Sistemas Operativos

Windows Server 2008

PROFESOR
:
Ing. CIP Juan Carlos OVIEDO Bjar
Juan.oviedo@deliyogo.com.pe

Agenda

Presentacin
Logros del Curso
Formas de trabajo
Evaluacin
Temas de la sesin

Logro del Curso

Al trmino del curso, el alumno disea e implementa
soluciones cliente/servidor que permita gestionar las
polticas y servicios proporcionados Windows Server 2008.
Cada implementacin deber asegurar el cumplimiento de
la funcionalidad total del sistema prevista para cada
escenario.

Preguntas

Administracin Avanzada de
Sistemas Operativos

ATICA
5

ndice General
PARTE 1
Administracin de Windows como
Sistema Operativo Individual

PARTE 2
Administracin de Windows en
una Red de Ordenadores

PARTE 1
Windows como Sistema
Operativo Individual

ATICA
7

ndice
1.
2.
3.
4.
5.
6.
7.
8.
9.

Entorno Windows
Conceptos bsicos de administracin
Instalacin
Configuracin
Acceso a los recursos
Administracin de cuentas y grupos
Seguridad
Tratamiento de errores
Rendimiento

Entorno Windows
EVOLUCIN

Windows 2.X .. 3.1

Windows 3.11
Windows 95 - 98
Windows NT 4
Windows ME
Windows 2000
Windows XP Windows Vista Windows 7
-

(WS + Server)
(WS + Server)
Windows Server 2003
Windows Server 2008
Windows Server 2008 R2

Entorno Windows
Cules son las nuevas versiones de Windows?

Windows NT
4.x
Windows 2000
5.0
Windows XP
5.1
Wind.Server 2003 5.2
Windows Vista
6.0
Wind.Server 2008 6.0
Windows 7
???
Wind.Server 2008 R2 ???
10

Entorno Windows
Windows Management Instrumentation (WMI)
WMI proporciona compatibilidad
integrada para el Modelo de
Informacin Comn (CIM,
Common Information Model),
que describe los objetos
existentes en un entorno de
administracin.

11

Entorno Windows
Windows Vista

EDICIONES
Windows Vista Business
reducir los costos de administracin y aumentar la seguridad y la productividad.

Windows Vista Enterprise

para grandes organizaciones con infraestructuras de TI de gran complejidad.

Windows Vista Home Premium

Entretenimiento en el hogar y conexin a Internet.

Windows Vista Home Basic

para usuarios que slo necesitan las funciones esenciales de su equipo.

Windows Vista Ultimate

mejores caractersticas de movilidad y de entretenimiento.

Windows Vista Starter

disponible en los mercados emergentes, est diseado para usuarios principiantes.

12

Entorno Windows
Windows Server 2008

Standard

Enterprise
Datacenter

Mejoras en configuracin y administracin y

caractersticas avanzadas de seguridad
funcionalidades de cluster, adicin de procesadores
en caliente, consolidacin de aplicaciones...
virtualizacin a gran escala, configuracin en cluster,
particionamiento dinmico del hardware, hasta 64

proc...

Web

exclusivamente servidor web

( Existen versiones con y sin Hyper-V, excepto web)

13

Conceptos bsicos de
administracin Windows

ATICA
14

Conceptos bsicos
Consola de administracin (MMC)

15

Conceptos bsicos
Complementos de la consola de administracin (MSC)

16

Conceptos bsicos
Uso de la consola para administrar equipos remotos

17

Conceptos bsicos
Secuencias de comandos

Smbolo del sistema (CMD) y archivos .CMD

Ejercicios:
1.- Crear un cmd para arrancar internet explorer si el equipo
tiene un nombre determinado.
2.- Crear un cmd que copie haga un espejo de nuestra
carpeta de trabajo en el directorio C:\Pares los das pares y
en C:\Impares los das impares.

18

Conceptos bsicos
Secuencias de comandos

Windows Scripts Host

Ejercicios
- Ejecutar un script del repositorio de ejemplos.
Enumerate Administrative Tools
Const ADMINISTRATIVE_TOOLS = &H2f&
Set objShell = CreateObject("Shell.Application")
Set objFolder = objShell.Namespace(ADMINISTRATIVE_TOOLS)
Set objTools = objFolder.Items
For i = 0 to objTools.Count - 1
Wscript.Echo objTools.Item(i)
Next

- Buscar y ejecutar un script del repositorio de ejemplos, para

prevenir la ejecucin de un proceso (p.ej. Iexplore.exe).
19

Conceptos bsicos
La nueva herramienta de scripting: PowerShell
Ms de 130 herramientas de la lnea de comandos (o "cmdlets") para
realizar las tareas de administracin habituales
Permiten ordenar, filtrar y dar formato a datos y objetos, con las
convenciones de nomenclatura estndar y los parmetros habituales.

Soporte para los lenguajes comandos y herramientas de la lnea de

comandos existentes
Permiten desplazarse por almacenes de datos, como el Registro y los
almacenes de certificados, como si fueran un sistema de archivos.

Anlisis de expresiones complejas y control de objetos de .NET Framework

en la lnea de comandos, incluida la canalizacin de objetos
Interfaz extensible que permite crear cmdlets personalizados para
aplicaciones y administracin del sistema.

Basada en C#
20

Conceptos bsicos
Programador de Tareas
WXP-W2003 Tareas Programadas en Panel de Control

21

Conceptos bsicos
Programador de Tareas
WXP-W2003 Tareas Programadas (en Explorer)

22

Conceptos bsicos
Programador de Tareas
W-Vista, W-7 y W-Server 2008: Complemento MMC

23

Conceptos bsicos
Programador de Tareas
W-Vista, W-7 y W-Server 2008
Nuevos desencadenadores

Al producirse un evento
Al modificar una tarea
Al conectarse con escritorio remoto
Al desconectarse
Al bloquear la estacin de trabajo
Al desbloquearla

Nuevas acciones
Iniciar un programa
Enviar un correo electrnico
Mostrar un mensaje
24

Conceptos bsicos
Programador de Tareas

Carpeta %windir%\Tasks
Archivo %windir%\SchedLgu.txt

Comando AT
Comando SCHTASKS
25

Conceptos bsicos
Servicios

26

Conceptos bsicos
Servicios

Ejercicios
Parar y arrancar un servicio
Configurar opciones de recuperacin
Habilitar y deshabilitar servicios.

Comando SC
Parar y arrancar un servicio desde la linea de
comandos.

Comandos Net Start y Net Stop

Parar y arrancar un servicio desde la linea de
comandos.
27

Conceptos bsicos
Programas de inicio y residentes
Msconfig.exe

28

Conceptos bsicos
Programas de inicio y residentes
Windows Defender

29

Instalacin y actualizacin

30

Instalacin
Instalacin de un S.O. Windows

Desde otro sistema operativo.

Directamente arrancando el ordenador desde la unidad de CD-ROM.

Arrancando un sistema operativo a travs de la red.

Utilizando la tecnologa PXE a travs de Ethernet
Necesita un servidor DHCP
til para instalaciones desatendidas

Arrancando desde un disquete. Esta opcin est reservada solamente

para equipos antiguos que no permiten el arranque desde CD-ROM.

Programa de instalacin. Reside en I386: Winnt.exe y Winnt32.exe.

31

Instalacin
Instalacin clsica

32

Instalacin
Instalacin CORE en Server 2008

33

Instalacin
Instalacin masiva

Instalacin basada en imgenes (Image-based Setup, IBS) es el nuevo

mecanismo de implementacin de sistemas operativos para la instalacin
de Windows Vista. Incluye las siguientes herramientas:
XImage.exe comandos para crear y aplicar archivos de imgenes de
Windows.
Windows Imaging (WIM) Nuevo formato de archivo para imgenes.
Windows Deployment Services (WDS) Servicios de implementacin de
Windows que reemplazan a los servicios de instalacin remota (RIS) en la
implementacin de Windows.
Windows Preinstallation Environment (Windows PE) Entorno de
preinstalacin de Windows con mtodos de inicio adicionales compatibles
para las instalaciones cliente OEM o Enterprise.
Windows Setup Manager Para el mantenimiento de los archivos de
imgenes de Windows.
Unattend.xml Nuevo formato de secuencia de comandos para todas las
instalaciones basadas en imgenes de Windows Vista.
System Preparation (SysPrep) Herramienta de preparacin del sistema
con un funcionamiento mejorado.
34

Instalacin
Instalacin de varios sistemas Windows en el mismo equipo

Cuando se instala Windows XP o Windows Server 2003 en un equipo, en la

particin de arranque del sistema se crean varios archivos (ocultos),
algunos de ellos herencia de los antiguos sistemas MS-DOS.
Autoexec.bat; Config.sys; Bootfont.bin; Bootsect.dos; IO.sys;
MSDOS.sys
Boot.ini; Ntdetect.com; Ntldr
Pagefile.sys; Hiberfil.sys
Boot.ini.
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft
Windows XP Professional" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows XP Professional
Alternativo" /noexecute=optin /fastdetect
35

Instalacin
Arranque mltiple en Windows
Vista, W-7 y W.Server 2008

boot.ini se ha reemplazado por Boot

Configuration Data (BCD).

Herramienta de la lnea de comandos

Bcdedit.

Configurar el Arranque mltiple. Panel

de control -> Sistema -> Configuracin
avanzada del sistema -> Opciones
avanzadas -> Inicio y recuperacin ->
Configuracin.

Herramientas grficas (VistaBootPRO).

36

Instalacin
Editor del almacn de datos de la configuracin de arranque
(BCD)
Sintaxis: Bcdedit.exe /?

Comandos que operan en un almacn

/createstore Crea un nuevo almacn de datos de arranque vaco.
/export
Exporta el contenido del almacn del sistema a un archivo.
/import
Restaura el estado del almacn del sistema
Comandos que operan en entradas de un almacn
/copy
Hace copias de las entradas del almacn.
/create
Crea nuevas entradas en el almacn.
/delete
Elimina entradas del almacn.
Comandos que controlan el administrador de arranque
/bootsequence Establece la secuencia de arranque nica
/default
Establece la entrada predeterminada que se usar
/displayorder Establece el orden en que se muestra el men de arranque mltiple.
/timeout
Establece el valor de tiempo de espera del administrador de arranque.
/toolsdisplayorder Establece el orden en que se muestra el men de herramientas.

37

Instalacin
Actualizacin de los Sistemas Operativos Windows

Equipos individuales

Windows Update

Service Packs

38

Instalacin
Actualizacin de los Sistemas Operativos Windows

Equipos en una red corporativa

Activar la actualizacin en cada equipo

usando directivas de grupo para el
servicio Windows Update.

Mediante WSUS (Windows Server Update

Services).

39

Configuracin

40

Configuracin
El Registro de Windows

En el registro se guardan los datos de

configuracin, como:
Perfiles de usuarios
Programas instalados
Configuracin de Propiedades de programas,
carpetas, iconos.
Configuracin hardware del equipo
Puertos en uso

41

Configuracin
El Registro de Windows

Organizado jerrquicamente en:

Claves y subclaves
Secciones
Valores
Datos

Se puede editar con Regedit.exe y Regedit32.exe

42

Configuracin
El Registro de Windows

Claves de primer nivel:

HKEY_CLASSES_ROOT
Asocia tipos de archivo con los programas correspondientes

HKEY_CURRENT_USER
Configuracin para el usuario que ha iniciado sesin

HKEY_LOCAL_MACHINE
Configuracin del equipo para todos los usuarios

HKEY_USERS
Perfiles de todos los usuarios que han hecho logon

HKEY_CURRENT_CONFIG
Perfil de HW que usa el equipo para arrancar el sistema
43

Configuracin
El Registro de Windows Tipos de datos
REG_DWORD

Un dato de 4 bytes en binario, hexadecimal o

decimal
REG_SZ

Cadena de texto de longitud fija

REG_EXPAND_SZ

Cadena de longitud variable

REG_MULTI_SZ

Varias cadenas de longitud variable

REG_BINARY

En formato hexadecimal
REG_FULL_RESOURCE_DESCRIPTOR

44

Configuracin
El Registro de Windows
Ejercicios

Buscar un dato en el registro

Cambiar un dato
Aadir un valor
Proteger una clave

Administracin remota

Acceder al registro de un equipo remoto

45

Configuracin
El Registro de Windows
Administracin mediante lnea de comandos
El comando REG

Estudiar su sintaxis
Archivos .REG
Ejercicios

Hacer que al iniciar la sesin de usuario se arranque

el block de notas.

46

Configuracin
Directivas de Grupo
(Group Policy)

Aparecieron en Windows 2000

Permiten aplicar directivas de configuracin a equipos y usuarios
Se ejecutan en tiempo de startup o de logon
Pueden ser Globales o Locales

Las directivas Globales se administran

centralizadamente en un dominio o UO.
Las directivas locales residen en cada mquina
A diferentes grupos de usuarios se les pueden aplicar directivas
diferentes
47

Configuracin
Directivas de Grupo
(Herramientas de administracin de GP)
GPMC.MSC

Permite administrar el conjunto de polticas de un

dominio. En W.Vista y WS2008 est integrada. En
WXP se puede instalar.
Para usarla se necesita ser Administrador de
Dominio
GPEDIT.MSC

Permite editar una poltica concreta.

48

Configuracin
Directivas de Grupo

(Novedades en Wvista, W7 y WS2008)

Aplicacin de las GP ms fiable y eficiente
Antes se aplicaban en Winlogon
Ahora con un servicio ad-hoc: Group Policy Service
Adaptabilidad a las condiciones de la red.
Extensin de la cobertura
Mayor nmero de parmetros y componentes que se
pueden configurar
Facilidad de uso
Gestin sencilla

49

Configuracin
Directivas de Grupo

(Directivas de Grupo Locales)

Permiten establecer parmetros de configuracin sin tener AD
Mltiples GP locales (LGPO)
Cada LGPO se asocia con un usuario o un grupo de
usuarios.

(Ficheros de Log y Eventos)

Hasta Vista, Userenv.dll es el encargado de generar un log
(userenv.log) con anotaciones de la aplicacin de GPOs.
Ahora el encargado es Local Policy Service
Solo eventos relacionados y en formato XML
50

Configuracin
Aplicabilidad de Directivas de Grupo

Las directivas de grupo

locales se pueden
aplicar a usuarios
individuales,
adems de
administradores /
no administradores.

51

Configuracin
Directivas de Grupo
Administracin de directivas locales

Gpedit.msc de MMC

52

Configuracin
Directivas de Grupo
Plantillas administrativas

Antes ficheros de texto. Ahora nuevo formato XML

Ficheros con extensin ADM (antes) y ADMX (nuevo)
En WVista y WS2008 pueden coexistir ambos

Soporte multiidioma
Las plantillas ADMX residen en
%systemRoot%\PolicyDefinitions

53

Configuracin
Directivas de Grupo
Directivas locales
Ejercicios

Recorrer las directivas. Aplicar alguna de usuario y cerrar y abrir la

sesin

Habilitar y deshabilitar que se apliquen directivas locales

Buscar plantillas de directivas de grupo y ver cmo estn escritas

Buscar dnde se guardan las directivas locales y cmo se podran

desplegar en una red de ordenadores sin directorio activo

Ojo!: En Windows XP y Server 2003, las directivas locales se aplican a todos

los usuarios de la mquina, incluidos los administradores

54

Acceso a recursos

55

Acceso a recursos
Permisos
Definen el tipo de acceso concedido a un usuario o grupo para un
objeto o una propiedad de objeto.
Se otorgan a:
Grupos, usuarios y otros objetos con identificadores de seguridad del
dominio.
Grupos y usuarios del dominio y de cualquier dominio de confianza.
Grupos y usuarios locales del equipo en que reside el objeto.

Permisos comunes son:

Leer
Modificar
Cambiar propietario
Eliminar
56

Acceso a recursos
Propietario de los objetos
Cuando se crea un objeto, se le asigna un propietario.
De forma predeterminada es el creador del objeto.
El propietario del objeto siempre puede cambiar los permisos
de ste.

Herencia de permisos
Los objetos de un contenedor heredan automticamente todos
los permisos heredables de ese contenedor.
Slo se heredan los permisos marcados para ello
57

Acceso a recursos
Permisos y descriptores de seguridad

Entrada de control de acceso (ACE) es una

asignacin de permisos a un usuario o grupo
Lista de control de acceso (ACL) es el conjunto
de las ACE de un objeto

58

Acceso a recursos
Permisos especiales
Control total

Modificar

Leer y
ejecutar

Mostrar el
contenido

Recorrer carpeta / Ejecutar archivo

Listar carpeta / Leer datos

Atributos de lectura

Atributos extendidos de lectura

Crear archivos / Escribir datos

Crear carpetas / Anexar datos

Atributos de escritura

Atributos extendidos de escritura

Eliminar subcarpetas y archivos

Eliminar
Permisos de lectura
Cambiar permisos

x
x
x

Tomar posesin
Sincronizar

x
x

Permisos especiales

Lectura

Escritura

x
x

59

Acceso a recursos
Permisos efectivos
Un usuario puede pertenecer a varios grupos.
Los permisos efectivos se calculan a partir de
los factores siguientes:

Pertenencia al grupo global

Pertenencia al grupo local
Permisos locales
Privilegios locales
Pertenencia a grupos universales

60

Acceso a recursos
Aadir o modificar
permisos mediante
interfaz grfica

Propiedades de
objeto -> pestaa
Seguridad

61

Acceso a recursos
Permisos efectivos

62

Acceso a recursos
Lnea de comandos

Se pueden administrar los permisos de acceso a

ficheros y objetos en general mediante
comandos:
cacls
subinacl (resource kit)

63

Acceso a recursos
Auditora de accesos
Se puede aplicar a accesos correctos
o incorrectos
Antes de configurar la auditora de
archivos hay que habilitar la
auditora de objetos.
Los eventos de auditora se
muestran en el registro de seguridad.
Pueden generarse muchos eventos

64

Administracin de cuentas y
grupos

65

Administracin de cuentas
Cuenta de usuario
Coleccin de informacin que indica a
Windows:
los archivos y carpetas a los que puede obtener acceso
los cambios que puede realizar en el equipo
preferencias personales, como el fondo de escritorio o tema de
color preferidos.

Permiten que se comparta el mismo

equipo entre varias personas, cada una de
las cuales tiene sus propios archivos y
configuraciones.
66

Administracin de cuentas
Grupos
Permiten definir caractersticas comunes a varias cuentas
Facilitan la administracin
Existen grupos predeterminados y se pueden definir nuevos grupos
Una cuenta de usuario puede pertenecer a varios grupos.

Grupos predeterminados en Windows XP

*Administradores
*Duplicadores
*HelpServicesGroup
*Invitados
*Operadores de configuracin de red
*Operadores de copia
*Usuarios
*Usuarios avanzados
*Usuarios de escritorio remoto
*Usuarios del depurador
67

Administracin de cuentas
Grupos Integrados
Administradores. Mximo nivel de permisos predeterminados y pueden cambiar sus propios
permisos.

Operadores de copia. Pueden hacer copias de seguridad y restaurar archivos en el equipo,

independientemente de los permisos que protejan dichos archivos. Tambin pueden iniciar
sesin en el equipo y apagarlo, pero no pueden cambiar la configuracin de seguridad.

Usuarios avanzados. Pueden crear cuentas y grupos pero nicamente pueden modificar y

eliminar los que creen. No pueden modificar los grupos Administradores u Operadores de copia,
ni pueden tomar la posesin de archivos, copiar o restaurar directorios, cargar o descargar
controladores de dispositivo ni administrar los registros de auditora y seguridad.

Usuarios. Pueden realizar las tareas ms habituales, como ejecutar aplicaciones, utilizar
impresoras locales y de red, as como cerrar y bloquear la estacin de trabajo.No pueden
compartir directorios ni crear impresoras locales.

Invitados. Permite a los usuarios ocasionales o a los usuarios de una sola vez iniciar sesin y
cerrar el sistema en una estacin de trabajo.

Replicador. El nico miembro del grupo Replicador debe ser una cuenta de usuario de dominio
que se utilice para iniciar los servicios Replicador del controlador de dominio. No debe agregarse
a este grupo cuentas de usuarios reales.

68

Administracin de cuentas
Administrar cuentas de usuario y grupos
Mediante la consola MMC

Mediante secuencias
de comandos
> net user
> net group
> net localgroup

69

Administracin de cuentas
Perfiles de usuario
Formado por un conjunto de carpetas en las que se guardan todas
las opciones de personalizacin, preferencias, ficheros temporales,
msica, fotos, documentos, etc. del usuario.
En la carpeta raz, se encuentra el archivo NTUSER.DAT donde se
guardan las claves de HKEY_CURRENT_USER.
Perfiles Itinerantes
Permiten trabajar en
cualquier ordenador de la
empresa conservando
toda la configuracin
personal

Perfiles obligatorios
Renombrando ntsuser.dat
como .man, todas las
modificaciones hechas por
el usuario se pierden
70

Administracin de cuentas
Control de cuentas de usuario (UAC) en Windows Vista

Dos niveles de usuarios: Usuarios estndar y Administradores. (grupos: Usuarios

y Administradores)

Inicio de sesin:

Usuario normal -> Token de acceso con el nivel de acceso que se le concede al usuario.
Administrador -> Dos tokens de acceso independientes

Directiva de grupo

Usuario estndar sin privilegios, para iniciar aplicaciones que no realizan tareas administrativas
("aplicaciones de usuario estndar").
Administrador, para cuando tiene que ejecutar aplicaciones que realizan tareas administrativas (Vista
pide que eleven su contexto de seguridad al de administrador).

El comportamiento del mensaje de Control de cuentas de usuario se puede cambiar

mediante Directiva de grupo.

Diseo de aplicaciones

Los programadores deberan identificar su aplicacin como aplicacin de administrador o

aplicacin de usuario estndar. Si una aplicacin no se ha identificado como aplicacin de
administrador, Windows la trata como una aplicacin de usuario estndar.

71

Administracin de cuentas
Control de cuentas de usuario (UAC) en Windows 7

El nuevo UAC trata

de resolver los
problemas de W.
Vista.

72

Seguridad

73

Seguridad
Administracin de la Seguridad del Sistema

Directivas de seguridad

Son reglas que se configuran para proteger los recursos de un equipo o una red.
Permiten controlar:

Plantillas de seguridad

Cmo los usuarios se autentican en una red o un equipo.

Qu recursos estn autorizados a utilizar los usuarios.
Si las acciones de un usuario o un grupo se graban en el registro de sucesos.
Pertenencia a grupos.

Son un complemento de MMC.

Una vez creada, se puede utilizar para configurar la seguridad de un sistema

Configuracin y Anlisis de Seguridad

Es otro complemento MMC

Permite aplicar una plantilla de seguridad
Permite llevar a cabo un anlisis de seguridad de un sistema en relacin con una plantilla de seguridad
El anlisis se actualiza cada 90 minutos en una estacin de trabajo o un servidor, y cada 5 minutos en un
controlador de dominio.
La configuracin se actualiza tambin cada 16 horas, con independencia de que se produzcan cambios o
no.

74

Seguridad
Administracin de la Seguridad del Sistema

75

Seguridad
Plantillas de Seguridad
Representa una configuracin de seguridad.
Se guarda en un archivo . Inf y se puede importar en un objeto de
Directiva de grupo.
Se pueden utilizar para definir (entre otras):

Directivas de cuenta
Directiva de contrasea
Directiva de bloqueo de cuentas
Directiva de auditora
Asignacin de derechos de usuario
Configuracin del registro de sucesos
Pertenencia a grupos importantes para la seguridad
Inicio y permisos de los servicios
Permisos para las claves del Registro

Se pueden utilizar plantillas de seguridad predefinidas.

76

Seguridad
Plantillas de Seguridad predefinidas (WS2003, WXP)
Son el punto de partida para crear directivas de seguridad que se personalizan para cumplir los
diferentes requisitos organizativos. Estn almacenadas en %SystemRoot%\Security\Templates

Seguridad predeterminada (Setup security.inf)

Representa la configuracin de seguridad predeterminada que se aplica durante la instalacin

Compatible (Compatws.inf)
Los permisos predeterminados para estaciones de trabajo y servidores se conceden
principalmente a tres grupos locales: Administradores, Usuarios avanzados y Usuarios.

Segura (Secure*.inf)
Define una seguridad mejorada sin afectar a la compatibilidad de las aplicaciones.

De alta seguridad (hisec*.inf)

Son superconjuntos de plantillas seguras que imponen mayores restricciones en los niveles de
cifrado y firmado que se requieren para la autenticacin y para los datos que fluyen en canales
protegidos y entre clientes y servidores.

Seguridad de la raz del sistema (Rootsec.inf)

Especifica los nuevos permisos de la raz introducidos en Windows XP Professional.

77

Seguridad
Directivas de Seguridad

Directivas de cuentas
Afectan a la forma en que las cuentas de usuario pueden interactuar con el equipo o el
dominio. Hay 3 subconjuntos:

Directiva de contraseas.
Directiva de bloqueo de cuentas.
Directiva Kerberos.

Directivas locales
Se aplican a un equipo y contienen tres subconjuntos:

Directiva de auditora.
Asignacin de derechos de usuario.
Opciones de seguridad.

En caso de tener aplicadas varias directivas, el orden de prioridad de mayor a menor es:
unidad organizativa, dominio y equipo local.

78

Seguridad
Directivas de Seguridad

79

Seguridad
Configurar la Seguridad del sistema
Crear una plantilla de seguridad
En Configuracin y anlisis de seguridad
Abrir base de datos. (Si es la primera vez, hay que crearla)
Importar plantilla (con las directivas de seguridad que se quieren aplicar al
equipo).
Configurar el equipo ahora.

Configurar la seguridad del sistema mediante la lnea de comandos:

secedit/configure /DB Archivo [/CFG Archivo] [/overwrite] [/areas rea1 rea2...] [/log RutaRegistro] [/quiet]

80

Seguridad

Configurar la Seguridad
del sistema

81

Seguridad
Analizar la Seguridad de un equipo y ver los resultados

Anlisis de seguridad
Se hace comparando el estado actual con una base de datos de
anlisis.
sta utiliza al menos una plantilla de seguridad. (puede usar ms de
una)

Resultados del anlisis de seguridad

Los presenta organizados por rea de seguridad.
Marcas visuales para indicar la existencia de problemas.
X roja Entrada definida en la base de datos de anlisis y en el sistema,
cuyos valores de las opciones de seguridad no coinciden
Marca verde Entrada definida en la base de datos de anlisis y en el
sistema, cuyos valores coinciden
Interrogacin Entrada no definida en la base de datos de anlisis.
Exclamacin Elemento de la base de datos de anlisis que no existe en el
sistema.
Sin resaltar Elemento no definido en la base de datos de anlisis ni en el
sistema.
82

Tratamiento de errores

83

Tratamiento de errores
El visor de eventos
Permite supervisar el funcionamiento de todos los elementos del S.O. como forma
de prevenir errores.
Un anlisis de los eventos de advertencia o error que se estn produciendo en un
equipo, permitira a un administrador anticiparse al problema y buscar soluciones
que lo eviten.
Los eventos son elementos con informacin relativa a algn suceso que ha ocurrido
en el equipo. Pueden ser de:
Informacin, como arranques y paradas, conexin con otros equipos, actualizacin de la
hora, etc.
Advertencia, como una desconexin del cable de red, etc.
Error, como que no se ha podido leer un archivo en un disco porque ste tiene algn sector
deteriorado.

Es un complemento de Microsoft Management Console (MMC)

Permite realizar las siguientes tareas:

Ver eventos desde varios registros de eventos

Guardar filtros de eventos tiles como vistas personalizadas que se pueden volver a usar
Programar una tarea para que se ejecute como respuesta a un evento
Crear y administrar suscripciones a eventos

84

Tratamiento de errores
El visor de eventos

85

Tratamiento de errores
Registros de eventos

Aplicacin. Eventos registrados por aplicaciones o programas. Los

programadores deciden qu registrar.

Seguridad. Intentos de inicio de sesin vlidos y no vlidos, creacin,

apertura o eliminacin de archivos (si se habilit auditora).

Sistema. Eventos registrados por componentes del sistema Windows.

Nuevos en W.Vista, W.7 y W.Server 2008

Instalacin. Eventos relacionados con la instalacin de aplicaciones.

Eventos reenviados. Se usa para almacenar eventos recopilados de

equipos remotos, mediante una suscripcin de evento.

86

Tratamiento de errores
Registros de eventos en Vista y Srv2008

87

Tratamiento de errores
Ejecutar una tarea como respuesta a un evento
dado

Es una opcin muy til para los administradores de un parque de

ordenadores consiste en la posibilidad de configurar una tarea para
que se ejecute cuando se registre un evento que cumpla los criterios
especificados. Esto permitira, por ejemplo, enviar una correo
electrnico o incluso un mensaje SMS a un administrador, cuando un
dispositivo deje de funcionar, o cuando se detenga una aplicacin
crtica.

Permite:

Iniciar un programa
Enviar correo electrnico
Mostrar un mensaje
88

Rendimiento

89

Rendimiento
Monitor de rendimiento

El Monitor de rendimiento muestra los

contadores de rendimiento
En tiempo real
Para revisar los datos histricos.

Contadores de rendimiento
Son mediciones del estado o de la actividad del sistema.
El Monitor de rendimiento muestra el valor de los contadores de
rendimiento a intervalos de tiempo especificados.
En XP y Srv2003 se arranca como herramienta administrativa. En
Vista, W.7 y Srv2008 es un complemento de MMC
90

Rendimiento

91

Rendimiento
Objetos y contadores de rendimiento

Objetos de rendimiento
Se integran en el sistema operativo y suelen corresponder a los componentes principales del hardware tales
como la memoria, los procesadores, etctera.

Contadores de rendimiento
Representan aspectos especficos de un sistema o servicio. (Por ej. Pginas por segundo)

Datos de rendimiento
Son los valores de los contadores en el momento actual o en periodos anteriores.

Objetos de rendimiento ms importantes

Cach
Memoria
Objetos
Archivo de paginacin
Disco fsico
Proceso
Procesador
Servidor
Sistema
Subproceso

92

Rendimiento
Objetos y contadores de rendimiento
Ejercicio:
Aadir al monitor en tiempo real algunos contadores importantes de
los objetos:

Memoria
Archivo de paginacin
Disco fsico
Procesador

93

Rendimiento
Recopilacin de datos para anlisis

Registros de seguimiento.
Guardan sucesos detallados de las aplicaciones del sistema cuando
ocurren eventos como una operacin de E/S en un disco o un error de
pgina.
Cuando ocurre el suceso, el sistema operativo registra los datos de
sistema en un archivo especificado por el servicio Registros y alertas
de rendimiento.
Para interpretar el resultado del registro de seguimiento, se requiere
una herramienta de anlisis. Los programadores pueden crear una
herramienta de este tipo mediante las interfaces de programacin de
aplicaciones (API) proporcionadas en MSDN Library

Registros de contador
El servicio obtiene datos del sistema cuando ha transcurrido el
intervalo de actualizacin, en lugar de esperar a que se produzca un
suceso determinado.
94

Rendimiento
Recopilacin de datos para anlisis

Ejercicio:

Crear un fichero con registros de contador y

analizarlo

95

Rendimiento
Monitor de confiabilidad

Permite medir la estabilidad del sistema y

analizar tendencias a partir de eventos
individuales que pueden afectar a la
estabilidad general, como:
Instalaciones de software
Actualizaciones del sistema operativo
Errores de hardware.

La informacin de configuracin se

96

Rendimiento
Monitor de confiabilidad

97

Windows 7 XP Mode

98

Entorno Windows 7
Mquina Virtual XP dentro de Windwos 7

Qu es Windows 7 XP Mode?
Nueva versin de Windows Virtual PC
Windows XP Professional SP3 VM,
preconfigurado con Firewall y actualizaciones
automticas.
Disponible en W7 Professional, Enterprise y
Ultimate.

99

PARTE 2
Administracin de Windows en
una Red de Ordenadores

ATICA
100

ndice
1.
2.
3.
4.
5.
6.
7.

Creacin del entorno bsico de pruebas

Planificacin del Directorio Activo
Creacin del Directorio Activo
Directorio Activo - Conceptos
Server Core
Read Only Domain Controllers
Seguridad

101

Creacin del entorno bsico de

pruebas

ATICA
102

Creacin del entorno bsico de pruebas

Entorno virtual con VMWare

S.O. Windows Server 2008 y W.7

Acceso a las imgenes ISO de los DVD

Red local virtual VMnet1 (host-only)

103

Creacin del entorno bsico de pruebas

104

Creacin del entorno bsico de pruebas

Sistemas operativos base

Windows Server 2008 Datacenter
WS2K8D

Windows Server 2008 Standard

WS2K8S

Windows Server 2008 Standard Core

WS2K8C

Windows 7
Win7
105

Creacin del entorno bsico de pruebas

Acciones a realizar:
Cambiar contrasea de Administrador:
A-tic-A

Instalar VMWare Tools.

Cambiar nombre de la mquina.
Activar la deteccin de redes
Cambiar configuracin de actualizaciones
a no actualizar nunca.
Comprobar la direccin IP y apuntarla
106

Creacin del entorno bsico de pruebas

Cambio de nombre en un Server

Core:
> Netdom renamecomputer
%computername% /NewName:nuevonom

Comprobar la direccin IP en Server

Core
> Ipconfig /all
107

Cmo ampliar el periodo de evaluacin

de Windows?
- Comprobar estado: slmgr.vbs dli
- Restablecer periodo: slmgr.vbs rearm

(Se puede ejecutar 2 veces, lo que permite 3 periodos

de evaluacin. Se puede planificar y automatizar.)
Ms informacin: Support.microsoft.com/kb/948472

108

Planificacin del Directorio Activo

ATICA
109

Planificacin del
Directorio Activo
Uno o varios dominios?
Razones por las que se debe crear ms de un dominio:
Requisitos de contraseas distintos en los diversos departamentos y
divisiones
Nmero muy grande de objetos
Administracin descentralizada de la red
Mayor control de la replicacin

El uso de un nico dominio en toda una red tiene ventajas si

la administracin es centralizada y el nmero de usuarios no
muy alto.

110

Planificacin del
Directorio Activo
rboles y Bosques
Un bosque es una coleccin de
dominios que permite:
La interaccin de los usuarios con el directorio.
La administracin de mltiples dominios.

Un rbol es un conjunto de uno o

varios dominios con nombres DNS
contiguos.
Un bosque puede tener ms de un
rbol.
111

Planificacin del
Directorio Activo
Unidades Organizativas (OU)
Son contenedores de AD con usuarios, grupos,
equipos y otras OU.
No puede contener objetos de otros dominios.
Se le pueden asignar directivas de grupo
Se puede delegar la autoridad administrativa.
112

Planificacin del
Directorio Activo
Diseo de un Active Directory

113

Planificacin del
Directorio Activo
Determinar el nmero de bosques de
una red
Escenario con un nico bosque
Normalmente es suficiente en la
mayora de las situaciones.
Administracin ms sencilla. Los
cambios de configuracin slo tienen
que aplicarse una vez para afectar a
todos los dominios.
114

Planificacin del
Directorio Activo
Plan de dominios
Dibujar la topologa de la red

115

Planificacin del
Directorio Activo
Plan de dominios
Crear particiones en el bosque

116

Planificacin del
Directorio Activo
Plan de dominios
Plan de rboles de dominios

117

Planificacin del
Directorio Activo
Plan de dominios
Plan de Unidades Organizativas OU

118

Planificacin del
Directorio Activo
Plan de dominios
Plan de topologa de sitios

119

Planificacin del
Directorio Activo
Nuestro ejemplo

Delegacion

empresa.es

filial.es
SedeFilial

SedeCentral

rrhh.empresa.e
s
120

Planificacin del
Directorio Activo
Nuestro ejemplo

Delegacion

empresa.es

filial.es
SedeFilial

Controladores
de Dominio

SedeCentral

RODC

rrhh.empresa.e
s
121

Creacin del Directorio Activo

ATICA
122

Directorio Activo
Creacin del Directorio Activo de
ejemplo
Laboratorio

Clonar las mquinas base para obtener

mquinas que se pueden borrar y volver a
crear facilmente.
Tomar nota de todos los nombres,
contraseas, direcciones IP etc que se
vayan asignando.
Despus de instalar el primer DC, observar
los cambios producidos en el S.O.

123

Directorio Activo
- Conceptos -

ATICA
124

Directorio Activo
Novedades en W2008
Active Directory Domain Services
Reemplaza a Active Directory

Active Directory Lightweight Directory Services

Reemplaza a Active Directory Application Mode o ADAM

Funciones de Servidor
Funcionalidades del servidor como AD DS, AD LDS, y DNS
Se administran centralmente a travs del Server Manager

Server Core para controladores de dominio

Opcin de instalacin mnima del Servidor
Menor superficie de ataque debido a los pocos componentes
instalados

125

Directorio Activo
Novedades en W2008
AD DS reiniciable

Sin reiniciar el servidor, ahora se puede:

Aplicar parches de los DS
Realizar una desfragmentacin offline

Un servidor con los DS parados es

similar a un servidor miembro
NTDS.dit est offline
Puede iniciarse sesin local con la contrasea del Modo de
Recuperacin del Directorio Activo (DSRM)
Ojo: Un usuario que conozca la pwd de recuperacin podra arrancar en modo DSRM y forzar la desinstalacin
del AD DS comprometiendo todo el bosque => PROTEGERLA !!!!

126

Directorio Activo
Novedades en W2008
Directivas de Grupo

DFS-R reemplaza a FRS para la

replicacin de Sysvol

Compresin
Replicacin diferencial block-level
Planificacin
Control de Ancho de Banda

Es necesario que el Bosque/Dominio est

funcionando en el nivel funcional de
Windows Server 2008
Requiere que todos los DCs sean Windows Server 2008

127

Directorio Activo
AD incluye:
El esquema conjunto de reglas que definen las
clases de objetos y los atributos del directorio
Un catlogo global contiene informacin acerca de
los objetos del directorio. Permite encontrar
informacin con independencia del dominio.
Un sistema de ndices y consultas, para publicar y
encontrar objetos y sus propiedades.
Un servicio de replicacin distribuye los datos del
directorio por toda la red a travs de los
controladores de dominio.
128

Directorio Activo
Caractersticas principales:

Seguridad
Administracin flexible y simplificada
Escalabilidad
Alta disponibilidad
Capacidad de ampliacin
Compatibilidad con estndares abiertos
Acceso mediante programacin simple
Autenticacin de usuarios

129

Directorio Activo

(Fuente: Caja Madrid)

130

Directorio Activo
Autenticacin en el Directorio Activo:
La Autoridad de Seguridad Local (LSA) es el
subsistema de responsable de la autenticacin.
LSA tambin procesa solicitudes de autenticacin
realizadas por medio del protocolo Kerberos.
LSA del DC de autenticacin genera un testigo de
acceso de usuario y le asocia un Id. de seguridad
(SID).
Testigo de acceso contiene nombre de usuario, grupos a
los que pertenece, SID del usuario y todos los SID de los
grupos a los que pertenece.
131

Directorio Activo
Cuentas de Directorio Activo
Cuentas de usuario: Es un objeto
almacenado en el AD que permite su
inicio de sesin nico en la red
Cuentas locales
Cuentas de dominio
Cuentas Integradas (Built-in)

Cuentas de Equipos. Ofrecen una

forma de autenticar y auditar a los
equipos que acceden a la red y a
recursos del dominio.

132

Directorio Activo
User Principal Name (UPN)
En AD, cada cuenta de usuario tiene:

Un nombre de
inicio de sesin de
usuario.
Un nombre de
inicio de sesin de
usuario anterior a
Windows 2000

UPN = nombre_de_inicio_de_sesin@Sufijo_UPN

Un sufijo UPN (User

Principal Name, segun
RFC 822)

133

Directorio Activo

Cmo agregar Sufijos UPN

En la consola de Dominios y confianzas
del AD

juanp@empresa.cl

juanp@grupoempresas

134

Directorio Activo
Nominacin de Objetos
Se puede hacer referencia a cada objeto de Directorio Activo con
varios nombres diferentes. AD crea a partir de los datos durante la
creacin del objeto:
El nombre completo relativo LDAP: identifica unvocamente al
objeto dentro su contenedor principal.
CN=JuanP

El nombre completo LDAP: es globalmente nico.

CN=JuanP, OU=Users, DC=empresa, DC=es

El nombre cannico: se crea de la misma manera que el nombre

completo, pero se representa con una notacin diferente.
Empresa.es/Users/JuanP

Objetos principales de Seguridad (Security Principals): Son

objetos del directorio que tienen asignados un Identificados nico
de seguridad (SID)
135

Directorio Activo

Sintaxis LDAP
Cmo se construye el DN (Distinguish
Name)
CN= : Common Name.
OU= : Unidad Organizativa
DC= : Domain Component

Ejemplos:
Dominio:

DC=empresa,DC=es
Controlador de Dominio:

CN=DC1,OU=Domain
Controllers,DC=empresa,DC=es
Dominio hijo:

DC=rrhh,DC=empresa,DC=es
Site:

136

Directorio Activo
Bsquedas LDAP al directorio

RootDSE es parte del estndar de LDAPv3.0

Definido en RFC 2251

Define la raz de bsqueda en un servidor LDAP

Muestra, entre otras cosas, las particiones bsicas a las que se puede
conectar un cliente
Pasos:
Conexin con un servidor LDAP
Por defecto devuelve RootDSE

Antes de consultar hay que validarse

Opcin bind con usuario y contrasea

Buscar

Definir el mbito de la bsqueda (Base DN)

Uso de filtros con sintaxis LDAP (Sintaxis LDAP)
Profundidad de la bsqueda (En el mbito dado)
Resultados a devolver (Qu atributos extraer)

137

Directorio Activo
Nominacin de Objetos

Objetos en NTds.dit (editor ADSI)

138

Directorio Activo
Creacin de usuarios en AD
Para crear/modificar/borrar un solo usuario
Usuarios y equipos de Directorio Activo
DsAdd, DsMod, DsRm (Scriptables). Solo en servidores DC

Para crear/modificar/borrar mltiples usuarios

Csvde
Importa/Exporta usuarios desde/a un fichero .csv

LDIFDE
Utiliza ficheros de texto, con formato de lneas separadas para cada
atributo, para crear, modificar o borrar objetos en el Directorio Activo

ADSI: Interfaz de programacin para crear objetos en Directorio Activo va desarrollo

En todos los casos, se deben especificar al menos estos atributos:
DN,objectClass, sAMAccountName, userPrincipalName, displayName,
userAccountControl

139

Directorio Activo

Grupos
Grupos de Distribucin:
Utilizados por aplicaciones de correo (p.e Microsoft Exchange
Server 2000/2003)
No pueden ser usados para especificar controles de acceso a
recursos.

Grupos de Seguridad:
Asignacin de derechos (funciones que se pueden desempear)
Asignacin de permisos de acceso a recursos
Permiten anidacin, es decir, meter unos grupos dentro de otros.

Ambos tipos de grupo pueden ser de tres mbitos distintos:

Locales de Dominio
Global
Universal

140

Directorio Activo

Grupos Locales de Dominio

Pueden contener:
Grupos Universales, Globales, Locales de su dominio
Usuarios de cualquier dominio del bosque

Pueden pertenecer a otro grupo Local de

Dominio
Solo son visibles en su propio dominio
Se utilizan para asignar permisos a
recursos existentes en el dominio en donde
141

Directorio Activo

Grupos Globales
Pueden contener:
Usuarios, Grupos y equipos de su propio dominio
Otros grupos globales

Pueden pertenecer a Grupos Locales,

Universales o Globales del mismo
dominio
Son visibles desde cualquier dominio
del bosque en los que se confe.
Pueden asignarse a recursos de
cualquier dominio de confianza del

142

Directorio Activo

Grupos Universales
Pueden contener:
Usuarios y equipos de cualquier dominio del bosque
Grupos globales o universales de cualquier dominio del bosque

Pueden pertenecer a otros grupos universales y a grupos Locales

de Dominio.
Son visibles desde todos los dominios del bosque
Se usan para asignar permisos a recursos relacionados en todos
los dominios del bosque, anidando en ellos grupos globales.

Identificar qu grupos son Locales, Globales y Universales en el primer controlador de

dominio instalado en el laboratorio.

143

Directorio Activo

Grupos

144

Directorio Activo
Tipos de Confianzas
Transitividad
Transitivas (T)
Intransitivas (I)

Direccin
Bidireccionales (B)
Unidireccionales (U)

Confianzas por defecto

Entre dominios (padres/hijos): Transitivas bidireccionales
Entre races de rboles: Transitivas bidireccionales

Otros tipos de confianzas:

Externa: Con NT 4.0 (I, U/B)

Territorios: Kerberos con sistemas no Windows: (T/I, U/B)
Bosque: Entre bosques (T, U/B)
Acceso Directo: Para mejorar los tiempos de acceso entre
dominios lejanos lgicamente (T, U/B)

145

Directorio Activo
Confianzas
Kerberos

NT 4.0

146

Directorio Activo
Dominios y Confianzas de AD

147

Directorio Activo
Almacn de datos del directorio
Contiene informacin acerca de objetos como usuarios, grupos,
equipos, dominios, unidades organizativas y directivas de seguridad.
Se almacena en controladores de dominio. Cada DC dispone de
una copia.
Los cambios realizados en el directorio en un DC se replican al resto
de DC en el dominio, el rbol de dominios o el bosque.
AD utiliza cuatro tipos diferentes de particiones de directorio:

Dominio. informacin acerca de los objetos de un dominio.

Configuracin. describen la topologa del directorio.
Esquema. definicin formal de todos los datos de objetos
Aplicacin. datos de aplicaciones

Cuando un DC es catlogo global, almacena un subconjunto de

datos del directorio para todos los dems dominios del bosque.
Los datos del directorio se almacenan en el archivo Ntds.dit del DC.
Los datos privados se almacenan de forma segura y los datos
pblicos del directorio se guardan en SYSVOL desde donde se
pueden replicar a otros controladores del dominio.
148

Directorio Activo
Control de acceso en Active Directory
Un descriptor de seguridad contiene dos
listas de control de acceso (ACL):
Listas de control de acceso discrecional (DACL). Identifican a los
usuarios y grupos que tienen asignados o denegados permisos de
acceso a un objeto.
Listas de control de acceso al sistema (SACL). Identifican a los usuarios
y los grupos que desea auditar cuando consiguen o no consiguen
obtener acceso a un objeto.

Las DACL y las SACL estn asociadas de forma

predeterminada con todos los objetos de AD.
149

Directorio Activo

Access Token y ACLs

DACL:
Discretionary
Access control
List
SACL: System
Access Control
List
ACE: Access
Control Entry

150

Directorio Activo
Funciones de servidor de Active Directory
Servidores miembro
Pertenece a un dominio
No es un controlador de dominio.
No procesa inicios de sesin de cuentas, no participa en la replicacin de AD ni
almacena informacin de directivas de seguridad de dominio.

Controladores de dominio (DC)

Almacena una copia de lectura y escritura del directorio de AD.
Autentica usuarios.
Sincroniza los datos del directorio utilizando replicacin.

Controladores de dominio de solo lectura (RODC)

Para escenarios donde la seguridad local no se puede garantizar o donde
almacenar credenciales de usuarios y servicios se considera un riesgo no
asumible.
El administrador del dominio decide qu contraseas se replican o cachean.

151

Directorio Activo
Catlogo Global
DC que almacena una copia de todos los objetos de AD del bosque
(Copia completa de su dominio y parcial de los dems dominios del bosque

Funciones:
Bsqueda de objetos
Autenticacin del nombre
principal de usuario
Informacin de pertenencia a
grupos universales en un
entorno de dominios mltiples

Validacin de referencias a
objetos dentro de un bosque
152

Directorio Activo
Funciones del maestro de operaciones
(FSMO)
(funciones flexibles de operaciones de un solo maestro)

Maestro de esquema
Maestro de nombres de dominio
Maestro de Id. relativo (RID)
Maestro emulador del controlador
principal de dominio (PDC)
Maestro de infraestructuras

153

Directorio Activo
Funciones del maestro de operaciones
(FSMO)
Funciones que solo puede desempear un
DC en cada bosque:
Maestro de esquema: DC que controla
todos los cambios que tienen lugar en el
esquema.
Maestro de nombres de dominio:

154

Directorio Activo
Funciones del maestro de operaciones
(FSMO)
Funciones que solo puede desempear un
DC en cada dominio:
Maestro de Id. relativo (RID): Asigna secuencias
de Id. relativos (RID) a cada uno de los distintos controladores del dominio
que los usa para asignar id. de seguridad (SID).

Maestro emulador del controlador

principal de dominio (PDC): Acta como
controlador principal de dominio. Tambin se encarga de sincronizar la
hora en todos los controladores del dominio.

Maestro de infraestructuras: Es el responsable

155

Directorio Activo
Funciones del maestro de operaciones
(FSMO)
Qu DCs ejercen las funciones FSMO en
un> netdom
dominio?
query /Domain:empresa.es FSMO
Maestro de esquema
WS2K8DC1.empresa.es
Maestro nomencl. Dominios
WS2K8DC1.empresa.es
PDC
WS2K8DC1.empresa.es
Administrador de grupos RID
WS2K8DC1.empresa.es
Maestro de infraestructura
WS2K8DC1.empresa.es

156

Directorio Activo
Transferir funciones del maestro de
operaciones
Es una
operacin crtica que Consola
hay que
Funcin
de MMC
realizar cuando debe sustituirse el DC
Maestro de esquema
Esquema de AD
que la haca.
Maestro nomencl. Dominio
confianzas de AD

Dominios y

PDC

Usuarios y equipos de AD

Administrador de grupos RID

Usuarios y equipos de AD

Ejercicio: Llegar a los cuadros de dilogo para transferir las funciones de maestro de Operaciones

Maestro de infraestructura

Usuarios y equipos de AD

157

Directorio Activo
Transferir la funcin del maestro de esquema
El complemento de consola Esquema de Active
Directory no aparece por defecto:
Es preciso registrar la dll: schmmgmt.dll Para ello:

Colocarse en %windir%\system32
Ejecutar: regsvr32 schmmgmt.dll

158

Server Core

ATICA
159

Server Core
Server Core es una opcin de instalacin
mnima de Windows Server 2008

GUI? Desaparece (En su mayora).

Windows Explorer? Desaparece.
Internet Explorer y Media Player? Desaparecen.
.Net Framework? Desaparece
MMC? Tambin desaparece.

Diseado para cubrir ciertos entornos y cargas

de trabajo
Disponible en 32 y 64 bits
160

Server Core
Porqu Server Core?
Reduce el mantenimiento del software
Solo se instalan los componentes esenciales

Reduce la superficie de Ataque

Menos cosas que parchear y asegurar

Reduce la Gestin
Menos cosas que gestionar.

Consumo menor de Memoria

Ejemplo: 184 MB frente a 309 MB

Menos espacio en disco requerido

Core: 1.6 GB / Completo: 7.6 GB

Instalacin base (sin Pagefile.sys).

(A la gente de UNIX les pone).

161

Server Core
Server, Server Roles
Opciones Mnimas de Instalacin
Poca superficie
Interface por Lnea de Comando
Conjunto limitado de Roles de Servidor
Roles de Servidor de Server Core

(Por ejemplo, solo)

TS

IAS

Web Share
Server Point

Etc

Servidor
With WinFx, Shell, Tools, etc.

DNS

DHCP

File

AD

Web
Server

Media
Server

Server Core
Seguridad, TCP/IP, Sistema de Ficheros, RPC,
y otros Sub-Systems del nucleo de Servidor.

GUI, CLR,
Shell, IE,
Media, OE,
etc.

Server Core
Compatibilidad de Aplicaciones
Las aplicaciones han de ser probadas
NO esta disponible lo siguiente:

.Net Framework (En WS2008 R2 s estar disponible)

Windows Explorer (shell o GUI)
Globos de notificacin
Run as
PowerShell (En WS2008 R2 s estar disponible)
MMC

163

Server Core
Instalacin
Se puede:
Instalar desde el mismo DVD de Windows Server
2008

No se puede:
Actualizar desde versiones previas de Windows
Convertir una instalacin completa en Core
Convertir una instalacin Core en completa

164

Server Core
Configuracin Inicial de Server Core

Establecer la contrasea del Administrador

y hacer click en Cambiar la Contrasea
net user administrator *
CTRL+ALT+DEL

Cambiar el nombre del servidor

Netdom renamecomputer %computername% /Newname:nuevonombre

Configurar una IP Esttica

Netsh

interface ipv4

show interfaces
show address
set address 2 static 192.168.x.104 255.255.255.0
set dnsserver 2 static 192.168.x.101 primary

165

Server Core
Configuracin Inicial de Server Core

Ver opciones bsicas de configuracin del

Server Core
Cscript scregedit.wsf
(ejecutado desde %windir%\system32)
Cscript scregedit.wsf/cli

Activar la copia de Windows

Slmgr.vbs ato

Unirse a un dominio (si se requiere)

Netdom join /domain:dominio /UserD:usuario
/PassworD:contrasea /UserO:usuario /PasswordO:contrasea
/reboot

Aadir funciones (roles) y caractersticas

Ocsetup

Listar las funciones y caractersticas

instaladas
Ejercicio: Activar la consola remota para acceder al server core desde otro equipo.

166

Server Core

SCRegEdit.wsf
No todas las tareas se pueden ejecutar
mediante la lnea de comando o de
manera remota
SCRegEdit.wsf esta incluido en Server
Core para:

Permitir las actualizaciones automticas

Permitir Sesiones de terminal en modo administracin
Permitir la administracin remota del Monitor de IPSEC
Configurar el peso y la prioridad de un registro DNS SRV

Nuevo modificador /cli que lista

167

Server Core
OCList.exe
nica herramienta de linea de comando propia
de Server Core
Lista los roles de servidor y las funcionalidades
adicionales que se pueden instalar con
OCSetup
Lista si los paquetes estn o no instalados

168

Server Core
Aadir Roles de Servidor
nicamente mediante lnea de comando, sin Server Manager
Start /w Ocsetup RolePackage

DHCP = DHCPServerCore
DNS = DNS-Server-Core-Role
File Replication service = FRS-Infrastructure
Distributed File System service = DFSN-Server
Distributed File System Replication = DFSR-InfrastructureServerEdition
Network File System = ServerForNFS-Base
Media Server = MediaServer
Print = Printing-ServerCore-Role
LPD = Printing-LPDPrintService

Active Directory
Dcpromo instala el Active Directory
Dcpromo /unattend:Unattendfile
Ocsetup no esta soportado para instalar Active Directory

169

Server Core

Aadir Caractersticas Adicionales

Start /w ocsetup OptionalFeaturePackage
Failover Cluster = FailoverCluster-Core
Network Load Balancing =
NetworkLoadBalancingHeadlessServer
Subsystem for UNIX-bases applications = SUA
Multipath IO = MultipathIo
Removable Storage Management = Microsoft-WindowsRemovableStorageManagementCore
Bitlocker Drive Encryption = BitLocker
Backup = WindowsServerBackup
Simple Network Management Protocol (SNMP) = SNMP-SC
Telnet Client = TelnetClient
WINS = WINS-SC
QoS = QWAVE
170

Server Core
Desinstalar funciones y caractersticas
Start /w Ocsetup Package /uninstall
Excepto para Active Directory
Hay que usar DCPromo y demote
Dcpromo /unattend:<unattendfile>
Esto tambin elimina los binarios del Active Directory

NO hay herramienta de entorno grafico para

instalar o desinstalar roles y funcionalidades en
remoto

171

Server Core

Administracin de Server Core

CMD para ejecucin de comandos en local
CMD usando Terminal Server
WS-Management y Windows Remote Shell
para ejecucin remota de comandos
WMI
Programador de Tareas para ejecutar trabajos
y tareas
Event Logging y Event Forwarding
RPC y DCOM para soporte remoto a MMC
172

Server Core

Hardware en un Server Core

Plug and Play esta incluido en Server
Core
Si se aade hardware con un driver que ya est incluido en el
sistema, PnP lo instalara silenciosamente

Si el driver no esta incluido, pero tienes

un driver PnP para el hardware
Copiar los ficheros del driver al servidor
Ejecutar: Pnputil i a driverinf

Para listar los drivers instalados

sc query type= driver

Para eliminar un driver

173

Server Core
Trucos
Panel de control (Algunos)
Cambio de la Zona horaria Control timedate.cpl
Cambios para el idioma o teclado Control intl.cpl

Notepad, Incluido con algunas limitaciones

La Ayuda no funciona
Cuadros de dialogo antiguos
Copiar, Pegar, Buscar, Reemplazar, si funcionan

Si cierras lnea de comando

Presionar ctrl-alt-del, click Start Task Manager,
Cierra e inicia sesin
174

Server Core
Limitaciones
NO hay soporte para cdigo manejado
No hay globos de notificacin, como por
ejemplo para las actualizaciones o la
activacin. Tampoco para la notificacin de la
caducidad de las contraseas
Ejecutar como no esta soportado

175

Read Only Domain Controllers

ATICA
176

RODC

Desafos de las delegaciones remotas

Los administradores se enfrentan a los siguientes desafos a la
hora de desplegar Controladores de Dominio en una delegacin
remota
El DC se coloca en una localizacin fsica insegura
El DC tiene una conexin de red poco fiable con el HUB
El personal de la delegacin tiene pocos conocimientos o permisos
para gestionar el DC, por lo que:
Los Domain Admins gestionan el DC remotamente, o
Los Domain Admins delegan privilegios al personal de la delegacin

Para consolidar la infraestructura de Directorio Activo, los

administradores quisieran eliminar los DCs de las delegaciones
remotas, pero
Los usuarios no podran iniciar sesion o acceder a recursos de red si
la WAN falla

177

RODC
Desafos de las
delegaciones
remotas

178

RODC

Modelos de Administracin
recomendados
Cuentas no cacheadas (por defecto)
A Favor: Mas seguro, permitiendo adems la autenticacin rpida y la
aplicacin de polticas
En Contra: No hay acceso offline para nadie. Se requiere de la WAN
para el inicio de sesin

La mayor parte de las cuentas cacheadas

A Favor: facilidad en la gestin de contraseas. Para entornos en los
que es ms importante la administrabilidad que la seguridad.
En contra: Ms contraseas expuestas potencialmente por el RODC

Solo una pocas contraseas cacheadas

A Favor: Permite el acceso offline de quien lo necesite realmente,
maximizando la seguridad de los dems
En Contra: Requiere una administracin granular ms fina
Mapear equipos por delegacin
Requiere buscar manualmente el atributo Auth2 para identificar las cuentas

179

RODC
Menor superficie de ataque para los DCs de
delegaciones remotas
Por defecto, no hay contraseas de usuarios o equipos
almacenadas en un RODC
El Read-only Partial Attribute Set (RO-PAS) puede evitar que las
credenciales de las aplicaciones se repliquen al RODC
Estado de Solo lectura con replicacin unidireccional del AD y
FRS/DFSR
Cada RODC tiene su propia cuenta KDC KrbTGT para tener
claves criptogrficas propias y distintas
La delegacin del DCPROMO elimina la necesidad de que el
Administrador del dominio se conecte va TS al RODC
Los RODCs tienen cuentas de estacin de trabajo
No son miembros de los grupos Enterprise-DC o Domain-DC
Derechos muy limitados para escribir en el Directorio

Los RODC son totalmente compatibles con Server Core

180

RODC
Como Funciona

Cacheo de secretos en el primer inicio de sesin

1. AS_Req enviado al RODC
(TGT request)
2. RODC: No tiene las credenciales
de este usuario
3. Reenva la peticin al DC del Hub
4. El DC del Hub autentica la peticin

DC en el Hub

5. Devuelve la peticin de
autenticacin y el TGT al RODC

Read Only DC
3

6. El RODC da el TGT al usuario y

encola una peticion de replicacin
de los secretos

4
5
7

7. El DC del Hub comprueba

la poltica de replicacin
de contraseas para ver
si la contrasea puede
ser replicada

Hub

Delegacin
1

Seguridad

ATICA
182

Seguridad
Auditoras de cambios en AD
Los
Event
exactamente:

logs

dicen

Quien hizo el cambio

Cundo se hizo el cambio
Que
objeto/atributo
fue
cambiado
Los valores inicial y final

La auditora esta controlada

por
Poltica global de auditora
SACL
Schema

Event
ID
5136

5137

5138

5139

Event
type
Modify

Event description

This event is logged

when a successful
modification is made to
an attribute in the
directory.
Create
This event is logged
when a new object is
created in the directory.
Undelete This event is logged
when an object is
undeleted in the
directory.
Move
This event is logged
when an object is
moved within the
domain.

183

Seguridad

Backup/Recovery
Windows Server Backup (wbadmin.exe)

NTBackup est discontinuado

Nueva tecnologa Block-Level, basada en imgenes
Backup/recovery del System State por lnea de comandos
Debe hacerse a una particin diferente
Recuperacin del System State en DSRM (auth & non-auth)

Se instala agregando: Caractersticas de

copia de Seguridad de Windows Server
No est instalado por defecto
184

Seguridad

Database Mounting Tool

NTDSUtil.exe permite sacar instantneas (snapshots) de AD DS/LDS

regularmente.

DsaMain.exe permite a los administradores elegir la instantnea ms

apropiada y exponerla con LDAP.
NO permite restaurar objetos (hay que hacerlo manualmente)
Ahora: Herramienta + tombstone reanimation + LDAP
Post-WS08: Undelete?
NTDSUTIL.EXE
Saca
SnapShots
de DS/LDS
via VSS

DSAMAIN.EXE
Expone las
snapshots
como
servidores
LDAP

LDP.EXE
Ver datos de
solo lectura
de DS/LDS

185

Seguridad
Database Mounting Tool
NTDSUtil.exe
? (para ver las opciones disponibles).
snapshot
Instantnea: ?
Instantnea: activate instance NTDS
Instantnea: create

(para ver las opciones disponibles)

(se establece la instancia a NTDS)

Creando instantnea...
Conjunto de instantneas {b9b1cfd4-8687-46f3-906d-f5eddf7e8e54} generado correctamente.

Instantnea: list all

1: 2008/08/24:23:13 {b9b1cfd4-8687-46f3-906d-f5eddf7e8e54}
2: C: {88626e0b-72ca-4b56-8a44-df66d7eb761e}

Instantnea: mount {b9b1cfd4-8687-46f3-906d-f5eddf7e8e54}

Instantnea {88626e0b-72ca-4b56-8a44-df66d7eb761e} montada como
C:\$SNAP_200808242313_VOLUMEC$\

DsaMain.exe
dsamain /dbpath C:\$SNAP_200808242313_VOLUMEC$\Windows\NTDS\ntds.dit
/ldapport 456
EVENTLOG (Informational): NTDS General / Control de servicios : 1000
Inicio de los Servicios de dominio de Active Directory de Microsoft completado,
versin 6.0.6001.18000

186

Seguridad
ADUC: Proteccin contra borrado accidental
Algunos objetos y contenedores tienen una nueva opcin: Prevent
container from accidental deletion (por defecto est marcado
cuando se crea una OU)

Objeto/OU existentes

Nueva unidad Organizativa

187

Seguridad
Polticas de contraseas granulares (PSO)
PSO
Resultante
= PSO1
Precedencia= 10

Password
Settings Object

PSO 1

Se aplica a

PSO
Resultante
= PSO1

Precedencia= 20

Password
Settings Object

Se aplica a

PSO 2

Aplicar una PSO => modificar atributo msDsPSOAppliesTo

188

Seguridad
Administracin de PSO
Recomendacin: Administracin basada en
grupos
Delegar la modificacin de la membresa del grupo

Esta caracterstica puede ser tambin

delegada
Por defecto, solo los Administradores de Dominio pueden:

Crear y leer PSOs

Aplicar una PSO a un grupo o usuario

Operacin a Delegar

Permisos Delegados

Crear y borrar PSOs

En el PSO:
Create all child objects
Delete all child objects

Aplicar PSOs a usuarios/grupos

En el PSO:
Write

Permisos

189

Preguntas