cómo se crea y a los grupos a los que pertenece, junto con sus miembros.
  • Clic derecho sobre la unidad organizativa Administración de Madrid y hacemos lo siguiente:

  • Le asignamos una descripción:

  • En la pestaña miembros agregaremos los usuarios que vamos a dar de alta posteriormente:

  • La pertenencia de este grupo como miembro de otros grupos de dominio local quedará explicada en otro post dedicado a los permisos sobre MS Windows Server 2016:

 

  • Podemos asignar a un usuario o grupo para que administre este grupo:

  • Sobre el “Centro de administración de Active Directory” protegemos este grupo contra eliminación accidental:

  • Para crear los demás grupos de Seguridad Global según su distribución geográfica y departamento, seguiremos el mismo proceso, y nos quedaría de la siguiente manera:

  • Ahora vamos a crear los usuarios pertenecientes al departamento de Administración de Madrid, yo tengo como costumbre, siempre que organizo el Active Directory crear una plantilla de usuario por departamentos, sobre la cuál voy creando los nuevos usuarios que queremos dar de alta en el sistema, esta plantilla es un usuario más del dominio, por eso, una vez que la tengo creada la deshabilito, aquí cada uno es libre de crear y organizar los usuarios a su manera, comento esto porque resulta mucho más cómodo, ya que sólo trabajas una vez al tener toda la configuración hecha sobre esta plantilla, como por ejemplo la pertenencia a los grupos:

  • Una vez que tenemos la plantilla creada procedemos a su configuración e introducimos los siguientes parámetros:

  • Sobre el “Centro de administración de Active Directory” protegemos a los usuarios contra eliminación accidental:

  • Como podemos ver ya tenemos la plantilla creada, para los demás departamentos seguiremos el mismo proceso y nos quedaría de la siguiente manera:

  • Ahora que ya tenemos las plantillas creadas y deshabilitadas, procedemos a crear todos los usuarios, para ello hacemos clic derecho sobre la plantilla y le damos a “copiar”:

  • Se nos abre un asistente para crear el nuevo usuario, introducimos los datos necesarios para la nueva cuenta:

  • Esta nueva cuenta creada, ya tendrá toda la configuración de la plantilla que hemos creado anteriormente, para cada usuario que queramos crear utilizaremos el mismo método, el departamento de Administración en Madrid nos quedaría de la siguiente manera:

  • Para los demás departamentos hemos utilizado el mismo método.
  • Departamento de Contabilidad Madrid:

  • Departamento de Ingeniería Madrid:

  • Departamento de Publicidad Madrid:

  • Departamento de Ventas Madrid:

  • Departamento de Dirección:

  • Departamento de IT:

  • Departamento de Administración Barcelona:

  • Departamento de Contabilidad Barcelona:

  • Departamento de Ingeniería Barcelona:

  • Departamento de Publicidad Barcelona:

  • Departamento de Ventas Barcelona:

  • Departamento de Administración Bilbao:

  • Departamento de Publicidad Bilbao:

  • Departamento de Administración Sevilla:

  • Departamento de Publicidad Sevilla:

  • Departamento de Administración Valencia:

  • Departamento de Publicidad Valencia:

  • Sobre las unidades organizativas llamadas equipos, hemos añadido los equipos unidos al dominio, ordenados según la ubicación geográfica y departamentos, hemos seguido la siguiente nomenclatura “Nombre empresa RGS, si el equipo es un sobremesa WS o un portátil PO, Número según sede de la oficina (Madrid = 500 – 599, Barcelona = 600 – 699), Valencia = 700 -799, Bilbao = 800 – 899, Sevilla = 900 – 999), nos quedarían de la siguiente manera:
  • Sede Madrid:

  • Sede Barcelona:

  • Sede Valencia:

  • Sede Bilbao:

  • Sede Sevilla:

  • Departamento Dirección (los hemos incluido con la nomenclatura de Madrid, ya que pasan el mayor tiempo en esta oficina):

  • Departamento IT (los hemos incluido con la nomenclatura de Madrid, ya que pasan el mayor tiempo en esta oficina):

  • Con esto ya tendríamos organizado nuestro Active Directory, ahora podremos aplicar GPOs de forma granular sobre las Unidades Organizativas, esto lo veremos en otro post.

 

Saludos y espero que os sea de ayuda 😉

Jose Ramon Ramos Gata

Técnico Superior STI

3 comentarios

  1. Saludos, si tienes la segunda parte de este post por favor enviame el link ya que estoy haciendo un laboratorio en base a la informacion que has suministrado aqui pero falta la configuracion de los grupos que creaste y todo lo demas.

    • Buenas Miguel, no hay segunda parte de este post, con respecto a los grupos y demás queda todo explicado en el post.
      Os recuerdo que hay una opción en el blog para colaborar, lo recaudado, que hasta la fecha ha sido 0€, irá destinado al mantenimiento y mejora del blog.
      Muchas gracias amigo y me alegro que te sirva la información contenida en este sitio web.
      Saludos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.