Professional Documents
Culture Documents
PROFESOR
:
Ing. CIP Juan Carlos OVIEDO Bjar
Juan.oviedo@deliyogo.com.pe
Agenda
Presentacin
Logros del Curso
Formas de trabajo
Evaluacin
Temas de la sesin
Preguntas
Administracin Avanzada de
Sistemas Operativos
ATICA
5
ndice General
PARTE 1
Administracin de Windows como
Sistema Operativo Individual
PARTE 2
Administracin de Windows en
una Red de Ordenadores
PARTE 1
Windows como Sistema
Operativo Individual
ATICA
7
ndice
1.
2.
3.
4.
5.
6.
7.
8.
9.
Entorno Windows
Conceptos bsicos de administracin
Instalacin
Configuracin
Acceso a los recursos
Administracin de cuentas y grupos
Seguridad
Tratamiento de errores
Rendimiento
Entorno Windows
EVOLUCIN
(WS + Server)
(WS + Server)
Windows Server 2003
Windows Server 2008
Windows Server 2008 R2
Entorno Windows
Cules son las nuevas versiones de Windows?
Windows NT
4.x
Windows 2000
5.0
Windows XP
5.1
Wind.Server 2003 5.2
Windows Vista
6.0
Wind.Server 2008 6.0
Windows 7
???
Wind.Server 2008 R2 ???
10
Entorno Windows
Windows Management Instrumentation (WMI)
WMI proporciona compatibilidad
integrada para el Modelo de
Informacin Comn (CIM,
Common Information Model),
que describe los objetos
existentes en un entorno de
administracin.
11
Entorno Windows
Windows Vista
EDICIONES
Windows Vista Business
reducir los costos de administracin y aumentar la seguridad y la productividad.
12
Entorno Windows
Windows Server 2008
Standard
Enterprise
Datacenter
proc...
Web
13
Conceptos bsicos de
administracin Windows
ATICA
14
Conceptos bsicos
Consola de administracin (MMC)
15
Conceptos bsicos
Complementos de la consola de administracin (MSC)
16
Conceptos bsicos
Uso de la consola para administrar equipos remotos
17
Conceptos bsicos
Secuencias de comandos
Ejercicios:
1.- Crear un cmd para arrancar internet explorer si el equipo
tiene un nombre determinado.
2.- Crear un cmd que copie haga un espejo de nuestra
carpeta de trabajo en el directorio C:\Pares los das pares y
en C:\Impares los das impares.
18
Conceptos bsicos
Secuencias de comandos
Conceptos bsicos
La nueva herramienta de scripting: PowerShell
Ms de 130 herramientas de la lnea de comandos (o "cmdlets") para
realizar las tareas de administracin habituales
Permiten ordenar, filtrar y dar formato a datos y objetos, con las
convenciones de nomenclatura estndar y los parmetros habituales.
Basada en C#
20
Conceptos bsicos
Programador de Tareas
WXP-W2003 Tareas Programadas en Panel de Control
21
Conceptos bsicos
Programador de Tareas
WXP-W2003 Tareas Programadas (en Explorer)
22
Conceptos bsicos
Programador de Tareas
W-Vista, W-7 y W-Server 2008: Complemento MMC
23
Conceptos bsicos
Programador de Tareas
W-Vista, W-7 y W-Server 2008
Nuevos desencadenadores
Al producirse un evento
Al modificar una tarea
Al conectarse con escritorio remoto
Al desconectarse
Al bloquear la estacin de trabajo
Al desbloquearla
Nuevas acciones
Iniciar un programa
Enviar un correo electrnico
Mostrar un mensaje
24
Conceptos bsicos
Programador de Tareas
Carpeta %windir%\Tasks
Archivo %windir%\SchedLgu.txt
Comando AT
Comando SCHTASKS
25
Conceptos bsicos
Servicios
26
Conceptos bsicos
Servicios
Ejercicios
Parar y arrancar un servicio
Configurar opciones de recuperacin
Habilitar y deshabilitar servicios.
Comando SC
Parar y arrancar un servicio desde la linea de
comandos.
Conceptos bsicos
Programas de inicio y residentes
Msconfig.exe
28
Conceptos bsicos
Programas de inicio y residentes
Windows Defender
29
Instalacin y actualizacin
30
Instalacin
Instalacin de un S.O. Windows
31
Instalacin
Instalacin clsica
32
Instalacin
Instalacin CORE en Server 2008
33
Instalacin
Instalacin masiva
Instalacin
Instalacin de varios sistemas Windows en el mismo equipo
Instalacin
Arranque mltiple en Windows
Vista, W-7 y W.Server 2008
36
Instalacin
Editor del almacn de datos de la configuracin de arranque
(BCD)
Sintaxis: Bcdedit.exe /?
37
Instalacin
Actualizacin de los Sistemas Operativos Windows
Equipos individuales
Windows Update
Service Packs
38
Instalacin
Actualizacin de los Sistemas Operativos Windows
39
Configuracin
40
Configuracin
El Registro de Windows
41
Configuracin
El Registro de Windows
Claves y subclaves
Secciones
Valores
Datos
42
Configuracin
El Registro de Windows
HKEY_CURRENT_USER
Configuracin para el usuario que ha iniciado sesin
HKEY_LOCAL_MACHINE
Configuracin del equipo para todos los usuarios
HKEY_USERS
Perfiles de todos los usuarios que han hecho logon
HKEY_CURRENT_CONFIG
Perfil de HW que usa el equipo para arrancar el sistema
43
Configuracin
El Registro de Windows Tipos de datos
REG_DWORD
En formato hexadecimal
REG_FULL_RESOURCE_DESCRIPTOR
44
Configuracin
El Registro de Windows
Ejercicios
Administracin remota
45
Configuracin
El Registro de Windows
Administracin mediante lnea de comandos
El comando REG
Estudiar su sintaxis
Archivos .REG
Ejercicios
46
Configuracin
Directivas de Grupo
(Group Policy)
Configuracin
Directivas de Grupo
(Herramientas de administracin de GP)
GPMC.MSC
Configuracin
Directivas de Grupo
49
Configuracin
Directivas de Grupo
Configuracin
Aplicabilidad de Directivas de Grupo
51
Configuracin
Directivas de Grupo
Administracin de directivas locales
Gpedit.msc de MMC
52
Configuracin
Directivas de Grupo
Plantillas administrativas
Soporte multiidioma
Las plantillas ADMX residen en
%systemRoot%\PolicyDefinitions
53
Configuracin
Directivas de Grupo
Directivas locales
Ejercicios
54
Acceso a recursos
55
Acceso a recursos
Permisos
Definen el tipo de acceso concedido a un usuario o grupo para un
objeto o una propiedad de objeto.
Se otorgan a:
Grupos, usuarios y otros objetos con identificadores de seguridad del
dominio.
Grupos y usuarios del dominio y de cualquier dominio de confianza.
Grupos y usuarios locales del equipo en que reside el objeto.
Leer
Modificar
Cambiar propietario
Eliminar
56
Acceso a recursos
Propietario de los objetos
Cuando se crea un objeto, se le asigna un propietario.
De forma predeterminada es el creador del objeto.
El propietario del objeto siempre puede cambiar los permisos
de ste.
Herencia de permisos
Los objetos de un contenedor heredan automticamente todos
los permisos heredables de ese contenedor.
Slo se heredan los permisos marcados para ello
57
Acceso a recursos
Permisos y descriptores de seguridad
58
Acceso a recursos
Permisos especiales
Control total
Modificar
Leer y
ejecutar
Mostrar el
contenido
Atributos de lectura
Atributos de escritura
Eliminar
Permisos de lectura
Cambiar permisos
x
x
x
Tomar posesin
Sincronizar
x
x
Permisos especiales
Lectura
Escritura
x
x
59
Acceso a recursos
Permisos efectivos
Un usuario puede pertenecer a varios grupos.
Los permisos efectivos se calculan a partir de
los factores siguientes:
60
Acceso a recursos
Aadir o modificar
permisos mediante
interfaz grfica
Propiedades de
objeto -> pestaa
Seguridad
61
Acceso a recursos
Permisos efectivos
62
Acceso a recursos
Lnea de comandos
63
Acceso a recursos
Auditora de accesos
Se puede aplicar a accesos correctos
o incorrectos
Antes de configurar la auditora de
archivos hay que habilitar la
auditora de objetos.
Los eventos de auditora se
muestran en el registro de seguridad.
Pueden generarse muchos eventos
64
Administracin de cuentas y
grupos
65
Administracin de cuentas
Cuenta de usuario
Coleccin de informacin que indica a
Windows:
los archivos y carpetas a los que puede obtener acceso
los cambios que puede realizar en el equipo
preferencias personales, como el fondo de escritorio o tema de
color preferidos.
Administracin de cuentas
Grupos
Permiten definir caractersticas comunes a varias cuentas
Facilitan la administracin
Existen grupos predeterminados y se pueden definir nuevos grupos
Una cuenta de usuario puede pertenecer a varios grupos.
Administracin de cuentas
Grupos Integrados
Administradores. Mximo nivel de permisos predeterminados y pueden cambiar sus propios
permisos.
Usuarios avanzados. Pueden crear cuentas y grupos pero nicamente pueden modificar y
eliminar los que creen. No pueden modificar los grupos Administradores u Operadores de copia,
ni pueden tomar la posesin de archivos, copiar o restaurar directorios, cargar o descargar
controladores de dispositivo ni administrar los registros de auditora y seguridad.
Usuarios. Pueden realizar las tareas ms habituales, como ejecutar aplicaciones, utilizar
impresoras locales y de red, as como cerrar y bloquear la estacin de trabajo.No pueden
compartir directorios ni crear impresoras locales.
Invitados. Permite a los usuarios ocasionales o a los usuarios de una sola vez iniciar sesin y
cerrar el sistema en una estacin de trabajo.
Replicador. El nico miembro del grupo Replicador debe ser una cuenta de usuario de dominio
que se utilice para iniciar los servicios Replicador del controlador de dominio. No debe agregarse
a este grupo cuentas de usuarios reales.
68
Administracin de cuentas
Administrar cuentas de usuario y grupos
Mediante la consola MMC
Mediante secuencias
de comandos
> net user
> net group
> net localgroup
69
Administracin de cuentas
Perfiles de usuario
Formado por un conjunto de carpetas en las que se guardan todas
las opciones de personalizacin, preferencias, ficheros temporales,
msica, fotos, documentos, etc. del usuario.
En la carpeta raz, se encuentra el archivo NTUSER.DAT donde se
guardan las claves de HKEY_CURRENT_USER.
Perfiles Itinerantes
Permiten trabajar en
cualquier ordenador de la
empresa conservando
toda la configuracin
personal
Perfiles obligatorios
Renombrando ntsuser.dat
como .man, todas las
modificaciones hechas por
el usuario se pierden
70
Administracin de cuentas
Control de cuentas de usuario (UAC) en Windows Vista
Inicio de sesin:
Usuario normal -> Token de acceso con el nivel de acceso que se le concede al usuario.
Administrador -> Dos tokens de acceso independientes
Directiva de grupo
Usuario estndar sin privilegios, para iniciar aplicaciones que no realizan tareas administrativas
("aplicaciones de usuario estndar").
Administrador, para cuando tiene que ejecutar aplicaciones que realizan tareas administrativas (Vista
pide que eleven su contexto de seguridad al de administrador).
Diseo de aplicaciones
71
Administracin de cuentas
Control de cuentas de usuario (UAC) en Windows 7
72
Seguridad
73
Seguridad
Administracin de la Seguridad del Sistema
Directivas de seguridad
Son reglas que se configuran para proteger los recursos de un equipo o una red.
Permiten controlar:
Plantillas de seguridad
74
Seguridad
Administracin de la Seguridad del Sistema
75
Seguridad
Plantillas de Seguridad
Representa una configuracin de seguridad.
Se guarda en un archivo . Inf y se puede importar en un objeto de
Directiva de grupo.
Se pueden utilizar para definir (entre otras):
Directivas de cuenta
Directiva de contrasea
Directiva de bloqueo de cuentas
Directiva de auditora
Asignacin de derechos de usuario
Configuracin del registro de sucesos
Pertenencia a grupos importantes para la seguridad
Inicio y permisos de los servicios
Permisos para las claves del Registro
Seguridad
Plantillas de Seguridad predefinidas (WS2003, WXP)
Son el punto de partida para crear directivas de seguridad que se personalizan para cumplir los
diferentes requisitos organizativos. Estn almacenadas en %SystemRoot%\Security\Templates
Compatible (Compatws.inf)
Los permisos predeterminados para estaciones de trabajo y servidores se conceden
principalmente a tres grupos locales: Administradores, Usuarios avanzados y Usuarios.
Segura (Secure*.inf)
Define una seguridad mejorada sin afectar a la compatibilidad de las aplicaciones.
77
Seguridad
Directivas de Seguridad
Directivas de cuentas
Afectan a la forma en que las cuentas de usuario pueden interactuar con el equipo o el
dominio. Hay 3 subconjuntos:
Directiva de contraseas.
Directiva de bloqueo de cuentas.
Directiva Kerberos.
Directivas locales
Se aplican a un equipo y contienen tres subconjuntos:
Directiva de auditora.
Asignacin de derechos de usuario.
Opciones de seguridad.
En caso de tener aplicadas varias directivas, el orden de prioridad de mayor a menor es:
unidad organizativa, dominio y equipo local.
78
Seguridad
Directivas de Seguridad
79
Seguridad
Configurar la Seguridad del sistema
Crear una plantilla de seguridad
En Configuracin y anlisis de seguridad
Abrir base de datos. (Si es la primera vez, hay que crearla)
Importar plantilla (con las directivas de seguridad que se quieren aplicar al
equipo).
Configurar el equipo ahora.
80
Seguridad
Configurar la Seguridad
del sistema
81
Seguridad
Analizar la Seguridad de un equipo y ver los resultados
Anlisis de seguridad
Se hace comparando el estado actual con una base de datos de
anlisis.
sta utiliza al menos una plantilla de seguridad. (puede usar ms de
una)
Tratamiento de errores
83
Tratamiento de errores
El visor de eventos
Permite supervisar el funcionamiento de todos los elementos del S.O. como forma
de prevenir errores.
Un anlisis de los eventos de advertencia o error que se estn produciendo en un
equipo, permitira a un administrador anticiparse al problema y buscar soluciones
que lo eviten.
Los eventos son elementos con informacin relativa a algn suceso que ha ocurrido
en el equipo. Pueden ser de:
Informacin, como arranques y paradas, conexin con otros equipos, actualizacin de la
hora, etc.
Advertencia, como una desconexin del cable de red, etc.
Error, como que no se ha podido leer un archivo en un disco porque ste tiene algn sector
deteriorado.
84
Tratamiento de errores
El visor de eventos
85
Tratamiento de errores
Registros de eventos
86
Tratamiento de errores
Registros de eventos en Vista y Srv2008
87
Tratamiento de errores
Ejecutar una tarea como respuesta a un evento
dado
Permite:
Iniciar un programa
Enviar correo electrnico
Mostrar un mensaje
88
Rendimiento
89
Rendimiento
Monitor de rendimiento
Contadores de rendimiento
Son mediciones del estado o de la actividad del sistema.
El Monitor de rendimiento muestra el valor de los contadores de
rendimiento a intervalos de tiempo especificados.
En XP y Srv2003 se arranca como herramienta administrativa. En
Vista, W.7 y Srv2008 es un complemento de MMC
90
Rendimiento
91
Rendimiento
Objetos y contadores de rendimiento
Objetos de rendimiento
Se integran en el sistema operativo y suelen corresponder a los componentes principales del hardware tales
como la memoria, los procesadores, etctera.
Contadores de rendimiento
Representan aspectos especficos de un sistema o servicio. (Por ej. Pginas por segundo)
Datos de rendimiento
Son los valores de los contadores en el momento actual o en periodos anteriores.
Cach
Memoria
Objetos
Archivo de paginacin
Disco fsico
Proceso
Procesador
Servidor
Sistema
Subproceso
92
Rendimiento
Objetos y contadores de rendimiento
Ejercicio:
Aadir al monitor en tiempo real algunos contadores importantes de
los objetos:
Memoria
Archivo de paginacin
Disco fsico
Procesador
93
Rendimiento
Recopilacin de datos para anlisis
Registros de seguimiento.
Guardan sucesos detallados de las aplicaciones del sistema cuando
ocurren eventos como una operacin de E/S en un disco o un error de
pgina.
Cuando ocurre el suceso, el sistema operativo registra los datos de
sistema en un archivo especificado por el servicio Registros y alertas
de rendimiento.
Para interpretar el resultado del registro de seguimiento, se requiere
una herramienta de anlisis. Los programadores pueden crear una
herramienta de este tipo mediante las interfaces de programacin de
aplicaciones (API) proporcionadas en MSDN Library
Registros de contador
El servicio obtiene datos del sistema cuando ha transcurrido el
intervalo de actualizacin, en lugar de esperar a que se produzca un
suceso determinado.
94
Rendimiento
Recopilacin de datos para anlisis
Ejercicio:
95
Rendimiento
Monitor de confiabilidad
La informacin de configuracin se
96
Rendimiento
Monitor de confiabilidad
97
Windows 7 XP Mode
98
Entorno Windows 7
Mquina Virtual XP dentro de Windwos 7
Qu es Windows 7 XP Mode?
Nueva versin de Windows Virtual PC
Windows XP Professional SP3 VM,
preconfigurado con Firewall y actualizaciones
automticas.
Disponible en W7 Professional, Enterprise y
Ultimate.
99
PARTE 2
Administracin de Windows en
una Red de Ordenadores
ATICA
100
ndice
1.
2.
3.
4.
5.
6.
7.
101
ATICA
102
103
104
Windows 7
Win7
105
Acciones a realizar:
Cambiar contrasea de Administrador:
A-tic-A
108
ATICA
109
Planificacin del
Directorio Activo
Uno o varios dominios?
Razones por las que se debe crear ms de un dominio:
Requisitos de contraseas distintos en los diversos departamentos y
divisiones
Nmero muy grande de objetos
Administracin descentralizada de la red
Mayor control de la replicacin
110
Planificacin del
Directorio Activo
rboles y Bosques
Un bosque es una coleccin de
dominios que permite:
La interaccin de los usuarios con el directorio.
La administracin de mltiples dominios.
Planificacin del
Directorio Activo
Unidades Organizativas (OU)
Son contenedores de AD con usuarios, grupos,
equipos y otras OU.
No puede contener objetos de otros dominios.
Se le pueden asignar directivas de grupo
Se puede delegar la autoridad administrativa.
112
Planificacin del
Directorio Activo
Diseo de un Active Directory
113
Planificacin del
Directorio Activo
Determinar el nmero de bosques de
una red
Escenario con un nico bosque
Normalmente es suficiente en la
mayora de las situaciones.
Administracin ms sencilla. Los
cambios de configuracin slo tienen
que aplicarse una vez para afectar a
todos los dominios.
114
Planificacin del
Directorio Activo
Plan de dominios
Dibujar la topologa de la red
115
Planificacin del
Directorio Activo
Plan de dominios
Crear particiones en el bosque
116
Planificacin del
Directorio Activo
Plan de dominios
Plan de rboles de dominios
117
Planificacin del
Directorio Activo
Plan de dominios
Plan de Unidades Organizativas OU
118
Planificacin del
Directorio Activo
Plan de dominios
Plan de topologa de sitios
119
Planificacin del
Directorio Activo
Nuestro ejemplo
Delegacion
empresa.es
filial.es
SedeFilial
SedeCentral
rrhh.empresa.e
s
120
Planificacin del
Directorio Activo
Nuestro ejemplo
Delegacion
empresa.es
filial.es
SedeFilial
Controladores
de Dominio
SedeCentral
RODC
rrhh.empresa.e
s
121
ATICA
122
Directorio Activo
Creacin del Directorio Activo de
ejemplo
Laboratorio
123
Directorio Activo
- Conceptos -
ATICA
124
Directorio Activo
Novedades en W2008
Active Directory Domain Services
Reemplaza a Active Directory
Funciones de Servidor
Funcionalidades del servidor como AD DS, AD LDS, y DNS
Se administran centralmente a travs del Server Manager
125
Directorio Activo
Novedades en W2008
AD DS reiniciable
126
Directorio Activo
Novedades en W2008
Directivas de Grupo
Compresin
Replicacin diferencial block-level
Planificacin
Control de Ancho de Banda
127
Directorio Activo
AD incluye:
El esquema conjunto de reglas que definen las
clases de objetos y los atributos del directorio
Un catlogo global contiene informacin acerca de
los objetos del directorio. Permite encontrar
informacin con independencia del dominio.
Un sistema de ndices y consultas, para publicar y
encontrar objetos y sus propiedades.
Un servicio de replicacin distribuye los datos del
directorio por toda la red a travs de los
controladores de dominio.
128
Directorio Activo
Caractersticas principales:
Seguridad
Administracin flexible y simplificada
Escalabilidad
Alta disponibilidad
Capacidad de ampliacin
Compatibilidad con estndares abiertos
Acceso mediante programacin simple
Autenticacin de usuarios
129
Directorio Activo
130
Directorio Activo
Autenticacin en el Directorio Activo:
La Autoridad de Seguridad Local (LSA) es el
subsistema de responsable de la autenticacin.
LSA tambin procesa solicitudes de autenticacin
realizadas por medio del protocolo Kerberos.
LSA del DC de autenticacin genera un testigo de
acceso de usuario y le asocia un Id. de seguridad
(SID).
Testigo de acceso contiene nombre de usuario, grupos a
los que pertenece, SID del usuario y todos los SID de los
grupos a los que pertenece.
131
Directorio Activo
Cuentas de Directorio Activo
Cuentas de usuario: Es un objeto
almacenado en el AD que permite su
inicio de sesin nico en la red
Cuentas locales
Cuentas de dominio
Cuentas Integradas (Built-in)
132
Directorio Activo
User Principal Name (UPN)
En AD, cada cuenta de usuario tiene:
Un nombre de
inicio de sesin de
usuario.
Un nombre de
inicio de sesin de
usuario anterior a
Windows 2000
UPN = nombre_de_inicio_de_sesin@Sufijo_UPN
133
Directorio Activo
juanp@empresa.cl
juanp@grupoempresas
134
Directorio Activo
Nominacin de Objetos
Se puede hacer referencia a cada objeto de Directorio Activo con
varios nombres diferentes. AD crea a partir de los datos durante la
creacin del objeto:
El nombre completo relativo LDAP: identifica unvocamente al
objeto dentro su contenedor principal.
CN=JuanP
Directorio Activo
Sintaxis LDAP
Cmo se construye el DN (Distinguish
Name)
CN= : Common Name.
OU= : Unidad Organizativa
DC= : Domain Component
Ejemplos:
Dominio:
DC=empresa,DC=es
Controlador de Dominio:
CN=DC1,OU=Domain
Controllers,DC=empresa,DC=es
Dominio hijo:
DC=rrhh,DC=empresa,DC=es
Site:
136
Directorio Activo
Bsquedas LDAP al directorio
Buscar
137
Directorio Activo
Nominacin de Objetos
138
Directorio Activo
Creacin de usuarios en AD
Para crear/modificar/borrar un solo usuario
Usuarios y equipos de Directorio Activo
DsAdd, DsMod, DsRm (Scriptables). Solo en servidores DC
LDIFDE
Utiliza ficheros de texto, con formato de lneas separadas para cada
atributo, para crear, modificar o borrar objetos en el Directorio Activo
139
Directorio Activo
Grupos
Grupos de Distribucin:
Utilizados por aplicaciones de correo (p.e Microsoft Exchange
Server 2000/2003)
No pueden ser usados para especificar controles de acceso a
recursos.
Grupos de Seguridad:
Asignacin de derechos (funciones que se pueden desempear)
Asignacin de permisos de acceso a recursos
Permiten anidacin, es decir, meter unos grupos dentro de otros.
140
Directorio Activo
Directorio Activo
Grupos Globales
Pueden contener:
Usuarios, Grupos y equipos de su propio dominio
Otros grupos globales
142
Directorio Activo
Grupos Universales
Pueden contener:
Usuarios y equipos de cualquier dominio del bosque
Grupos globales o universales de cualquier dominio del bosque
143
Directorio Activo
Grupos
144
Directorio Activo
Tipos de Confianzas
Transitividad
Transitivas (T)
Intransitivas (I)
Direccin
Bidireccionales (B)
Unidireccionales (U)
145
Directorio Activo
Confianzas
Kerberos
NT 4.0
146
Directorio Activo
Dominios y Confianzas de AD
147
Directorio Activo
Almacn de datos del directorio
Contiene informacin acerca de objetos como usuarios, grupos,
equipos, dominios, unidades organizativas y directivas de seguridad.
Se almacena en controladores de dominio. Cada DC dispone de
una copia.
Los cambios realizados en el directorio en un DC se replican al resto
de DC en el dominio, el rbol de dominios o el bosque.
AD utiliza cuatro tipos diferentes de particiones de directorio:
Directorio Activo
Control de acceso en Active Directory
Un descriptor de seguridad contiene dos
listas de control de acceso (ACL):
Listas de control de acceso discrecional (DACL). Identifican a los
usuarios y grupos que tienen asignados o denegados permisos de
acceso a un objeto.
Listas de control de acceso al sistema (SACL). Identifican a los usuarios
y los grupos que desea auditar cuando consiguen o no consiguen
obtener acceso a un objeto.
Directorio Activo
150
Directorio Activo
Funciones de servidor de Active Directory
Servidores miembro
Pertenece a un dominio
No es un controlador de dominio.
No procesa inicios de sesin de cuentas, no participa en la replicacin de AD ni
almacena informacin de directivas de seguridad de dominio.
151
Directorio Activo
Catlogo Global
DC que almacena una copia de todos los objetos de AD del bosque
(Copia completa de su dominio y parcial de los dems dominios del bosque
Funciones:
Bsqueda de objetos
Autenticacin del nombre
principal de usuario
Informacin de pertenencia a
grupos universales en un
entorno de dominios mltiples
Validacin de referencias a
objetos dentro de un bosque
152
Directorio Activo
Funciones del maestro de operaciones
(FSMO)
(funciones flexibles de operaciones de un solo maestro)
Maestro de esquema
Maestro de nombres de dominio
Maestro de Id. relativo (RID)
Maestro emulador del controlador
principal de dominio (PDC)
Maestro de infraestructuras
153
Directorio Activo
Funciones del maestro de operaciones
(FSMO)
Funciones que solo puede desempear un
DC en cada bosque:
Maestro de esquema: DC que controla
todos los cambios que tienen lugar en el
esquema.
Maestro de nombres de dominio:
154
Directorio Activo
Funciones del maestro de operaciones
(FSMO)
Funciones que solo puede desempear un
DC en cada dominio:
Maestro de Id. relativo (RID): Asigna secuencias
de Id. relativos (RID) a cada uno de los distintos controladores del dominio
que los usa para asignar id. de seguridad (SID).
155
Directorio Activo
Funciones del maestro de operaciones
(FSMO)
Qu DCs ejercen las funciones FSMO en
un> netdom
dominio?
query /Domain:empresa.es FSMO
Maestro de esquema
WS2K8DC1.empresa.es
Maestro nomencl. Dominios
WS2K8DC1.empresa.es
PDC
WS2K8DC1.empresa.es
Administrador de grupos RID
WS2K8DC1.empresa.es
Maestro de infraestructura
WS2K8DC1.empresa.es
156
Directorio Activo
Transferir funciones del maestro de
operaciones
Es una
operacin crtica que Consola
hay que
Funcin
de MMC
realizar cuando debe sustituirse el DC
Maestro de esquema
Esquema de AD
que la haca.
Maestro nomencl. Dominio
confianzas de AD
Dominios y
PDC
Usuarios y equipos de AD
Usuarios y equipos de AD
Ejercicio: Llegar a los cuadros de dilogo para transferir las funciones de maestro de Operaciones
Maestro de infraestructura
Usuarios y equipos de AD
157
Directorio Activo
Transferir la funcin del maestro de esquema
El complemento de consola Esquema de Active
Directory no aparece por defecto:
Es preciso registrar la dll: schmmgmt.dll Para ello:
Colocarse en %windir%\system32
Ejecutar: regsvr32 schmmgmt.dll
158
Server Core
ATICA
159
Server Core
Server Core es una opcin de instalacin
mnima de Windows Server 2008
Server Core
Porqu Server Core?
Reduce el mantenimiento del software
Solo se instalan los componentes esenciales
Reduce la Gestin
Menos cosas que gestionar.
161
Server Core
Server, Server Roles
Opciones Mnimas de Instalacin
Poca superficie
Interface por Lnea de Comando
Conjunto limitado de Roles de Servidor
Roles de Servidor de Server Core
IAS
Web Share
Server Point
Etc
Servidor
With WinFx, Shell, Tools, etc.
DNS
DHCP
File
AD
Web
Server
Media
Server
Server Core
Seguridad, TCP/IP, Sistema de Ficheros, RPC,
y otros Sub-Systems del nucleo de Servidor.
GUI, CLR,
Shell, IE,
Media, OE,
etc.
Server Core
Compatibilidad de Aplicaciones
Las aplicaciones han de ser probadas
NO esta disponible lo siguiente:
163
Server Core
Instalacin
Se puede:
Instalar desde el mismo DVD de Windows Server
2008
No se puede:
Actualizar desde versiones previas de Windows
Convertir una instalacin completa en Core
Convertir una instalacin Core en completa
164
Server Core
Configuracin Inicial de Server Core
interface ipv4
show interfaces
show address
set address 2 static 192.168.x.104 255.255.255.0
set dnsserver 2 static 192.168.x.101 primary
165
Server Core
Configuracin Inicial de Server Core
166
Server Core
SCRegEdit.wsf
No todas las tareas se pueden ejecutar
mediante la lnea de comando o de
manera remota
SCRegEdit.wsf esta incluido en Server
Core para:
Server Core
OCList.exe
nica herramienta de linea de comando propia
de Server Core
Lista los roles de servidor y las funcionalidades
adicionales que se pueden instalar con
OCSetup
Lista si los paquetes estn o no instalados
168
Server Core
Aadir Roles de Servidor
nicamente mediante lnea de comando, sin Server Manager
Start /w Ocsetup RolePackage
DHCP = DHCPServerCore
DNS = DNS-Server-Core-Role
File Replication service = FRS-Infrastructure
Distributed File System service = DFSN-Server
Distributed File System Replication = DFSR-InfrastructureServerEdition
Network File System = ServerForNFS-Base
Media Server = MediaServer
Print = Printing-ServerCore-Role
LPD = Printing-LPDPrintService
Active Directory
Dcpromo instala el Active Directory
Dcpromo /unattend:Unattendfile
Ocsetup no esta soportado para instalar Active Directory
169
Server Core
Server Core
Desinstalar funciones y caractersticas
Start /w Ocsetup Package /uninstall
Excepto para Active Directory
Hay que usar DCPromo y demote
Dcpromo /unattend:<unattendfile>
Esto tambin elimina los binarios del Active Directory
171
Server Core
Server Core
173
Server Core
Trucos
Panel de control (Algunos)
Cambio de la Zona horaria Control timedate.cpl
Cambios para el idioma o teclado Control intl.cpl
Server Core
Limitaciones
NO hay soporte para cdigo manejado
No hay globos de notificacin, como por
ejemplo para las actualizaciones o la
activacin. Tampoco para la notificacin de la
caducidad de las contraseas
Ejecutar como no esta soportado
175
ATICA
176
RODC
177
RODC
Desafos de las
delegaciones
remotas
178
RODC
Modelos de Administracin
recomendados
Cuentas no cacheadas (por defecto)
A Favor: Mas seguro, permitiendo adems la autenticacin rpida y la
aplicacin de polticas
En Contra: No hay acceso offline para nadie. Se requiere de la WAN
para el inicio de sesin
179
RODC
Menor superficie de ataque para los DCs de
delegaciones remotas
Por defecto, no hay contraseas de usuarios o equipos
almacenadas en un RODC
El Read-only Partial Attribute Set (RO-PAS) puede evitar que las
credenciales de las aplicaciones se repliquen al RODC
Estado de Solo lectura con replicacin unidireccional del AD y
FRS/DFSR
Cada RODC tiene su propia cuenta KDC KrbTGT para tener
claves criptogrficas propias y distintas
La delegacin del DCPROMO elimina la necesidad de que el
Administrador del dominio se conecte va TS al RODC
Los RODCs tienen cuentas de estacin de trabajo
No son miembros de los grupos Enterprise-DC o Domain-DC
Derechos muy limitados para escribir en el Directorio
RODC
Como Funciona
DC en el Hub
5. Devuelve la peticin de
autenticacin y el TGT al RODC
Read Only DC
3
4
5
7
Hub
Delegacin
1
Seguridad
ATICA
182
Seguridad
Auditoras de cambios en AD
Los
Event
exactamente:
logs
dicen
Event
ID
5136
5137
5138
5139
Event
type
Modify
Event description
183
Seguridad
Backup/Recovery
Windows Server Backup (wbadmin.exe)
Seguridad
DSAMAIN.EXE
Expone las
snapshots
como
servidores
LDAP
LDP.EXE
Ver datos de
solo lectura
de DS/LDS
185
Seguridad
Database Mounting Tool
NTDSUtil.exe
? (para ver las opciones disponibles).
snapshot
Instantnea: ?
Instantnea: activate instance NTDS
Instantnea: create
Creando instantnea...
Conjunto de instantneas {b9b1cfd4-8687-46f3-906d-f5eddf7e8e54} generado correctamente.
1: 2008/08/24:23:13 {b9b1cfd4-8687-46f3-906d-f5eddf7e8e54}
2: C: {88626e0b-72ca-4b56-8a44-df66d7eb761e}
DsaMain.exe
dsamain /dbpath C:\$SNAP_200808242313_VOLUMEC$\Windows\NTDS\ntds.dit
/ldapport 456
EVENTLOG (Informational): NTDS General / Control de servicios : 1000
Inicio de los Servicios de dominio de Active Directory de Microsoft completado,
versin 6.0.6001.18000
186
Seguridad
ADUC: Proteccin contra borrado accidental
Algunos objetos y contenedores tienen una nueva opcin: Prevent
container from accidental deletion (por defecto est marcado
cuando se crea una OU)
Objeto/OU existentes
187
Seguridad
Polticas de contraseas granulares (PSO)
PSO
Resultante
= PSO1
Precedencia= 10
Password
Settings Object
PSO 1
Se aplica a
PSO
Resultante
= PSO1
Precedencia= 20
Password
Settings Object
Se aplica a
PSO 2
188
Seguridad
Administracin de PSO
Recomendacin: Administracin basada en
grupos
Delegar la modificacin de la membresa del grupo
Operacin a Delegar
Permisos Delegados
En el PSO:
Create all child objects
Delete all child objects
En el PSO:
Write
Permisos
189
Preguntas