Laboratorio 12: Administración de cuentas de Usuario y de Servicios

Laboratorio 12: Administración de cuentas de Usuario y de Servicios

Alumno:                         

Objetivos:

Al finalizar el laboratorio el estudiante será capaz de:

• Configurar una directiva de contraseñas y bloqueo de cuentas.
• Crear y asociar una cuenta de servicios administrados.

Seguridad:

• Ubicar maletines y/o mochilas en el gabinete al final de aula de Laboratorio o en los casilleros asignados al estudiante.
• No ingresar con líquidos, ni comida al aula de Laboratorio.
• Al culminar la sesión de laboratorio apagar correctamente la computadora y la pantalla, y ordenar las sillas utilizadas.

Equipos y Materiales:

• Una computadora con:
• Windows 7 o superior
• VMware Workstation 10+ o VMware Player 7+
• Conexión a la red del laboratorio

• Máquinas virtuales del curso.

• DVD:
• De Windows Server 2012

Procedimiento:

Nota:         En el siguiente laboratorio se realizarán las siguientes actividades:

• Configurando una directiva de contraseña y bloqueo de cuentas.
• Configuración de cuentas de servicios administrados.

Escenario

ACME es una empresa que tiene su oficina principal en Londres, Reino Unido. Una oficina de Tecnología de la Información y el centro de datos están ubicados en Londres para dar soporte a la oficina de Londres y otras sucursales. ACME, recientemente, ha implementado una infraestructura de Windows Server 2012 y clientes con Windows 8, por lo tanto, necesita implementar cambios para gestionar las cuentas de usuario en este entorno.

Lab Setup

1. Se requiere: LON-DC01.

1. Iniciar sesión en LON-DC01 como Administrador.

1. La infraestructura a trabajar en el laboratorio será la siguiente:

[pic 2]

1. Revisar la existencia de los objetos (usuarios, grupos, OUs, etc.) creados en el laboratorio 3.

EJERCICIO 1: Configuración de una directiva de contraseñas y bloqueo de cuentas

Escenario

ACME Ha completado la revisión de las políticas de seguridad sobre las contraseñas y bloqueos de cuentas. Se le ha pedido implementar las recomendaciones contenidas en el reporte para controlar la complejidad de las contraseñas y su longitud. También necesita configurar apropiadamente el bloqueo de cuentas. Parte de la configuración de la política de contraseñas incluirá una política de contraseñas específica que será asignada al grupo de seguridad Managers. Este grupo requiere una política diferente de contraseñas que ha sido aplicada a nivel de dominio.

El reporte recomienda que la siguiente configuración de las contraseñas debe ser aplicada a todas las cuentas en el dominio:

• Password history: 20 passwords
• Maximum password age: 45 days
• Minimum password age: 1 day
• Password length: 10 characters
• Complexity enabled: Yes
• Account Lockout duration: 30 minutes
• Account lockout threshold: 5 attempts
•  Reset account lockout counter after: 15 minutes

El reporte ha recomendado que una política diferente se aplique a los usuarios del grupo Managers, dicha política deberá tener los siguientes parámetros:

• Password history: 20 passwords
• Maximum password age: 20 days
• Minimum password age: 1 day
• Password length: 15 characters
• Complexity enabled: Yes
• Account Lockout duration: 0 minutes (An administrator will have to unlock the account)
• Account lockout threshold: 3 attempts
• Reset account lockout counter after: 30 minutes

Las principales tareas para este ejercicio son las siguientes:

• Configurar una directiva de contraseñas a nivel de dominio.
• Configurar una directiva de bloque de cuentas.
• Configurar una directiva de contraseñas a un grupo.

*** Reemplazar XYZ por las iniciales de su primer nombre y apellidos.

1. Configurar una directiva de contraseñas a nivel de dominio.

• En LON-DC01 abrir la herramienta Administración de directivas de grupo.
• Edite el GPO Default Domain Policiy y configure los siguientes parámetros en Directiva de contraseñas (Configuración del equipo -> Directivas -> Configuración de Windows -> Configuración de seguridad -> Directivas de cuentas):

• Exigir historial de contraseñas: 20 contraseñas
• Vigencia máxima de la contraseña: 45 días
• Vigencia mínima de la contraseña: 1 día
• Longitud mínima de la contraseña: 10 caracteres
• La contraseña debe cumplir los requisitos de complejidad: Habilitada

1. Configurar la directiva de bloque de cuentas.

• En LON-DC01 editar el GPO Default Domain Policy y configure los siguientes parámetros en Directiva de bloqueo de cuentas (Configuración del equipo -> Directivas -> Configuración de Windows -> Configuración de seguridad -> Directivas de cuentas):

• Duración del bloqueo de cuenta: 30 minutos
• Restablecer el bloqueo de cuenta después de: 15 minutos
• Umbral de bloque de cuenta: 5 intentos

• Cerrar el editor de GPO.
• Cerrar el programa Administración de directivas de grupo.

1. Configurar y aplicar una directiva de contraseñas al grupo Managers.

• En LON-DC01 abrir la herramienta Centro de administración de Active Directory.
• Crear el grupo de seguridad global ManagersXYZ en el OU Managers.
• Abrir el OU Password Settings Container (acme (local) -> System).
• Crear una nueva Configuración de contraseña y colocar los siguientes valores:

Manage[pic 3]

** En vez de ManagersPSO escribir ManagersPSOXYZ.

** No se olvide de aplicar al grupo ManagersXYZ.

1. Capture la pantalla donde se muestre la configuración de contraseña creada

[pic 4]

• Cerrar el Centro de administración de Active Directory.

EJERCICIO 2: Creación y asociación de una cuenta de servicios administrados

Escenario

Usted necesita configurar una cuenta de servicios administrados para soportar una nueva aplicación web que está siendo desarrollado para el servicio web DefaultAppPool. Utilizando una cuenta de servicio administrado ayudara a gestionar los requerimientos de contraseña para la cuenta.

Las principales tareas para este ejercicio son las siguientes:

• Crear y asociar una cuenta de servicio administrado.
• Instalar la cuenta creada en LON-DC01.

1. Crear y asociar una cuenta de servicio administrado.

• En LON-DC01 abrir la herramienta Módulo de Active Directory para Windows PowerShell.
• Crear el KDS root key, indicar que el tiempo efectivo será de menos 10 horas para que la clave sea efectiva inmediatamente, escriba el comando:

• Add-KdsRootKey -EffectiveTime ((get-date).addhours(-10))

• Crear la nueva cuenta de servicio con el nombre Webservice.

• New-ADServiceAccount -Name WebserviceXYZ -DNSHostName LON-DC01                       -PrincipalsAllowedToRetrieveManagedPassword LON-DC01$

• Asociar la cuenta creada a LON-DC01.

• Add-ADComputerServiceAccount -identity LON-DC01 -ServiceAccount WebserviceXYZ

• Verificar que el grupo de cuenta de servicio administrador fue creado.

• Get-ADServiceAccount -Filter *

• Abrir la herramienta Usuarios y equipos de Active Directory y verificar la creación del OU Managed Service Accounts y el objeto Webservice en dicha OU.

** Activar la visualización de OUs ocultas: Clic en Ver -> Características avanzadas.

...