Windows Server 2003 – Configuración como controlador de dominio y otras posibilidades – Parte 5

Parte 5 – Creación y vinculación de un script de inicio de sesión, configuración de permisos locales, reservas DHCP para los clientes, creación y vinculación de un script de inicio de sesión Esta parte comienza …

Windows Server 2003 – Configuración como controlador de dominio y otras posibilidades – Parte 5

  1. Revista
  2. »
  3. Artículo
  4. »
  5. Windows
  6. »
  7. Windows Server 2003 – Configuración como controlador de dominio y otras posibilidades – Parte 5

Parte 5 – Creación y vinculación de un script de inicio de sesión, configuración de permisos locales, reservas DHCP para los clientes, creación y vinculación de un script de inicio de sesión

Esta parte comienza con la creación de un simple script de inicio de sesión que vincula la letra de unidad S: al recurso compartido DATA en el servidor cuando un usuario inicia sesión.

Para ello, abrimos el Explorador en el servidor, navegamos hasta la carpeta NETLOGON y creamos allí un nuevo archivo de texto llamado login.bat.

Nuevo archivo de inicio de sesión
Haga clic en la imagen para ampliarla

Asegúrese de que ha desmarcado «Ocultar extensiones para tipos de archivo conocidos» en Opciones de carpeta, de lo contrario su script se llamará login.bat.txt y no funcionará.

El script en sí es muy sencillo:

Contenido del script

Después de guardar el script, ahora hay que asignarlo a los usuarios. Hay dos maneras de hacerlo: La manera «clásica» – que debería ser familiar para aquellos que han trabajado con NT – es introducir el script para cada usuario individualmente en las propiedades de la cuenta. Esto puede hacerse utilizando el complemento «Usuarios y equipos de Active Directory» => doble clic en la cuenta de usuario => pestaña «Perfil».

Asignar script en el perfil

Con un puñado de usuarios esto ciertamente no es un problema, pero también se puede hacer de forma más inteligente integrando el script de inicio de sesión a través de la política de grupo. Para ello, iniciamos el GPMC y creamos un nuevo GPO con el nombre Login Script.

Asignar el script vía política de grupo
Haga clic en la imagen para ampliarla

Hacemos clic con el botón derecho del ratón sobre esta nueva GPO, seleccionamos «Editar» y navegamos hasta Configuración de usuario => Configuración de Windows => Scripts (inicio/cierre de sesión).

Asignar script mediante política de grupo
Haga clic en la imagen para ampliar

Hacemos doble clic en «Inicio de sesión» para abrir el cuadro de diálogo «Propiedades de inicio de sesión».

Asignar script mediante política de grupo

Aquí hacemos clic en «Añadir», luego en «Examinar» y navegamos hasta la carpeta NETLOGON (la mejor forma de hacerlo es a través de Entorno de red => Toda la red => Red Microsoft Windows => Mi dominio => Servidor de pruebas => NETLOGON o introduciendo directamente \TestserverNETLOGON).

Asignar script a través de política de grupo

Ahora confirmamos todos los diálogos con OK y voilà, el login.bat está incluido. Ahora cerramos el editor de políticas de grupo y vinculamos el nuevo GPO a nuestro dominio mediante arrastrar y soltar (como se describe en la parte 4 para la redirección de carpetas GPO).

Arrastrar y soltar al dominio local
Haga clic en la imagen para ampliarla

Consejos:
Nunca uses ambos métodos a la vez, esto inevitablemente dará problemas. Debido a la distribución más sencilla a los usuarios, ahora sólo utilizo la variante a través de políticas de grupo.
El script de inicio de sesión se mantiene muy simple, pero por supuesto se puede hacer mucho más con los scripts de inicio de sesión. Basta con echar un vistazo a la colección de scripts en el archivo de software WinTotal.

Configuración de permisos locales

Ahora pasemos a configurar los permisos locales:
Por defecto, los usuarios del dominio están listados en el grupo (local) Usuarios en los clientes en los que se conectan, es decir, no se les permite hacer nada al principio, excepto trabajar con las aplicaciones proporcionadas por el administrador.
Sin embargo, puede tener sentido que el propio administrador quiera tener derechos de administrador local en todos los ordenadores de la red SIN iniciar sesión como administrador de dominio, simplemente con su inicio de sesión de usuario «normal».
De nuevo, hay dos formas de conseguirlo: una «manual» a través de la administración del ordenador y otra a través de la política de grupo. Dado que la forma a través de la política de grupo ya no es tan trivial y una mala configuración o la adopción incompleta de las GPO por los clientes puede llevar a que no funcione nada en absoluto, no voy a explicar esta forma con más detalle aquí.
Para un puñado de ordenadores, la forma a través de la administración de ordenadores es bastante útil, sobre todo porque entonces se puede hacer algo más que establecer permisos.
Para administrar los otros ordenadores directamente a través de la red, por supuesto deben estar encendidos; un usuario, por otro lado, no tiene que estar conectado.
Iniciamos la administración de ordenadores en el servidor (Inicio => Administración => Administración de ordenadores), hacemos clic con el botón derecho del ratón en la entrada superior «Administración de ordenadores (local)» y seleccionamos «Conectar con otro ordenador». Aquí introducimos el nombre del ordenador a administrar.

Administración de ordenadores, otro ordenador

Tras hacer clic en Aceptar, aparecerá brevemente la consola de administración del ordenador remoto.

Administración del ordenador, otro ordenador

Aquí navegamos a Sistema => Usuarios y Grupos Locales => Grupos y hacemos doble clic en el grupo Administradores.

Grupo Administradores

Ahora añadimos el usuario deseado al grupo local Administradores.

En el grupo Administradores, añade

Después de confirmar con OK, este usuario ahora tiene derechos de administrador en la máquina desde el momento del próximo inicio de sesión en este cliente.
Tenga en cuenta que no siempre tienen que ser derechos de administrador si, por ejemplo, una aplicación no funciona bajo una cuenta de usuario normal – añadir el usuario al grupo «usuario principal» puede ser suficiente para remediarlo.

Reservas DHCP para los clientes

Pasemos ahora a la última sección de esta parte, las reservas DHCP. ¿Qué es una reserva DHCP y cuál es su propósito?
Como se explicó en la Parte 3, los clientes de nuestra red reciben sus direcciones IP automáticamente del servidor o de su servidor DHCP. Si una reserva ha caducado, el cliente solicita una nueva reserva y, de este modo, vuelve a recibir la misma dirección IP u otra del rango definido. En resumen: hoy se puede acceder al cliente con una dirección IP distinta de la que tenía ayer.
La funcionalidad real de la red no se ve afectada por esto, pero a cualquiera que haya configurado el reenvío de puertos para ciertos servicios en su router, por ejemplo, probablemente le disgustará precisamente esta circunstancia de cambiar las direcciones IP.
Aquí es exactamente donde entran en juego las reservas DHCP:
Con su ayuda, el cliente sigue recibiendo su dirección IP a través de DHCP, pero siempre la misma, ya que el servidor reconoce al cliente mediante la dirección MAC de su tarjeta de red y le reserva la dirección IP definida, es decir, se la asigna sólo a este único cliente.
Para configurar las reservas, abrimos la consola correspondiente en el servidor a través de Inicio => Administración => DHCP y navegamos hasta «Addressleases».

DHCP

Aquí vemos que el ordenador «Testpc» ha recibido la dirección IP 192.168.1.110 del pool de direcciones que hemos definido y por tanto puede ser localizado en la red. Sin embargo, ahora queremos asignar la dirección IP 192.168.1.80 a este ordenador y debemos crear una reserva para él. Las direcciones IP utilizadas para las reservas NO deben proceder del conjunto de direcciones.
Determinar la dirección MAC de este ordenador es bastante sencillo, abrimos una línea de comandos en el servidor y hacemos ping al ordenador.

Ping a la IP

Después de hacer ping, realizamos un arp -a en la misma línea de comandos; la parte de aspecto algo críptico debajo de «Phys. Address» es la dirección MAC.

Dirección MAC mediante arp -a

Copiamos esta dirección MAC al portapapeles (márcala mientras mantienes pulsado el botón izquierdo del ratón y luego pulsa Intro) y cambiamos a la consola DHCP. Aquí hacemos clic con el botón derecho del ratón en «Reservas» y seleccionamos «Nueva Reserva».
Rellenamos el diálogo «Nueva Reserva» con los datos requeridos, insertamos la dirección MAC en el campo de dirección MAC usando [CTRL]+[V] y seleccionamos «Sólo DHCP» para «Tipos Soportados».

Reserva mediante dirección MAC

Después de hacer clic en OK, debería verse algo parecido a esto:

Reserva a través de la dirección MAC

A partir de ahora, a nuestro cliente «TestPC» siempre se le asignará la dirección IP 192.168.1.80 y, por tanto, siempre se podrá acceder a él con esta dirección IP. Sin embargo, el cliente sigue utilizando la dirección IP asignada del pool de direcciones.

Se sigue utilizando una dirección del conjunto de direcciones
Haga clic en la imagen para ampliarla

Esto cambiará después de un reinicio como muy tarde, pero también se puede conseguir en el cliente mediante ipconfig /release o /renew en la consola.

Liberar la IP

Nueva PI

En la consola DHCP se ve así.

Configuración correcta
Haga clic en la imagen para ampliarla

Debes repetir este procedimiento para cada cliente de la red que vaya a recibir la misma dirección IP vía DHCP. Para averiguar las direcciones MAC de varios ordenadores a la vez, también puedes utilizar el pequeño script GetMac.

La Parte 6 tratará exclusivamente el tema de los Servicios de Actualización de Software (SUS), es decir, la posibilidad de proporcionar automáticamente a todos los ordenadores de la red (a partir de Win2000) las actualizaciones más importantes, de forma que la descarga desde Internet sólo se realiza una vez en el servidor y los clientes descargan después las actualizaciones localmente desde el servidor.

Artículos relacionados