Win2003-39

Windows 2003Introducción

La familia Windows 2003 ServerAdministración de usuarios

Administración de gruposActive Directory

Relaciones de confianzaGPO

Administración de archivosAdministración de impresión

Copia de seguridadTerminal Server

Administración remotaConfiguración y optimización

Administración de particionesServicios de red

Introducción

Elección de una plataforma operativa

3

Tipos de redes

Hay dos tipos:

Redes peer-to-peer Redes basadas en servidor

4

Redes peer-to-peer

Se caracterizan por:

Cada computador puede ser cliente y servidor. No se precisa de un administrador. La seguridad no es requisito indispensable. Apropiado para redes de menos de 10

computadoras. Los recursos lo comparten los propios

usuarios.

5

(…) Redes peer-to-peer

6

Redes basadas en servidor

Se caracterizan por:

Cada computador puede ser cliente y servidor. No se precisa de un administrador. La seguridad no es requisito indispensable. Apropiado para redes de menos de 10

computadoras. Los recursos lo comparten los propios

usuarios.

7

(…) Redes basadas en servidor

8

Razones para un servidor

Un servidor proporciona:

Rendimiento. Seguridad. Confiabilidad. Administración.

9

Elección del tipo de red

Tenga en cuenta:

El tamaño de la organización. El nivel de seguridad. Tipo de negocio. Soporte necesario. Tráfico de la red. Necesidades de los usuarios

10

Elección de un sistema operativo

Tenga en cuenta:

Las aplicaciones. La escalabilidad. Nivel de soporte. Políticas corporativas Costo

WINDOWS 2003 SERVER

Nueva tecnología en nueva presentación

12

Windows, la historia

Antes y después de Windows NT

13

(…) Windows, la historia

QDOS (Quick and Dirty Operating System) creado por Tim Patterson.

14


CP/M (Control Program Monitor) y GEM (Graphics Enviroment Manager) creado por Gary Kildall.

15


OS/2 (Operating System 2) se comenzó a desarrollar en conjunto por IBM y Microsoft.

16


IBM continuó el desarrollo de OS/4 hasta la versión 4 y Microsoft prometió el OS/NT. Windows 3.x y Windows NT heredaron la interfase gráfica del OS/2.

17


El creador del RSX y el VMS, David Cutler, es contratado por Microsoft para el desarrollo de Windows NT (ex-OS/NT).

18


Windows 2000 debería unificar todas los líneas de desarrollo de Windows. Windows 2000 Server incluye servicios de directorio para competir con

Netware de Novell.

19


Todas las nuevas versiones de Windows se basan en la Nueva Tecnología y detrás de ella se encuentra David Cutler.

20

NT, Nueva Tecnología

Multitarea multithreading: Múltiples secuencias de ejecución.

Multitarea preemptive: Control total de los recursos.

SMP: Soporte para varios procesadores.

NTFS.Soporte nativo de TCP/IP.

21

Multithreading

22

La familia Windows 2003

Comprende:

Windows 2003 Server Standard Edition Windows 2003 Server Enterprise Edition Windows 2003 Server Datacenter Edition Windows 2003 Server Web Edition

23

Requerimientos de hardware

24

La caja de Inicio de sesión

Permite el inicio de sesión. Debe consignar el nombre de usuario (username)

y la contraseña (password) respectiva. Si el inicio de sesión se produce en un dominio, es necesario especificar el nombre de dominio.

25

La Caja de Seguridad

26

(…) La Caja de Seguridad

Le muestra el usuario que ha iniciado sesión localmente.

Le permite: Bloquear el equipo. Cerrar sesión. Apagar el sistema. Cambiar la contraseña. Usar el administrador de tareas.

27

La Consola de Administración

AMINISTRACIÓN DE USUARIOS Y GRUPOS

Administrando las cuentas locales

29

Usuarios predeterminados

Por defecto, Windows Server 2003 crea los siguientes usuarios:

Administrador. Invitado IUSR_servidor La única cuenta habilitada es la del

Administrador.

30

El perfil de usuario

Consiste de:

Ruta de acceso del perfil. Archivo de comandos de inicio de sesión. Directorio particular.

31

El directorio particular

En un directorio en un servidor de la red en el que el usuario puede almacenar su información de manera confidencial y privada.

.

32

El directorio particular

En un directorio en un servidor de la red en el que el usuario puede almacenar su información de manera confidencial y privada.

Consiste de:Ruta de acceso del perfil.Archivo de comandos de inicio de sesión.Directorio particular.

33

El archivo de comandos de inicio de sesión

Puede ser un archivo de proceso por lotes BAT o un archivo de comandos de Windows CMD. Los archivo CMD pueden hacer más porque permiten el uso de scripts (modificar el Registry o invocar librerías).

En Windows NT debe estar en:D:\WINNT\SYSTEM32\REPL\IMPORTS\SCRIPTS.En Windows 2003 debe estar en:d\WINDOWS\SYSTEM32\REPL\IMPORTS\.

34

(…) El archivo de comandos de inicio de sesión

Un ejemplo de archivo BAT es el siguiente:NET USE P: \\PUBLICONET USE S: \\servidor\SOFTWARE

35

Ruta de acceso al perfil

Ubicación local o de red donde se almacena las preferencias del usuario y la configuración de su escritorio.

Hay tres tipos de perfiles:

Local: Perfil almacenado en el equipo local. Móvil: Mantiene el perfil del usuario. Obligatorio: No permite cambios en el

escritorio.

36

Perfil Móvil

Mantiene los preferencias del usuario y la configuración de su escritorio, sin importar el equipo que se encuentre utilizando.

Para configurarlo, copie la ruta del Directorio particular en la caja de texto Ruta de acceso del perfil.

37

Perfil obligatorio

Para tener perfil obligatorio, renombre el archivo NTUSER.DAT a NTUSER.MAN.

38

La ficha Marcado

Permite el inicoa de seion remotoPuede ser a traves de la lienta etelfonica o

a tratves de Iternet.

39

La ficha Perfil

Los usuarios pueden iniciar sesión de tres formas: Inicio de sesión local Inicio de sesión a través de la red. Inicio de sesión remoto. (dibujo de los incios de seison)Permite atendet mejor a los usuarios que inician sesión en el ser

vidor a través de la red.A cada usuareionque ha logrado inicar sesión local le sistema le

crea un perfil.(dibujo de loa pefiels de usuario en Mi PC)Ver elc ontenido del perfile ne le Exploatrdor de Windows>Docs

& SetytingPara cada usario que ha logrado inicar sesion lcoal elsistema

crea una carpeta.

40

Administración de grupos

Los derechos y permisos se asignan a grupo no a usuarios.

Los grupos y usuarios tienen un identificador de seguridad.

Es más fácil administrar por grupos que hacerlo usuario por usuario.

Además, es más eficiente.

41

La Ventana de Selección

Permite seleccionar objetos por tipo, ubicación o nombre.

Si no conoce el nombre del objeto puede usar el botón Avanzadas y hacer clic en Buscar ahora.

ACTIVE DIRECTORY

Servicios de directorio

43

Servicio de directorio

Un directorio es un repositorio de información para ser consultado por usuarios, administradores, equipos y servicios de red.

Los servicios proporcionados por un directorio son: Identificación inequívoca de los objetos de la red. Acceso fácil y universal a todos los recursos de la

red mediante una contraseña única. Administración centralizada de toda la red desde

cualquier punto.

44

(…) Servicio de directorio

Windows 2003 Server incluye el Active Directory que proporciona una estructura jerárquica para almacenar información de los objetos de la red.

El directorio de Active Directory puede incluir uno o varios dominios, cada uno de los dominios puede contener uno o varios controladores de dominio.

En un árbol de dominios se pueden combinar múltiples dominios y en un bosque se pueden combinar múltiples árboles.

45

Componentes físicos

Son: Sitios. Conjunto de subredes IP adecuadamente

interconectadas. Los clientes son asignados al sitio determinado por su dirección IP. Los sitios permiten controlar el tráfico de la replicación y una autenticación rápida.

46

(…) Componentes físicos

Son: Controladores de dominio. Almacenan la base de

datos NTDS.DIT del Active Directory. Todo equipo con Windows 2003 Server (excepto Web Edition) puede ser promovido a controlador de dominio. Un dominio puede contener varios controladores de dominio.

47

Componentes lógicos

Son: Bosques. Consiste de varios árboles de

dominio. Los árboles dominio de un bosque no constituyen un espacio contiguo de nombres.

48

(…) Componentes lógicos

Son: Árboles. Consiste de varios dominios.

49


Son: Dominios. Unidad básica de administración

que agrupa lógicamente a los recursos de una unidad de replicación.

50


Son: Unidades organizativas. Permiten la

delegación de la administración.

51


Todos los dominios de los árboles de un bosque comparten las siguientes características: Relaciones de confianza transitivas entre los

dominios. Relaciones de confianza transitivas entre los

árboles de dominio. Un esquema común. Información de configuración común. Un catálogo común.

52

Roles de un servidor

Por defecto, el primer controlador de dominio en un bosque cumple las cinco funciones o roles:

Schema Master Domain Naming Master Relative Identifier (RID) Master Primary Domain Controller (PDC) Emulator Infrastructure Master

53

Schema Master

Controlador de dominio que cumple el rol Schema operations master en el Active Directory.

Modifica el esquema del directorio y replica las modificaciones en los otros controladores de dominio del bosque.

En un bosque, sólo puede existir un Schema Master en un determinado instante.

54

Domain Naming Master

Controlador de dominio que cumple el rol Domain naming operation master en el Active Directory.

Controla la adición y remoción de dominios en un bosque.

En un determinado instante, sólo puede asignarse el rol Domain naming operation master a un controlador de dominio.

55

Relative Identifier (RID) Master

Controlador de dominio que cumple el rol RID operation master en el Active Directory.

Asigna RIDs únicos a los controladores de dominio durante la creación de cuentas. El identificador relativo RID (Relative Identifier) es parte de un SID (Security Identifier).

Cuando un controlador de dominio crea una cuenta de usuario, grupo o computador le asigna un SID de cuenta. El SID de cuenta consiste de un SID de dominio (igual para todos los SID de cuenta creados en el dominio) y un RID (único para cada SID creado en el dominio).

En un instante determinado, sólo puede asignarse el rol RID Master a un controlador de dominio.

56

Primary Domain Controller (PDC) Emulator Master

Controlador de dominio que cumple el rol PDC emulator operations master en el Active Directory.

Sirve a los clientes que no tienen instalado el cliente Active Directory y replica los cambios hechos al directorio en los controladores de dominio BDC con Windows NT.

El PDC Emulator Master atiende las autenticaciones cuyas contraseñas han cambiado pero aún no han sido replicadas en el dominio.

En un instante determinado, sólo puede asignarse el rol PDC Emulator Master a un controlador de dominio.

57

Infraestructure Master

Controlador de dominio que cumple el rol Infrastructure operations master en el Active Directory.

El Infrastructure Master actualiza las referencias grupo-usuario si los miembros de un grupo cambia y replica dichos cambios en el dominio.

En un instante determinado, en cada dominio sólo puede asignarse el rol Infrastructure Master a un controlador de dominio.

58

Niveles funcionales

Un nivel funcional determina las versiones de Windows de los controladores de domino y la disponibilidad de las nuevas características de Windows 2003 Server.

Windows 2003 Server proporciona:

Niveles funcionales de dominio. Niveles funcionales de bosque.

59

Niveles funcionales de dominio

En un bosque, un dominio se configura con un nivel funcional según los controladores de dominio y las funcionalidades de un dominio con un nivel funcional no están disponibles en otro dominio con otro nivel funcional.

Los niveles funcionales de dominio son: Windows 2000 mixto (predeterminado) Windows 2000 nativo Windows Server 2003 intermedio Windows Server 2003

60

(…) Niveles funcionales de dominio

61

Cambio de nivel funcional de dominio

62

Niveles funcionales de bosque

El nivel funcional de bosque determina las versiones de Windows que se ejecutan en los controladores de dominio en un bosque y de la disponibilidad de las nuevas características de bosque.

Los niveles funcionales de bosque: Windows 2000 (predeterminado) Windows Server 2003 intermedio Windows Server 2003

63

(…) Niveles funcionales de bosque

64

Cambio de nivel funcional de bosque

65

Dominios

Unidad administrativa básica.Un dominio puede contener:

Controladores de dominio Servidores miembros Clientes

66

(…) Dominios

67

El Catálogo Global

Contiene un subconjunto de las propiedades de todos los objetos de la red para efectos de consulta.

Almacena información de los grupos globales y sus miembros.

Redirecciona las peticiones de autenticación cuando se usa UPN (User Principal Name).

Valida las referencias a objetos dentro del bosque.

68

(…) El Catálogo Global

Se crea al instalar el Active Directory. Es recomendable más de uno para tolerancia a fallas, balanceo de carga o reducir el tráfico entre enlaces WAN.

Es recomendable un catálogo global en cada sitio debido a que el tráfico de autenticación es mayor que el tráfico de replicación, incluso éste último puede programarse para ocurrir en horas de menor tráfico.

Usar caché para los grupos universales puede reducir la necesidad de catálogos globales.

69

(…) El Catálogo Global

La configuración del catálogo global se hace a nivel de servidores, mientras que la implementación del caché de grupos universales se hace a nivel de sitios y se aplica a todos los controladores de dominio del sitio.

70

Creación de un Catálogo Global

71

Caché de grupos universales

RELACIONES DE CONFIANZA

Una relación entre dominios

73

RELACIONES DE CONFIANZA

Permite la comunicación entre dominios. Son canalizaciones de autenticación que

permiten que los usuarios de un dominio tengan acceso a los recursos en otro dominio.

74

(…) RELACIONES DE CONFIANZA

Por defecto se crean:

Dominio principal y dominio secundario. Raíz de árbol

75

(…) RELACIONES DE CONFIANZA

Otros tipos pueden ser:

Externa. Entre un Windows 2000 y Windows NT o un dominio de otro bosque. Es intransitiva.

Regional. Con una región Kerberos. De bosque. Entre bosques. Es transitiva. Acceso directo. Entre dominios ya

relacionados. Es transitiva.

ADMINISTRACIÓN DE USUARIOS

Personalice la atención a los usuarios

77

TIT1

Un directorio es un repositorio de información para ser consultado por usuarios, administradores, equipos y servicios de red.

Los servicios proporcionados por un directorio son: Identificación inequívoca de los objetos de la red. Acceso universal a todos los recursos de la red

mediante una contraseña única. Administración centralizada de toda la red desde

cualquier punto.

78

(…) Cont TIT1

Windows 2003 Server incluye el Active Directory que proporciona una estructura jerárquica para almacenar información de los objetos de la red.

El directorio de Active Directory puede incluir uno o varios dominios, cada uno de los dominios puede contener uno o varios controladores de dominio.

En un árbol de dominios se pueden combinar múltiples dominios y en un bosque se pueden combinar múltiples árboles.

79

TIT2

Son:

Sitios. Conjunto de subredes IP adecuadamente interconectadas. Los clientes son asignados al sitio determinado por su dirección IP. Los sitios permiten controlar el tráfico de la replicación y una autenticación rápida.

Controladores de dominio. Almacenan la base de datos NTDS.DIT del Active Directory. Todo equipo con Windows 2003 Server (excepto Web Edition) puede ser promovido a controlador de dominio. Un dominio puede contener varios controladores de dominio.

80

TIT2

Son: Bosques. Consiste de varios árboles de

dominio. Los árboles dominio de un bosque no constituyen un espacio contiguo de nombres.

Árboles. Consiste de varios árboles. Dominios. Unidad básica de administración

que agrupa lógicamente a los recursos de una unidad de replicación.

Unidades organizativas. Permiten la delegación de la administración.

ADMINISTRACIÓN DE GRUPOS

En grupo es mejor

82

GRUPOS

Un grupo es un conjunto de objetos que puede ser administrados como una sola unidad.

Los permisos asignados al grupo son heredados por todos sus miembros.

Se utilizan para: Administrar el acceso a los recursos compartidos y

a los objetos del Active Directory. Filtrar las configuraciones de las directivas de

grupo. Crear listas de distribución de correo electrónico.

83

Unidades organizativas

Son objetos contenedores del Active Directory que albergan usuarios, grupos, equipos y otros unidades organizativas.

No puede contener objetos de otros dominios.Es la unidad más pequeña a la que se le

puede asignar un objeto GPO.La administración de una unidad organizativa

pude asignarse a un usuario o un grupo.

84

Tipos de grupo

Grupos de distribución:

No tienen SID. No participan en la seguridad del dominio.

Agrupa usuarios y objetos afines. Usado por Exchange Server.

Grupos de seguridad:

Tienen un SID. Participan en la seguridad del dominio. Se muestran en las listas de control de acceso. Un usuario validado, la credencial del usuario contiene

su SID de los grupos de seguridad a los que pertenece.

85

Ámbito de grupo

Grupo local: En servidores MS y SS. Recibe permisos únicamente en el equipo local.

Grupo de dominio local: En servidores DC. Recibe permisos únicamente en su dominio.

Grupo global: En servidores DC. Recibe permisos en su dominio y en los dominios que confían

en su dominio. Grupo universal:

En servidores DC. Recibe permisos en todos los dominios del bosque.

ADMINISTRACIÓN DE ARCHIVOS

Aseguré su difusión y evite la dispersión

87

ADMINISTRACIÓN DE ARCHIVOS

Un archivo es la forma que toman los datos para poder almacenarse en un computador.

Los archivos se pueden agruparse en carpetas (folders) y las carpetas pueden contener subcarpetas.

La forma en que los archivos son almacenados en un dispositivo de almacenamiento se conoce como Sistemas de archivos.

88

Sistemas de archivos

Los sistemas de archivos reconocidos por Windows Server 2003 son:

FAT: File Allocation Server (de 16 bits), compatible con casi todos los sistemas operativos.

FAT32: File Allocation Server de 32 bits, soporta discos de mayor tamaño, particiones mayores a 2 GB y la elección del tamaño de la unidad de asignación (cluster).

NTFS: New Technology File System (32 bits), ofrece todas las ventajas de un sistema de archivos moderno, tales como compresión, cifrado, seguridad local, tolerancia a fallas, etc.

CDFS: Compact Disc File System, usado para la lectura de CDs.

89

Tipos de permisos

Los permisos hacen posible controlar el acceso a los archivos.

Hay dos tipos de permisos:Permiso CompartirPermisos Seguridad

90

Permisos Compartir





91

Permisos Seguridad





ADMINISTRACIÓN DE IMPRESORAS

Algo más que compartir impresoras

93

IMPRESIÓN EN WINDOWS

Un grupo es un conjunto de objetos que puede ser administrados como una sola unidad.

Los permisos asignados al grupo son heredados por todos sus miembros.

Se utilizan para: Administrar el acceso a los recursos compartidos y

a los objetos del Active Directory. Filtrar las configuraciones de las directivas de

grupo. Crear listas de distribución de correo electrónico.

94

Permisos de impresión





95

Impresora con varios planes de uso





96

Pool de impresión





COPIA DE SEGURIDAD

Su último recurso

98

Copia de seguridad

Copia de seguridad es una utilidad de Windows para la copia y restauración de archivos del sistema y de datos.

El medio de almacenamiento puede ser un disco duro o una unidad de cintas.

Los usuarios con los privilegios necesarios son:

Administrador. Operadores de copia.

99

(…) Copia de seguridad

100

(…) Copia de seguridad

La utilidad Copia de seguridad crea una instantánea de los datos para crear una copia exacta, incluyendo los archivos abiertos y los utilizados por el sistema.

El ASR (Automated System Recovery) es una opción de la Copia de seguridad.

Copia de seguridad le permite hacer una copia del estado del sistema (System State).

Se puede programar copias periódicas de los datos que cambian frecuentemente.

101

Consideraciones del sistema de archivos

Puede utilizar Copia de seguridad en unidades FAT, FAT32 y NTFS.

Si realizo una copia de seguridad de una unidad NTFS, procure realizar la restauración en una unidad NTFS, de lo contrario podría perder permisos, cifrado, información de cuota de disco y almacenamiento remoto.

Para montar y desmontar una cinta o un disco, use la utilidad Almacenamiento extraíble.

102

El System State

Contiene la configuración del sistema (estado del sistema).

Consiste de: Boot files. Los archivos de arranque del

sistema. COM Class Registration Database. La

librería de clases COM. Registry. El Registro de Windows. SYSVOL. El volumen del sistema. Sólo en

controladores de dominio. Active Directory. La basa de datos del Active

Directory. Sólo en controladores de dominio.

103

TIPOS DE COPIA DE SEGURIDAD

Los tipos de copia de seguridad son: Normal. Diferencial. Incremental. Copia. Diaria.

104

Normal

Copia todos los archivos seleccionados y los MARCA como copiados.

Requiere de una unidad de cinta. También conocida como full backup.

105

Diferencial

Copia los archivos que ha sido creados o modificados después de la ultima copia de seguridad Normal y NO MARCA los archivos como copiados.

Requiere dos unidades de cinta: una para la copia Normal y otra para el Diferencial.

106

Incremental

Copia los archivos que ha sido creados o modificados después de la ultima copia de seguridad Normal y MARCA los archivos como copiados.

Requiere una unidad de cinta por día.

107

Copia

Copia todos los archivos seleccionados sin modificar el atributo Archive.

Debe usarse cuando se requiera hacer una copia de seguridad no planeada o extraordinaria entre copias normales e incrementales.

108

Diaria

Realiza una copia de todos los archivos seleccionados que se hayan creado o modificado en el día en el que realiza la copia.

GPOs

Administración centralizada de equipos y usuarios

110

DIRECTIVAS DE GRUPO

Las directivas de grupo (Group Policy) es una característica del Active Directory que permite administrar usuarios y configurar equipos de manera centralizada.

Permite definir, reforzar y actualizar la configuración de usuarios y equipos de un contenedor (sitio, dominio, unidad organizacional).

El componente básico de un objeto GPO es una directiva que define una configuración particular.

111

(…) DIRECTIVAS DE GRUPO

Algunos ejemplos de directivas son:

Remover la opción Configuración del menú Inicio. Establecer la longitud máxima de la contraseña. Ejecutar una secuencia de comandos al iniciar sesión.

112

GPO

Un objeto de directivas de grupo GPO (Group Policy Object) es un objeto que contiene una o más directivas y consta de dos componentes:

Un objeto en el Active Directory, y Una carpeta conteniendo una colección

de archivos en el SYSVOL del controlador de dominio.

113

(…) GPO

Las directivas de un GPO no sólo establecen la configuración inicial, sino que se refrescan regularmente y siempre sobrescriben la configuración hecha por un usuario o una secuencia de comandos.

Cada computador con Windows 2000/XP/2003 tiene un GPO local, independientemente de la forma en que participa en una red, almacenado en \WINDOWS\SYSTEM32\GroupPolicy.

114

(…) GPO

Por defecto, sólo las directivas de seguridad se encuentran configuradas.

Cuando se crea un GPO y se le asocia a un sitio, dominio o unidad organizacional, todos los equipos y usuarios contenidos caen bajo el ámbito del GPO y serán afectados por las directivas configuradas en el GPO.

115

(…) GPO

Cada GPO se encuentra identificado mediante un único GUID (Globally Unique Identifier) y se almacena en: \WINDOWS\SYSVOL\sysvol\dominio\guid\ADM, donde dominio es el nombre DNS del dominio y guid es el GUID del GPO.

Cuando se instala el Active Directory, se crean los GPO predeterminados y se almacenan en los controladores de dominio.

116

(…) GPO

Los GPO predeterminados son:

Default Domain Policy. Este GPO es asociado al domino y afecta a todos los usuarios y equipos del dominio incluyendo a los controladores de dominio.

Default Domain Controllers Policy. Este GPO es asociado a la unidad organizacional Domain Controllers y afecta sólo a los controladores de dominio.

117

Herramientas para los GPO

Para configurar las directivas en un GPO dispone de diversas herramientas: El Editor GPO. La herramienta Active Directory Users and

Computers. La herramienta Active Directory Sites and Services. La consola Group Policy Management (que puede

descargar desde http://www.microsoft.com/downloads).

El complemento Resultant Set of Policy RSoP.

118

(…) Herramientas para los GPO

Para crear un GPO asociado a un dominio o una unidad organizacional use la herramienta Active Directory Users and Computers.

Para crear un GPO asociado a un sitio use la herramienta Active Directory Sites and Services.

La consola Group Policy Management le permite administrar todos los GPOs de manera centralizada.

119

Jerarquía de los GPO

Los GPOs se aplican jerárquicamente y definen el conjunto resultante de directivas sobre un usuario o equipo.

La jerarquía con la se aplican las directivas se describe a continuación: GPO local. Cada equipo con Windows

2000/XP/2003 tiene un GPO local almacenado localmente.

GPO de sitio. Se aplica a todos los dominios del sitio. Los sitios pueden tener asociados uno o más GPOs y se aplican en el orden establecido.

120

(…) Jerarquía de los GPO

GPO de dominio. Se aplica dominio por dominio, un dominio hijo no hereda las directivas del dominio padre. Los dominios pueden tener asociados uno o más GPOs y se aplican en el orden establecido.

GPO de unidad organizacional. Se aplican a las unidades organizaciones, una unidad organizacional hija hereda las directivas de la unidad organizacional padre. Los GPOs de las unidades organizaciones se aplican siguiendo la jerarquía de dichas unidades organizacionales.

121

(…) Jerarquía de los GPO

En resumen, el GPO local se aplica primero, luego el GPO asociado al sitio, a continuación el GPO asociado al dominio y finalmente el GPO de la unidad organizacional que contiene al usuario o equipo.

La herencia determina las directivas efectivas para los usuarios y equipos de una unidad organizacional, como el conjunto de directivas heredado de los contenedores padre.

122

Herencia

Las reglas que se aplican a la herencia son:

Si una directiva esta configurada (Enabled o Disabled) en un GPO de una unidad organizacional padre y la misma directiva no esta configurada (Not Configured) en el GPO de una unidad organización hija, la directiva efectiva en la unidad organizacional hija es la heredada de la unidad organizacional padre.

123

(…) Herencia

Si una directiva esta configurada (Enabled o Disabled) en un GPO de una unidad organizacional padre y la misma directiva es configurada en el GPO de una unidad organización hija, la directiva efectiva es la definida en la unidad organizacional hija que sobrescribe a la directiva heredada.

Si una directiva no esta configurada (Not Configured) en un GPO de una unidad organizacional padre, la unidad organización hija no tiene nada que heredar.

124

(…) Herencia

Algunos factores pueden exceptuar o afectar el orden del procesamiento de las directivas, entre ellos se encuentran: Miembros de grupos de trabajo. Un equipo

que es miembro de un grupo de trabajo sólo procesa el GPO local.

Bloqueo de herencia. Es una propiedad de un GPO. Si en el GPO de un contenedor se marca la casilla Block Policy inheritance, se impide la herencia desde los GPOs de los contenedores padres.

125

(…) Herencia

126

(…) Herencia

No sobrescritura. Es una propiedad de asociación de un GPO a un contenedor. Si se marca la casilla No Override, las directivas en el GPO no será sobrescritas por ningún GPO durante el procesamiento de las directivas de grupo. Si más de un GPO tiene activa la propiedad No sobrescritura, tendrá efecto el GPO de mayor jerarquía.

127

(…) Herencia

128

(…) Herencia

Loopback. Esta propiedad permite modificar la forma de obtener la lista de GPOs que afecta a la configuración de un usuario. En lugar de determinar la configuración del usuario usando las directivas en el nodo User Configuration del GPO aplicable al usuario, la configuración del usuario es determinada por las directivas del nodo User Configuration del GPO aplicable al computador. Esta directiva la puede encontrar en Computer Configuration\ Administrative Template\System\Group Policy en el Editor GPO. Use la opción Replace para remplazar la configuración normal del usuario con la configuración de usuario definida en el GPO aplicable al computador. Use la opción Merge para combinar la configuración de usuario definida en el GPO aplicable al computador con la configuración normal del usuario.

129

(…) Herencia

130

EL EDITOR GPO

Permite configurar las directivas en un GPO. En el Editor GPO, las directivas se dividen en dos grupos: los referidos a los computadores en el nodo Computer

Configuration los referidos a los usuarios en el User Configuration.

Dentro de cada nodo, las directivas se clasifican como: directivas de instalación de software Software Settings directivas para la configuración y seguridad Windows

Settings directivas de configuración del registro Administrative

Templates

131

(…) EL EDITOR GPO

Por defecto, todas las nuevas directivas en un nuevo GPO aparecen sin configurar Not Configured lo que significa que el GPO no modifica la configuración existente. A partir de este estado, puede activar o desactivar la directiva para decidir si va a tener efecto o no va a tener efecto.

132

El nodo Computer Configuration

Agrupa las directivas relativas a los computadores, se aplican cuando el sistema operativo inicia y se refrescan cada 90 minutos. Software Settings. Contiene la extensión Software

Installation que le permite determinar la forma de instalación y mantenimiento de las aplicaciones.

Windows Settings. El nodo Security Settings contiene las directivas de seguridad. La extensión Scripts le permite definir una secuencia de comandos para el encendido y otra para el apagado del equipo. El tiempo predefinido para cada secuencia de comandos es de 10 minutos.

Administrative Template. Contiene las numerosas directivas de configuración del registro, afectan los valores en HKEY_LOCAL_MACHINE\Software\Policies y HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Policies. Una descripción de cada directiva se incluye en el Editor GPO de Windows 2003 Server.

133

El nodo User Configuration

Agrupa las directivas relativas a los usuarios, se aplican cuando el usuario inicia sesión y se refrescan cada 90 minutos. Software Settings. Contiene la extensión Software Installation que

le permite determinar la forma de instalación y mantenimiento de las aplicaciones.

Windows Settings. El nodo Security Settings contiene las directivas de seguridad, Remote Installation Services controla la instalación remota del sistema operativo, Folder Redirection permite redireccionar las carpetas del perfil del usuario, Internet Explorer Maintenance permite administrar y personalizar el Internet Explorer en los equipos con Windows 2000/XP/2003. La extensión Scripts le permite definir una secuencia de comandos de inicio de sesión y otra de fin de sesión. Al apagarse un equipo, primero se ejecuta la secuencia de comandos de cierre de sesión y luego la de apagado. El tiempo predefinido para cada secuencia de comandos es de 10 minutos.

Administrative Template. Contiene las numerosas directivas de configuración del registro, afectan los valores en HKEY_CURRENT_USER\Software\Policies y HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies. Una descripción de cada directiva se incluye en el Editor GPO de Windows 2003 Server.

134

Fin

Configuración de Seguridad

Protegiendo con lo que se tiene

136

Recursos disponibles

.

137

Seguridad mediante GPOs

.

138

Plantillas de Seguridad

Son archivos .INF que contienen las siguientes directivas y parámetros de seguridad:

Account Policies Local Policies Event Log Policies Restricted Groups System Services Registry permissions File System permissions

139

Creación de una consola Security Templates

140

El complemento Security Templates

141

Plantillas predefinidas

Proporcionan diferentes niveles de seguridad: Setup security DC security Securedc Hisecdc Compatws Securews Hisecws Rootsec Iesacls

142

Aplicación de las plantillas

Una vez creada o modificada la plantilla, debe ser aplicada a un equipo o a un contenedor.

Para aplicar una plantilla a un sólo equipo use el Editor GPO, para aplicar a un conjunto de computadores use Active Directory Users and Computers o Active Directory Sites and Services.

No distribuya las plantillas DC security y Setup security mediante GPOs.

143

(…) Aplicación de las plantillas

Windows 2003 Avanzado

InstructorMarco Antonio FLORES [email protected]

Contenido1.- Administración remota2.- Administración de particiones3.- Configuración y optimización3.- Servicios de red: DNS, DHCP, WINS, RIS6.- Administración de impresiones7.- Copia de seguridad8.- Administración de clientes

Bibliografía“Administre y Configure Windows Server 2003”, Marco Antonio FLORES ROSA

mailto:[email protected]

ADMINISTRACIÓN REMOTA

Administración centralizada

146

Herramientas

La administración remota se puede realizar mediante:

Conectar con otro equipo Escritorio remoto Administración remota Web Asistencia Remota

147

Conectar con otro equipo

Casi todas las herramientas administrativas tienen una opción Conectar a otro equipo que permite la administración remota.

Las limitaciones más notables son:

No se puede instalar software. Reiniciar el equipo. No es posible iniciar o detener los dispositivos. No es posible defragmentar discos.

148

(…) Conectar con otro equipo

Por ejemplo usando la herramienta Administración de equipos se puede:

Examinar las bitácoras de los equipos Ver las carpetas compartidas, sesiones iniciadas y

archivos abiertos. Administrar usuarios y grupos. Ver el estado de los dispositivos, actualizar

controladores de dispositivos. Administrar medios extraíbles y administrar particiones Ver, detener. iniciar y reiniciar los servicios. Administrar sitios Web.

149

(…) Conectar con otro equipo

Puede crear una consola personalizada para la administración de varios servidores.

Examinar las bitácoras de los equipos Ver las carpetas compartidas, sesiones iniciadas y

archivos abiertos. Administrar usuarios y grupos. Ver el estado de los dispositivos, actualizar

controladores de dispositivos. Administrar medios extraíbles y administrar particiones Ver, detener. iniciar y reiniciar los servicios. Administrar sitios Web.

150

Escritorio remoto

Para permitir la conexión al escritorio del servidor de forma remota, en la página Propiedades del sistema marque la casilla Habilitar Escritorio remoto en este equipo.

151

(…) Escritorio remoto

Esto transporte el escritorio del servidor al computador del administrador.

No se usa para ver lo que hace el administrador en el servidor.

No tiene limitación alguna.No requiere instalar Terminal Server.

152

Administración remota HTML

Debe instalar el componente Adminitración remota Web.

Incluye la versión web del escritooir remotor.


Requiere abrir el puerto 8098. .

153

Asistencia remota

Permite ver y cobtrolar un equipo remoto desde cualquier compuytador en Internet.

En Windows Server 2003 debe instlarse en Windows Messenger.


Requiere abrir rl puerto 3389 .

CONFIGURACIÓN Y OPTIMIZACIÓN

Sáquele el máximo provecho

155

Recursos del sistema

Los recursos que deben ser supervisados son:

Procesador <= 80 % (promedio) Memoria en uso < Memoria física Disco duro < 2 (cola promedio)

156

La herramienta Rendimiento

Permite monitorear los diferentes parámetros de funcionamiento de cualquier equipo de la red. La terminología usada es la siguiente:

Objeto: Dispositivo físico o lógico a ser monitoreado.

Instancia: Ocurrencia del objeto. Contador: Parámetro o magnitud a ser

monitoreado.

157

(…) La herramienta Rendimiento

158

(Ejercicio) Agregar un contador

Agregue un contador que permita determinar la cantidad de tiempo que el procesador dedica en atender a las interrupciones generados por los dispositivos periféricos.

159

(Ejercicio) Agregar un contador

Agregue un contador que permita determinar la cantidad de memoria disponible.

160

Perfiles de hardware

Permite establecer que dispositivos y servicios se inician durante el arranque del sistema.

161

(…) Perfiles de herdware

Distribuya el archivo de paginación en varios discos para tener un mejor rendimiento. No lo haga sobre unidades lógicas.

Mueva el archivo de paginación cuando se quede sin espacio en la partición del sistema.

162

(Ejercicio) Pefiels de hardware

Abra la interfase de comandos e inicie el cliente FTP usando el comando FTP.EXE.

Vea la lista de comando FTP:?

Conectese al servidor FTP:open IP_del_servidorFTP

Acceda como usuario anónimo:User: anonymousPass: [email protected]

163

Función del servidor

Los servicios que proporciona un servidor determinan el uso de la memoria.

Configure la función del servidor mediante las Propiedades de Compartir impresoras y archivos para redes Microsoft.

164

(…) Función del servidor

Elija entre las siguientes opciones: Minimizar la memoria utilizada. No

recomendado. Equilibrio. Un núnco servuidor proporciona

todos los servicios. Memoria:. Disco duro:.

165

La memoria virtual

Es una porción de disco duro que simula ser memora RAM.

Evita que el servidor se detenga cuando haga falta memoria.

Windows usa un archivo llamado PAGEFILE.SYS

Con la memoria virtual se puede:

Distribuir el archivo de paginación. Mover el archivo de paginación.

166

(…) La memoria virtual

Distribuya el archivo de paginación en varios discos para tener un mejor rendimiento. No lo haga sobre unidades lógicas.

Mueva el archivo de paginación cuando se quede sin espacio en la partición del sistema.

167

(Ejercicio) Distribuir la memoria virtual





168

(Ejercicio) Mover la memoria virtual





ADMINISTRACIÓN DE PARTICIONES

Organización de la información

170

Conceptos

Partición: Parte de un disco duro.Volumen: Unidad lógica de almacenamiento

que cuenta con un sistema de archivo.Sistema de archivo: Estructura lógica de

almacenamiento.En Windows Server 2003, la administración

de particiones se hace mediante el complemento Administración de discos.

171

El complemento Administración de discos

172

Tipos de particiones

Partición primaria:

Pueden iniciar el computador (sistema). Sólo puede contener un volumen

Partición extendida:

No es capaz de iniciar el computador (sistema). Puede contener varios volúmenes.

173

(…) Tipos de particiones

Se pueden tener como máximo hasta 4 particiones.

Las posibles combinaciones son:

174

Particiones en NT

Partición del sistema (System partition): Debe ser primaria. Sólo hay una. Contiene los archivos de arranque del sistema:

NTLDR, NTDETECT.COM, BOOT.INI

Partición de arranque (Boot partition): Puede ser primaria o una unidad lógica. Puede existir más de una. Contiene los archivos de arranque del sistema

operativo: \WINDOWS

175

Tipos de discos

Disco básico: Discos con tabla de particiones MBR (Master

Boot Record). Puede contener hasta 4 particiones, entre

primarias y extendidas. Compatible con todos los sistemas operativos.

Disco dinámico: Disco con tabla de particiones GPT (GUID

Partition Table). Puede contener hasta 128 particiones. Sólo compatible con Windows 2000 o

posteriores.

176

(…) Tipos de discos

La conversión de un disco básico a un disco dinámico es una operación irreversible.

177

RAID

Redundant Array of Independent Disks.Puede proporcionar:

Mayor capacidad Mayor velocidad Tolerancia a fallas

178

Tipos de volúmenes

Volumen SimpleVolumen ExtendidoVolumen DistribuidoVolumen SeccionadoVolumen ReflejadoVolumen RAID-5

179

Volumen Simple

Consiste de un único segmento en un único disco duro.

180

Volumen Extendido

Consiste de varios segmentos en un mismo disco duro.

Proporciona mayor capacidad.Es una operación en línea.Es irreversible.No proporciona tolerancia a fallas.Aumenta la probabilidad de fallas.No aplicable a la partición del sistema.

181

Volumen Distribuido

Requiere de dos discos o más.Proporciona mayor capacidad.Es una operación en línea.Es irreversible.No proporciona tolerancia a fallas.Aumenta la probabilidad de falla.Puede disminuir el rendimiento.No aplicable a la partición del sistema.

182

Volumen Seccionado

Requiere de dos discos o más.Requiere preparación previa.Proporciona mayor capacidad y mayor

rendimiento.Es irreversible.No proporciona tolerancia a fallas.Aumenta la probabilidad de falla.No aplicable a la partición del sistema.

183

Volumen Reflejado

Requiere de dos discos o más.Es una operación en línea.Invierte el 50% de la capacidad en

proporcionar tolerancia a fallas.Es reversible.Aplicable a la partición del sistema.

184

Volumen RAID-5

Requiere de tres discos o más.Requiere preparación previa.Proporciona mayor rendimiento.Invierte el 33.33% de la capacidad en

proporcionar tolerancia a fallas.Es irreversible.No aplicable a la partición del sistema.

SERVICIOS DE RED

DNSDHCPWINS

186

DNS

Domain Name System.Traduce las direcciones URL en

direcciones IP.

187

El comando NSLOOKUP

Sirva para consultar la base de datos de un servidor DNS.

Por defecto, consulta el primer servidor DNS.

188

DHCP

Dynamic Host Configuration Protocol.Facilita las tareas de administración de las

direcciones IP y la configuración de los hosts en una red.

189

Tipos de direcciones IP

IP estática: Dirección IP configurada manualmente.

IP dinámica: Dirección IP configurada mediante un servidor DHCP.

190

(…) Tipos de direcciones IP

IP pública: Dirección IP no privada.IP privada: Las que se encuentran

en estos rangos:

10.0.0.0 – 10.255.255.255 172.16.0.0 – 172.31.255.255 192.168.0.0 – 192.168.255.255

191

Administración del DHCP

Consiste de algunas tareas específicas: Definir la ubicación de los servidores DHCP. Determinar los rangos de direcciones IP que

serán necesarios. Configurar el servidor DHCP con direcciones IP

estáticas. Instalar el servicio DHCP. Configurar los ámbitos. Autorizar el servidor DHCP en el Active Directory. Configurar la actualización dinámica.

192

(Ejercicio) Configurar el ámbito

IP inicial: 192.168.1.1IP final: 192.168.1.254Máscara de subred: 255.255.255.0Excluir rango: 192.168.1.1 – 192.168.1.20Excluir IP: 192.168.1.100Período de concesión: 8 díasPuerta de enlace: 192.168.1.1DNS primario: 200.0.48.37DNS secundario: 200.0.48.51

193

(… Ejercicio) Configurar otro ámbito

IP inicial: 192.168.5.1IP final: 192.168.5.254Máscara de subred: 255.255.255.0Excluir rango: 192.168.5.1 – 192.168.5.20Excluir IP: 192.168.5.100Período de concesión: 8 díasPuerta de enlace: 192.168.5.1DNS primario: 200.0.48.37DNS secundario: 200.0.48.51

194

SUS

Software Update Services (SUS) consiste de:

Windows Update. Proporciona información actualizada y un centro de descargas.

Automatic Updates. A partir de Windows XP y Windows 2000 SP3, se agrega al sistema operativo la característica Automatic Updates, mediante la cual el computador se conecta automáticamente a Windows Update y descarga los paquetes de servicio y actualizaciones necesarios.

195

Problemas a resolver

Consumo de ancho de banda. Cada computador en la red debe descargar las actualizaciones.

Conflictos entre aplicaciones. Aunque se recomienda usar el ultimo Service Pack, no siempre es recomendable hacerlo sin haber realizado todas las pruebas necesarias.

Decisión de las actualizaciones en manos del usuario. Al usar Windows Update, se deja en manos del usuario la decisión de que actualizaciones descargar e instalar.

196

Componentes

SUS usa los siguientes componentes: Software Update Services. Responsable de la

sincronización de la información y descarga de las actualizaciones.

SUS administration Web site. Permite confirmar la sincronización y aprobar las actualizaciones.

Automatic Updates. Responsable de descargar las actualizaciones e instalarlo en los clientes.

Group Policy settings. Los clientes pueden ser configurados para sincronizar desde un servidor SUS en lugar de Windows Update, mediante directivas de grupo o la modificación del registro.

197

Configuración

198

(…) Configuración

INTERNET INFORMATION SERVER

No es más que otra forma de compartir archivos

200

IIS

Internet Information Server.Es parte del servidor de aplicaciones de

Windows Server 2003.Proporciona los servicios Web (HTTP, FTP,

NNTP, SMTP) y servicios de aplicaciones.Se administra mediante el

Administrador de Internet Information Services (IIS).

201

El Administrador de Internet Information Services (IIS)

Para iniciarlo use Inicio > Programas > Herramientas administrativas > Administrador de Internet Information Services (IIS).

202

(…) El Administrador de Internet Information Services (IIS)

Contiene:

Sitios FTP. Grupos de aplicaciones. Sitios Web. Extensiones de servicio Web. Servidor virtual SMTP. Servidor virtual NNTP.

203

Comprobación de los servicios

Existen tres formas:

Mediante la herramienta Servicios. Mediante la herramienta Administración de

Internet Information Services (IIS) Mediante Telnet

204

(Ejercicio) Comprobación de los servicios

Abra la interfase de comandos y compruebe los servicios:

HHTP:telnet su_dirección_IP 80

FTP:telnet su_direccion_IP 21

Mediante Telnet

205

El servicio Web (HTTP)

.Se administra mediante el

Administrador de Internet Information Services (IIS).

206

El directorio de publicación

Por defecto, el directorio de publicación se encuentra en d:\INETPUB\WWWROOT, donde d: es la unidad del sistema.

Todo lo que se desea publicar debe residir en el directorio de publicación.

Alternativamente puede ser:

Una carpeta compartida en otro equipo de la red. Un sitio Web en otro servidor Web.

207

La página principal

Por defecto, no hay página principal y el sistema muestra una página en construcción (iisstart.htm).

La página principal puede tener los siguientes nombres:

default.htm default.asp index.htm

208

(…) La página principal

Si su página principal tiene otro nombre, agréguelo a la lista y ubíquelo primero en la lista.

Adicionalmente, puede establecer un pie de página para todos las páginas mostradas.

209

El servicio FTP

File Transfer Protocol.Usa los puertos 21 y 21.Proporciona una transferencia optimizada

de archivos.Soporta una amplia variedad de clientes.Permite reanudar y programas descargas.Se administra mediante el Administrador

de Internet Information Services (IIS).

210

El directorio de publicación

Por defecto, el directorio de publicación FTP se encuentra en d:\INETPUB\FTPROOT, donde d: es la unidad del sistema.

Todo lo que se desea publicar debe residir en el directorio de publicación.

Alternativamente puede ser:

Una carpeta compartida en otro equipo de la red.

211

(Ejercicio) Descarga de archivos





212

(… Ejercicio) Descarga de archivos

Descargue un archivo:get coco.zip

Antes de descargar:BinaryLcd d:\downloadstatus

Para descargar archivos grandes:hash

Para descargar varios archivos:Mget *.*

213

(… Ejercicio) Descarga de archivos

Para cambiar de directorio remoto:cd directorio_remoto

Para descargar archivos con caracteres especiales:Get “nombre de archivo”

Documents

Win2003-39