Relaciones de Confianza

Relaciones de Confianza

¿Qué es?

Una relación de confianza es una relación establecida entre dos dominios de forma que permite a los usuarios de una dominio ser reconocidos por otro dominio.

Práctica con la Configuración de las Relaciones de Confianzas:

Para hacer las Relaciones de confianza, vamos a necesitar dos Windows Server 2012:

- Una máquina va a tener de nombre: Caceres: 192.168.100.10 y otra Badajoz: 192.168.100.11

- Vamos a tener instalados en cada máquina virtual el Servicio de dominio de Active Directory y configurados.

Instalación y configuración Active Directory

Una vez tengamos instalado el Active Directory y configurado con los dominios:

- Caceres.banco.local

- Badajoz.caja.local

 Vamos a crear en el AD DS dos usuarios:

- Caceres: Banquero.

- Badajoz: Cajero.

Y tenemos que crear dos carpetas en E:\\ (O en otro disco duro que no sea el C:\\)

- Caceres: Banco.

- Badajoz: Caja.

Una vez tengamos ya todo esto, vamos a empezar a configurarlo.

Nos vamos a el "Administrador del servidor" y nos vamos a "DNS" en la Izquierda, le damos click derecho y "Administrador de DNS"

Nos vamos a el Servidor, le damos click derecho y nos vamos a "Propiedades"

Nos vamos a la pestaña de Reenviadores, le damos a "Editar" y agregamos la Dirección IP del otro dominio:

Aplicamos y aceptamos, y seguidamente con hacemos lo mismo con el otro servidor.

Ahora nos vamos a "Zonas de búsqueda directa", le damos click derecho a la carpeta y le damos a "Ámbito nuevo":

Se nos abrirá un asistente, en la primera pestaña vamos a seleccionar "Zona de rutas internas"

En la siguiente, ponemos para todos los servidores DNS que se ejecutan en controladores de dominio en este dominio: banco.local:

En la siguiente en el nombre de zona, tenemos que poner el nombre del dominio del otro servidor.

Y en la siguiente ponemos la IP del otro servidor.

Le damos a siguiente y finalizar.

Ahora en el otro servidor, hacemos lo mismo, pero con el nombre y la ip contraria.

Una vez hayamos hecho esto, nos vamos a "Dominios y confianzas de Active Directory"

Y en el servidor, le damos click derecho, "Propiedades" y nos vamos a la pestaña de "Confianzas"

Se nos abrirá un nuevo asistente, donde en la primera pestaña vamos a poner le nombre del dominio del otro servidor.

En la siguiente, tenemos que seleccionar "Confianza de bosque"

En la siguiente le ponemos bidireccional: 

Y en la siguiente ponemos "Ambos, este dominio y el dominio especificado"

Ahora tenemos que poner el Usuario y contraseña que tenga privilegios de Administrador en el servidor contrario, le damos a siguiente, y ponemos "Autentificación en todo el bosque"

Y se nos debió de crear correctamente la relación de confianza:

En la siguiente le damos a "Sí, confirmar la confianza saliente" y "Sí, confirmar la confianza entrante" y le damos a "Finalizar" y automáticamente en el otro servidor si nos metemos en "Dominios y confianzas de Active Directory" en "Propiedades" en la pestaña "Confianzas" nos debería aparecer la confianza automáticamente. 

Ahora para que todo se cree correctamente, tenemos que validar el otro servidor, para ello dentro de "Dominios y confianzas de Active Directory" elegimos el primer dominio, y le damos a propiedades:

Dentro de esta pestaña que se nos abrirá le damos a "Validar" y le damos a "Sí, validar la confianza entrante" y ponemos el Usuario y contraseña de un usuario que tenga privilegios de administrador del servidor contrario.

Y le damos a aceptar, y nos debería de aparecer esto:

Y en la siguiente pestaña que te aparece, que dice que va a actualizar la información, le damos a que si.

Y ahora vamos a validar las confianzas entrantes, o sea la del dominio de abajo, haciendo los mismos pasos que el anterior.

Ahora vamos a las carpetas creadas anteriormente en el disco E:\\ y vamos a compartirlas con los usuarios creados también, cuando estemos en la pestaña de Compartir, y Uso compartido avanzado, le damos a "Permisos", "Agregar" y en "Ubicaciones" elegimos el dominio al que hemos hecho relación.

Y cuando le demos a "Aceptar", buscamos el usuario creado anteriormente.

Y ahora nos vamos a la pestaña de "Seguridad" y vamos a agregar al usuario.

Y dandole los permisos de Lectura y Escritura.

Y ahora vamos al otro servidor, a la otra carpeta que tenemos y vamos a hacer lo mismo, con el usuario del dominio contrario e igual.

Y con esto ya tendríamos realizada la confianza, ahora vamos a comprobarlos con Windows 7, conectándonos a un dominio y comprobando que se puede entrar en la carpeta contraria.

En el Windows 7 tenemos que configurar la Red, ya que está dentro de la RedNAT que tenemos creada, va a tener la IP: 192.168.100.99 y vamos a tenerla que unir primero a un dominio y luego al otro para comprobarlo.

Como podemos comprobar, nos hemos conectado al dominio de banco.local y hemos entrado en el dominio de Badajoz.caja.local, y nos encontramos la carpeta "Caja".

Y ahora al contrario.

Y con esto ya estaría conectado correctamente.

Directivas de Grupo

Directivas de grupo:

Directivas de grupo cuando ya tienes AD DS:

  - Buscamos Administración de directivas de grupo,

  -  Dentro del Bosque, abrimos "Dominios", abrimos "el dominio que tengamos.local", abrimos               "Objetos de directivas de grupo" y nos encontramos las listas de directivas.

  - Se van a utilizar copias de las directiva Default Domain Controllers Policy (Para los servidores) y      Default Domain Policy (Otros sistemas operativos)

  - Se hace una copia sobre Default Domain Policy, click derecho copiar, y en "Objetos de directivas 

    de grupo", click derecho pegar, y conservar permisos existentes.

  - Se le cambia el nombre a la copia.

  - Y se le hace un acceso directo a nuestra copia, para ello se coge la copia, y se arrastra al                       dominio.local

  - Y desde ahí se trabaja las directivas de grupo.

  - Ahora le damos a Click derecho, editar para modificar las directivas de grupo.

Para configurar más o menos la que hemos visto:

- Configuración de usuario

•  Directivas
• - Plantillas Administrativas
• -- Menú Inicio y Barra de tareas.
• --- Bloquear la barra de tareas: Se puede poner fija y no se puede mover.
• --- Quitar y evitar el acceso a los comandos Apagar, Reiniciar.
• --- Quita el acceso a los comandos en el menú de inicio.
• --- También tenemos el menú Buscar en el menú de inicio.
• --- Quitar el Menú de ejecutar.
• --- Quitar el icono de red
• --- No buscar en Internet
• --- Forzar menú Inicio clásico, **
• --- Quitar vínculos y accesos a Windows Update.
• -- Sistema
• --- Impedir el acceso al símbolo del sistema,
• --- Ejecutar solo aplicaciones especificas
• --- Opciones de Ctrl+alt+supr.

Estas son algunas directivas para el usuario.

Instalación y configuración del Servidor DHCP y Servicios de Escritorio Remoto

Instalación y configuración del Servidor DHCP:

Instalación de Servicio DHCP:

Una vez terminado la configuración de DNS, vamos a instalar el Servidor DHCP. Vamos a “Administrar”, “Agregar roles y características” y en “Roles de servidor” vamos a instalar “Servidor DHCP”

Le damos siguiente hasta instalar, y lo instalamos. Cuando se termina de instalar vamos a “Herramientas” a “Enrutamiento y acceso remoto”:

Y el dominio que tengamos le damos a “Deshabilitar Enrutamiento y acceso remoto” y a “Eliminar”.

Configuración del DHCP:

Una vez lo tengamos eliminado, ahora vamos a configurar el servidor DHCP. Para ello nos vamos a el “Administrador del servidor” a la izquierda donde pone “DHCP” y le damos, dentro le damos a el servidor, click derecho y nos vamos a “Administrador DHCP”:

Una vez aquí, en el servidor que tenemos puesto, le damos a click derecho, “Autorizar”, y recargamos con “F5” para comprobar que se nos ha puesto los checks en verde:

Ahora le vamos a dar a IPv4 y le vamos a dar a “Ámbito nuevo” para crearlo.

Vamos a poner un nombre, para identificar rápidamente la red:

En la siguiente se define el intervalo de direcciones IP que van a tener los clientes DHCP:

En la siguiente, ponemos si queremos excluir alguna IP dentro del intervalo que hemos realizado, nosotros no vamos a poner ninguna. En la siguiente vamos a poner la duración de la concesión de la IP en Días, Horas o Minutos, esto es para que cada x tiempo, las IP se renueven, la vamos a poner en 8 horas.

Y le damos en la siguiente a “Configurar estas opciones ahora”.

Ahora vamos a poner la puerta de enlace predeterminada que van a tener los clientes del DHCP, en este caso vamos a poner la de la tarjeta LAN. Y le damos a Agregar:

En la siguiente pantalla vamos a irnos a las direcciones IP y vamos a quitar la WAN y vamos a dejar la LAN.

Como no tenemos Servidores WINS en la siguiente no hacemos nada, le damos a Siguiente, y le damos a “Activar este ámbito ahora”. Y le damos a finalizar.

Una vez tengamos esto, le vamos a dar al servidor, click derecho, todas las tareas y “Reiniciar”: 

Y ahora vamos a ir a “Enrutamiento y acceso remoto” otra vez. Y le vamos a dar click derecho a “Estado del servidor” y a “Reconstruir la lista de servidores” 

Una vez tengamos esto, le damos a “Configurar y habilitar Enrutamiento y acceso remoto” 

Se nos abrirá un asistente y le damos a "Siguiente" y comenzamos dandole a “Traducción de direcciones de red (NAT)”

En la siguiente vamos a elegir la IP de conexión a Internet, o sea la WAN:

Y automáticamente coge lo demás, así que le damos a “Finalizar”. Ahora le damos a DHCP en el “Administrador del servidor” y si nos sale un icono amarillo le damos a “Más”:

Y le damos a “Completar configuración de DHCP”, se nos abrirá un asistente, y le damos a “Siguiente” y “Confirmar” y ya lo tendríamos listo.

Configuración en Windows 7:

Ahora nos vamos a Windows 7, nos vamos al “Centro de redes y recursos compartidos”, vamos a “Cambiar configuración del adaptador” 

Nos vamos a la tarjeta y le damos click derecho y “Propiedades” y nos pedirá las credenciales del Administrador.

Seleccionamos IPv4 y le damos a “Propiedades” y lo ponemos en “Obtener una dirección IP automáticamente” y “Obtener la dirección del servidor DNS automáticamente”

Le damos a “Aceptar” y “Cerrar” y automáticamente nos debería de coger la IP, para ello vamos al “cmd” y vamos a comprobarlo con “ipconfig”.

Y debería de salirnos una dirección de IPv4 del rango, la puerta de enlace predeterminada la de la LAN y el DNS, el dominio que hayamos creado.