FUNCIONES FINANCIERASwiener.edu.pe/manuales/CicloV/REDES-II.pdf · Title: FUNCIONES FINANCIERAS...
Transcript of FUNCIONES FINANCIERASwiener.edu.pe/manuales/CicloV/REDES-II.pdf · Title: FUNCIONES FINANCIERAS...
INSTITUTO SUPERIOR TECNOLÓGICO
NORBERT WIENER
Manual del Alumno
ASIGNATURA: Redes II
PROGRAMA: S3C
Lima-Perú
2
Manual del Alumno
Windows 2000 Server
Es un sistema operativo que permite coordinar todas las tareas que realiza en su
computadora. Windows cuenta con una interfase grafica de usuario denominada
GUI, cuando se habla de una interfase grafica de usuario nos referimos a que todas
las opciones se manejan por medio de graficas o dibujos, y es por eso que se hace mas cómodo su uso.
Un Sistema Operativo se encarga de adaptar el equipo para que el usuario pueda
comunicarse con la maquina ya que sin el seria imposible trabajar con una
computadora porque no le entenderíamos su lenguaje ni ella el nuestro. Todas las
computadoras deben de tener un programa llamado Sistema Operativo para poder
trabajar con ella y nosotros nos inclinaremos para trabajar con Windows, un
Sistema Operativo que esta instalado en 9 de cada 10 maquinas que hay, así que
tu dirás si es bueno o no.
Windows 2000 provee soporte para aplicaciones de 32 bits, multitarea con
desalojo, soporte de red incorporado (TCP/IP,IPX, SLIP, PPP, y Windows Sockets).
Incluye MS-DOS 7.0 como una aplicación. Permite soporte para la FAT32 y el Active
Desktop. Soporte para USB y DVD. Se diseñó para estaciones de trabajo avanzadas
y para servidores pero tiene multiprocesos real, seguridad y protección de memoria.
Está basado en un Microkernel, con un direccionamiento de hasta 4GB de RAM,
soporte para sistemas de archivos FAT, NTFS y HPFS, soporte de red incorporado,
soporte multiprocesador, y seguridad C2, está diseñado para ser independiente del
hardware. Una vez que la parte específica de la máquina - la capa HAL (Capa de
Abstracción de Hardware)- ha sido llevada a un máquina particular, el resto del
sistema operativo debería compilar teóricamente sin alteración. Otros Elementos
nuevos de Windows 2000 son:
Active Directory
Active Directory (Directorio Activo): Es el nuevo servicio de Directorios para este
nuevo sistema de WINDOWS2000. El Active Directory almacena información sobre
los recursos de la red y provee los servicios que hacen que sea fácil localizarlos,
administrarlos y de usar. El Active Directory también provee la administración de
una forma de organización centralizada, administración y control de acceso a los recursos de la red.
Semana 1,2
Windows 2000 Server
Objetivos:
Al finalizar este capítulo:
El participante comprenderá el Entorno de Windows 2000 Server
Comprender los fundamentos de Instalación y configuración
3
Manual del Alumno
La información sobre los recursos de la red, como pueden ser usuarios, grupos,
ordenadores, impresoras...etc, es almacenado en una base de datos, componente
del Active Directory. Estos recursos, llamados Active Directory Objets ( Objetos del
Directorio Activo), son almacenados en unas Unidades Oganizativas ( OUs,
Organizational Units ) de forma jerárquica. En WINDOWS 2000, tu usas las
Unidades Organizativas para organizar objetos dentro de un dominio,
asemejándose a una estructura empresarial.
El Active Directory también proporciona un mecanismo de búsqueda dentro de la
mencionada jerarquía. Esto se materializa en el Catalogo Global ( Global Catalog GC
). Esta utilidad del Active Directory, nos permite buscar, de una manera muy ágil y
sencilla, usuarios, impresoras y de ordenadores.
Sistema de Nombre de Dominios (Domain Name System, DNS)
Sistema de Nombre de Dominios (Domain Name System, DNS). Windows 2000 usa
DNS para resolver, o traducir, nombre de ordenadores a direcciones de protocolo
de Internet (IP). Windows 2000 también usa DNS como su servicio de nombres de
dominio. DNS te permite utilizar el mismo sistema de nombres de dominio de
Internet para nombrar tus dominios y los ordenadores de tu dominio. Esto permite
a los usuarios de tu red conectar a ordenadores de la red local o en Internet utilizando el mismo sistema de nombres.
El servicio de DNS en Windows 2000 también usa DNS Dinámico (Dynamic DNS,
DDNS), permite a los ordenadores clientes con direcciones IP asignadas
dinámicamente el poder registrarse directamente en un servidor que de servicio
DNS y actualizar la base de datos DNS. Esto reduce la necesidad de editar
4
Manual del Alumno
manualmente y replicar la base de datos cada vez que ocurra un cambio en la
configuración de un cliente DNS.
Políticas de grupo
Políticas de grupo (Group Policy). En Windows 2000, las políticas de grupo define
las opciones de configuración de los ordenadores y de los usuarios. Estas opciones
de políticas de grupo se guardan en los objetos de políticas de grupos (Group Policy
Objects, GPOs), estos pueden ser asociados a uno o más objetos del Active
Directory tales como dominios o unidades organizativas. esto te permite definir las
configuraciones de ordenador y de usuario para múltiples máquinas y usuarios de
tu red y después usar el Active Directory para reforzar las políticas que tu asignes.
Microsoft Management Console
Consola de Administración de Microsoft (Microsoft Management Console, MMC)
MMC proporciona un método están para crear, guardar y abrir herramientas
administrativas. MMC no proporciona funciones administrativas por si mismo, pero
si hospeda aplicaciones de administración llamadas Snap-ins, las cuales puedes
usar para ejecutar varias tareas administrativas en Windows 2000. También puedes
usar MMC para ejecutar tareas de administración remota sobre ordenadores a través de la red.
Sistema de ficheros Windows NT mejorado (NTFS)
Sistema de ficheros Windows NT mejorado (NTFS), Windows 2000 Server incluye
una versión mejorada de NTFS que ofrece soporte para encriptación de archivos, la
posibilidad de añadir espacio en disco a una partición NTFS sin reiniciar la máquina,
Cuotas de discos por usuarios para monitorizar, limitar el espacio de disco y muchas otras características mejoradas.
AMBIENTE GRAFICO
5
Manual del Alumno
Se dice que Windows maneja un ambiente grafico porque todas sus opciones son
por medio de gráficos ya sean botones, ventanas, menús, etc. Todo es fácil de
reconocer y recordar, se dice que es mejor una imagen que mil palabras y es muy
cierto. Imagínate que te mande a buscar a una persona, esta persona se llama
Ramón y se encuentra entre otras 200 personas mas, si te doy su nombre tendrías
que preguntarles por grupo quien es Ramón en cambio si te doy su foto lo podías
reconocerlo sin necesidad de gastar tanta saliva, ves es tan sencillo trabajar con
imágenes y eso es lo que hace Windows, no es necesario darle ordenes escritas
solo tienes que presionar botones o elegir opciones de menús y eso es todo.
Operaciones básicas con el ratón.
Al ser el ratón (mouse) junto con el teclado, los periféricos de entrada más
importantes en Windows, veremos las operaciones básicas que con él, continuamente deberemos utilizar. Éstas son:
Hacer clic: pulsar y soltar de forma continua el botón izquierdo del ratón.
Hacer doble clic: pulsar 2 veces consecutivas el botón izquierdo del ratón.
Arrastrar: pulsar el botón izquierdo y sin soltarlo desplazar a otro lugar del escritorio el objeto seleccionado, por ejemplo, un icono de acceso directo.
Pulsar el botón derecho: pulsado sobre cualquier objeto del escritorio, nos
aparecerá el denominado “menú contextual” que nos permitirá acceder a distintas
operaciones que describiremos posteriormente.
6
Manual del Alumno
Introducción a los usuarios
Usuarios muestra las dos cuentas de usuario integradas, Administrador e Invitado,
así como cualquier cuenta de usuario que cree. Las cuentas de usuario integradas
se crean automáticamente al instalar Windows 2000.
Cuenta Administrador
La cuenta Administrador es la que utiliza cuando configura por primera vez una
estación de trabajo o un servidor miembro. Esta cuenta se usa para crear una
cuenta para usted. La cuenta Administrador es un miembro del grupo Administradores en la estación de trabajo o servidor miembro.
La cuenta Administrador nunca se puede eliminar, deshabilitar ni quitar del grupo
local Administradores, lo cual asegura que nunca se pueda bloquear a sí mismo
fuera del equipo si elimina o deshabilita todas las cuentas administrativas. Esta
característica separa la cuenta Administrador de otros miembros del grupo local
Administradores.
Cuenta Invitado
Sólo usan la cuenta Invitado los usuarios que no tienen una cuenta real en el
equipo. Un usuario con su cuenta deshabilitada (pero no eliminada) también puede
usar la cuenta Invitado. La cuenta Invitado no requiere ninguna contraseña. La
cuenta Invitado está deshabilitada de forma predeterminada, pero puede
habilitarla.
Puede asignar derechos y permisos para la cuenta Invitado de la misma forma que
para cualquier cuenta de usuario. De manera predeterminada, la cuenta Invitado es
miembro del grupo integrado Invitados, lo que permite al usuario iniciar sesión en
una estación de trabajo o un servidor miembro. Un miembro del grupo
Administradores debe conceder derechos adicionales, así como cualquier permiso, al grupo Invitados.
Para crear una cuenta de usuario nueva
Capítulo 2
Administración de Usuarios
Objetivos:
Al finalizar este capítulo:
El participante podrá crear cuentas de usuarios
Otorgara directivas de acceso a la red.
7
Manual del Alumno
Abra: Administración de equipos.
En el árbol de la consola, en Usuarios locales
y grupos, haga clic en Usuarios.
Haga clic en Acción y después en Usuario nuevo.
Escriba la información correspondiente en el cuadro de diálogo:
Active o desactive las siguientes casillas de verificación:
El usuario debe cambiar la contraseña en el
siguiente inicio de sesión
El usuario no puede cambiar la contraseña
La contraseña nunca caduca
Cuenta deshabilitada
Realice una de las acciones siguientes:
Para crear un usuario adicional, haga clic en Crear y repita los pasos 2 y 3.
Para finalizar, haga clic en Crear y después en Cerrar
Notas
Para abrir Administración de equipos, haga clic en Inicio, seleccione
Configuración y, a continuación, haga clic en Panel de control. Haga doble clic
en Herramientas administrativas y, a continuación, doble clic en
Administración de equipos.
Un nombre de usuario no puede coincidir con otro nombre de usuario o de grupo en
el equipo que está administrando. Puede contener hasta 20 caracteres, en mayúsculas o minúsculas, excepto los siguientes:
" / [ ] : ; | = , + * ? < >
Un nombre de usuario no puede contener sólo puntos (.) o espacios en blanco.
En Contraseña y Confirmar, puede escribir una contraseña que contenga hasta 127
caracteres. Sin embargo, si utiliza Windows 2000 en una red que también contiene
equipos con Windows 95 o Windows 98, considere el uso de contraseñas con menos
de 14 caracteres. Windows 95 y Windows 98 admiten contraseñas de hasta 14
caracteres. Si la contraseña es más larga, es posible que no se puedan iniciar sesiones en la red desde estos equipos.
No debe agregar un usuario nuevo al grupo Administradores a menos que el
usuario vaya a realizar únicamente tareas administrativas.
Solo se pueden crear cuentas locales en un Servidor Miembro mas no en
Controlador de Dominio
8
Manual del Alumno
Para eliminar una cuenta de usuario
Abra Administración de equipos.
En el árbol de la consola, en Usuarios locales y grupos, haga clic en Usuarios.
Haga clic en la cuenta de usuario que desee eliminar.
Haga clic en Acción y después en Eliminar.
Si aparece un mensaje de confirmación, haga clic en Aceptar.
Cuando aparezca el mensaje que le pregunta si desea eliminar la cuenta, haga clic en Sí.
Notas
Para abrir Administración de equipos, haga clic en Inicio, seleccione
Configuración y, a continuación, haga clic en Panel de control. Haga doble clic
en Herramientas administrativas y, a continuación, doble clic en Administración de equipos.
Cuando necesite quitar cuentas de usuario, es recomendable deshabilitar las
cuentas en primer lugar. Cuando esté seguro de que al deshabilitar la cuenta no se
causa ningún problema, puede eliminarla de forma segura.
No se puede recuperar una cuenta de usuario eliminada.
No se pueden eliminar las cuentas integradas Administrador e Invitado.
9
Manual del Alumno
Introducción a Active Directory
Active Directory es el servicio de directorio para Windows 2000 Server. Almacena
información acerca de objetos de la red y facilita la búsqueda y utilización de esa
información por parte de usuarios y administradores. El servicio de directorio Active
Directory utiliza un almacén de datos estructurado como base de una organización lógica jerárquica de la información del directorio.
La seguridad está integrada en Active Directory mediante la autenticación del inicio
de sesión y el control de accesos a los objetos del directorio. Con un único inicio de
sesión en la red, los administradores pueden administrar datos del directorio y de la
organización en cualquier punto de la red, y los usuarios autorizados de la red
pueden tener acceso a recursos en cualquier lugar de la red. La administración
basada en directivas facilita la tarea del administrador incluso en las redes más complejas.
Un directorio es una estructura jerárquica que almacena información acerca de los
objetos existentes en la red. Un servicio de directorio, como Active Directory,
proporciona métodos para almacenar los datos del directorio y ponerlos a
disposición de los administradores y usuarios de la red. Por ejemplo, Active
Directory almacena información acerca de las cuentas de usuario (nombres,
contraseñas, números de teléfono, etc.) y permite que otros usuarios autorizados
de la misma red tengan acceso a esa información.
Antes de examinar detalladamente Active Directory, debe familiarizarse con
la siguiente información:
Servicio de directorio
Información general acerca de los dominios
Introducción a los bosques y árboles de dominio
Relaciones de confianza entre dominios
Unidades organizativas
Introducción a los sitios y servicios de Active Directory
Grupos
Introducción al esquema de Active Directory
Funciones de servidor
Servicio de directorio
El servicio de directorio de Active Directory tiene las siguientes características:
Objetivos:
Al finalizar esta semana:
El participante comprenderá el Directorio de Servicio Activo
Comprender los fundamentos de la configuración del directorio
Semana 3
Active Directory
10
Manual del Alumno
Un almacén de datos, también conocido como directorio, que almacena información
acerca de los objetos de Active Directory. Estos objetos incluyen normalmente
recursos compartidos como servidores, archivos, impresoras y las cuentas de usuario y de equipo de red.
Un conjunto de reglas, el esquema, que define las clases de objetos y los atributos
contenidos en el directorio, las restricciones y los límites en las instancias de estos
objetos así como el formato de sus nombres.
Un catálogo global que contiene información acerca de cada uno de los objetos del
directorio. Esto permite a los usuarios y administradores encontrar información del
directorio con independencia de cuál sea el dominio del directorio que realmente
contiene los datos.
Un sistema de índices y consultas, para que los usuarios o las aplicaciones de red
puedan publicar y encontrar los objetos y sus propiedades.
Un servicio de replicación que distribuye los datos del directorio por toda la red.
Todos los controladores de dominio de un dominio participan en la replicación y
contienen una copia completa de toda la información del directorio de sus dominios.
Cualquier cambio en los datos del directorio se replica en todos los controladores de dominio del dominio.
Integración con el subsistema de seguridad para asegurar el proceso de inicio de
sesión en la red así como control de acceso tanto de las consultas de datos del directorio como de las modificaciones de los datos.
Para sacarle el mayor provecho a Active Directory, el equipo que tiene acceso a
Active Directory a través de la red debe ejecutar el software de cliente correcto. En
equipos que no ejecutan el software de cliente de Active Directory, el directorio aparecerá igual que un directorio de Windows NT.
Información general acerca de los dominios
Un dominio constituye un límite de seguridad. El directorio incluye uno o más
dominios, cada uno de los cuales tiene sus propias directivas de seguridad y
relaciones de confianza con otros dominios. Los dominios ofrecen varias ventajas:
Las directivas y la configuración de seguridad (como los derechos administrativos y
las listas de control de accesos) no pueden pasar de un dominio a otro.
Al delegar la autoridad administrativa en dominios o unidades organizativas
desaparece la necesidad de tener varios administradores con autoridad administrativa global.
Los dominios ayudan a estructurar la red de forma que refleje mejor la organización.
Cada dominio almacena solamente la información acerca de los objetos que se
encuentran ubicados en ese dominio. Al crear particiones en el directorio de esa
manera, Active Directory puede ampliarse y llegar a contener una gran cantidad de objetos.
11
Manual del Alumno
Los dominios son las unidades de replicación. Todos los controladores de dominio
de un dominio determinado pueden recibir cambios y replicarlos a los demás controladores del dominio.
Un único dominio puede abarcar varias ubicaciones físicas distintas o sitios. Al utilizar un solo dominio se simplifican mucho las tareas administrativas.
Introducción a los bosques y árboles de dominio
Varios dominios forman un bosque. Los dominios también pueden combinarse en estructuras jerárquicas denominadas árboles de dominio.
Árboles de dominio
El primer dominio de un árbol de dominio se denomina dominio raíz. Los dominios
adicionales del mismo árbol de dominio son dominios secundarios. Un dominio que
se encuentra inmediatamente encima de otro dominio del mismo árbol se denomina dominio principal del dominio secundario.
Todos los dominios que comparten el
mismo dominio raíz forman un espacio
de nombres contiguo. Esto significa que
el nombre de un dominio secundario
consta del nombre de ese dominio
secundario más el nombre del dominio
principal. En esta ilustración,
secundario.microsoft.com es un dominio
secundario de microsoft.com y es el
dominio principal de
secundario2.secundario.microsoft.com.
El dominio microsoft.com es el dominio
principal de secundario.microsoft.com.
Además, es el dominio raíz de este árbol de dominio.
Los dominios de Windows 2000 que forman parte de un árbol están unidos entre sí
mediante relaciones de confianza transitivas y bidireccionales. Dado que estas
relaciones de confianza son bidireccionales y transitivas, un dominio de Windows
2000 recién creado en un bosque o árbol de dominio tiene establecidas
inmediatamente relaciones de confianza con todos los demás dominios de Windows
2000 en ese bosque o árbol de dominio. Estas relaciones de confianza permiten que
un único proceso de inicio de sesión sirva para autenticar a un usuario en todos los
dominios del bosque o del árbol de dominio. Sin embargo, esto no significa que el
usuario, una vez autenticado, tenga permisos y derechos en todos los dominios del
árbol de dominio. Dado que un dominio es un límite de seguridad, los derechos y permisos deben asignarse para cada dominio.
Bosques
Un bosque está formado por varios árboles de dominio. Los árboles de dominio de
un bosque no constituyen un espacio de nombres contiguo. Por ejemplo, aunque
dos árboles de dominio (microsoft.com y microsoftasia.com) pueden tener ambos
un dominio secundario denominado "soporte", los nombres DNS de esos dominios
secundarios serán soporte.microsoft.com y soporte.microsoftasia.com. Es evidente
que en este caso no existe un espacio de nombres contiguo.
12
Manual del Alumno
Sin embargo, un bosque no tiene ningún dominio raíz propiamente dicho. El
dominio raíz del bosque es el primer dominio que se creó en el bosque. Los
dominios raíz de todos los árboles de dominio del bosque establecen relaciones de
confianza transitivas con el dominio raíz del bosque. En la ilustración,
microsoft.com es el dominio raíz del bosque. Los dominios raíz de los otros árboles
de dominio (microsofteuropa.com y microsoftasia.com) tienen establecidas
relaciones de confianza transitivas con microsoft.com. Estas relaciones de confianza
son necesarias para poder establecer otras entre todos los árboles de dominio del
bosque, Todos los dominios de Windows 2000 de todos los árboles de dominio de un bosque comparten las siguientes características:
Relaciones de confianza transitivas entre los dominios
o Relaciones de confianza transitivas entre los árboles de
dominio
o Un esquema común
o Información de configuración común o Un catálogo global común
Al utilizar bosques y árboles de dominio se obtiene la flexibilidad que ofrecen los
sistemas de espacios de nombres contiguos y no contiguos. Esto puede ser útil, por
ejemplo, en el caso de compañías que tienen divisiones independientes que
necesitan conservar sus propios nombres DNS.
Relaciones de confianza entre dominios
Una confianza de dominio es una relación establecida entre dos dominios que
permite a un controlador de dominio autenticar a los usuarios de otro dominio.
Todas las relaciones de confianza entre dominios tienen lugar entre dos dominios: el dominio que confía y el dominio en el que se confía.
13
Manual del Alumno
En la primera ilustración, las confianzas se indican mediante una fecha, que señala al dominio en el que se confía.
En versiones anteriores de Windows, las confianzas se limitaban a los dos dominios
implicados en la confianza y la relación de confianza era de un solo sentido. En
Windows 2000, todas las confianzas son transitivas y de dos sentidos. Los dominios de una relación de confianza confían el uno en el otro de forma automática.
Como se muestra en la ilustración, esto supone
que si el dominio A confía en el dominio B y éste
confía en el dominio C, los usuarios del dominio C,
cuando se les concedan los permisos
correspondientes, podrán tener acceso a los recursos del dominio A.
Nota
Cuando un controlador de dominio autentica a un
usuario, no implica el acceso a ningún recurso de
ese dominio. Esto sólo viene determinado por los derechos y permisos que el
administrador del dominio concede a la cuenta de usuario para el dominio que confía.
Unidades organizativas
Un tipo de objeto de directorio especialmente útil contenido en los dominios es la
unidad organizativa. Las unidades organizativas son contenedores de Active
Directory en los que puede colocar usuarios, grupos, equipos y otras unidades
organizativas. Una unidad organizativa no puede contener objetos de otros dominios.
Una unidad organizativa es el ámbito o unidad más pequeña a la que se pueden
asignar configuraciones de Directiva de grupo o en la que se puede delegar la
14
Manual del Alumno
autoridad administrativa. Con las unidades organizativas, puede crear contenedores
dentro de un dominio que representan las estructuras lógicas y jerárquicas
existentes dentro de una organización. Esto permite administrar la configuración y el uso de cuentas y recursos en función de su modelo organizativo.
Como se muestra en la ilustración, las unidades organizativas pueden contener
otras unidades organizativas. La jerarquía de contenedores se puede extender
tanto como sea necesario para modelar la jerarquía de la organización dentro de un
dominio. Las unidades organizativas le ayudarán a disminuir el número de dominios requeridos para una red.
Puede utilizar unidades organizativas para crear un modelo administrativo que se
puede ampliar a cualquier tamaño. A un usuario se le puede conceder autoridad
administrativa sobre todas las unidades organizativas de un dominio o sobre una
sola de ellas. El administrador de una unidad organizativa no necesita tener
autoridad administrativa sobre cualquier otra unidad organizativa del dominio.
¿Qué es el Directorio Activo?
15
Manual del Alumno
En el contexto de una red de equipos, un directorio (también denominado almacén
de datos) es una estructura jerárquica que almacena información acerca de los
objetos de la red. Los objetos incluyen recursos compartidos como servidores,
volúmenes compartidos e impresoras, cuentas de usuarios y equipos, así como
dominios, aplicaciones, servicios, políticas de seguridad y cualquier elemento de la
red.
La diferencia entre un servicio de directorio y un directorio es que se refiere tanto al
origen de información del directorio como a los servicios que posibilitan que la
información esté disponible y al alcance de los administradores, los usuarios, los
servicios de red y las aplicaciones. En una situación ideal, un servicio de directorio
hace que la topología de la red física y los protocolos (formatos para transmitir
datos entre dos dispositivos) sean transparentes, de modo que un usuario pueda
tener acceso a cualquier recurso sin saber dónde ni cómo está conectado
físicamente.
El Directorio Activo sólo se ejecuta en controladores de dominio. El Directorio
Activo, además de proporcionar un lugar para almacenar datos y servicios para que
estén disponibles dichos datos, también protege los objetos de la red frente al
acceso no autorizado y los replica a través de una red para que no se pierdan datos
si se produce un error en un controlador de dominio. Por ejemplo, el Directorio
Activo almacena información acerca de las cuentas de usuario (nombres,
contraseñas, números de teléfono, etc.) y permite que otros usuarios autorizados de la misma red tengan acceso a esa información.
Objetos del Directorio Activo
16
Manual del Alumno
Los objetos son las unidades básicas del Directorio Activo. El Directorio Activo
almacena información acerca de cada uno de los objetos de la red. Los objetos
están formados por un conjunto único de atributos con nombre que representa
algo concreto como un usuario, una impresora, un equipo o una aplicación. Los
atributos son las características del objeto; por ejemplo, una impresora de red es
un objeto y entre sus atributos se incluyen su ubicación, si puede imprimir o no en color y su capacidad en trabajos de impresión.
Dado a que el Directorio Activo representa todos los recursos de la red como
objetos - incluyendo servidores, dominios y sitios - en una base de datos
distribuida, un administrador puede centralizadamente manejar y administrar estos recursos.
El Esquema
El esquema del Directorio Activo es el conjunto de definiciones que describen las
clases de objetos y los tipos de información acerca de dichos objetos que se pueden
almacenar en el Directorio Activo. En Windows 2000 sólo existe un esquema para
un bosque, de tal forma que todos los objetos creados en el Directorio Activo se basan el las mismas reglas.
Hay dos tipos de definiciones en el esquema: atributos y clases. Los atributos y las clases también se conocen como objetos del esquema o metadatos.
Los atributos se definen independientemente de las clases. Cada atributo sólo se
define una vez y se puede utilizar en múltiples clases. Por ejemplo, el atributo
Descripción se utiliza en muchas clases, pero se define una vez en el esquema, lo que asegura la coherencia.
Las clases, también conocidas como clases de objetos, describen los posibles
objetos del directorio que se pueden crear. Cada clase es una colección de
atributos. Al crear un objeto, los atributos almacenan la información que describe el
objeto. La clase Usuario, por ejemplo, está compuesta de muchos atributos, entre
ellos el First Name, Last Name, User Logon Name, etc. Cada objeto en el Directorio Activo es una instancia de una clase de objeto.
17
Manual del Alumno
El Directorio Activo almacena el esquema, lo cuál significa que el esquema:
Está disponible dinámicamente por las aplicaciones de usuario, permitiendo que las
aplicaciones puedan leer el esquema y descubrir que objetos y propiedades se encuentran disponibles.
Puede ser modificado dinámicamente, permitiendo que una aplicación extienda el
esquema con nuevos objetos y atributos, y utilizar dichas extensiones inmediatamente.
Puede hacer uso de las lista de control de acceso discrecional (DACLs) para
proteger todos los objetos y sus atributos, permitiendo sólo a usuarios autorizados realizar modificaciones en el esquema.
Estructura Lógica del Directorio Activo
El Directorio Activo incluye uno o varios dominios, cada uno con uno o varios
controladores de dominio, lo que permite escalar el directorio para satisfacer
cualquier requisito de la red. En un árbol de dominios se pueden combinar múltiples
dominios y múltiples árboles de dominios se pueden combinar en un bosque.
Agregar dominios al directorio permite dividirlo según directivas diferentes y ampliarlo para acomodar un gran número de recursos y objetos.
Los componentes lógicos de la estructura del Directorio Activo incluyen:
Dominios.
Unidades Organizativas.
Árboles y Bosques.
El Catálogo Global.
Dominio (Domain)
Un dominio es una frontera de seguridad. El Directorio Activo esta formado de uno
o varios dominios, cada uno de los cuales tiene sus propias directivas de seguridad
y relaciones de confianza con otros dominios.. Los objetos y las unidades
organizativas existen dentro de un dominio; por tanto, un dominio de Windows 2000 puede contener equipos, cuentas de usuario y grupos.
18
Manual del Alumno
Los dominios ofrecen varias ventajas:
Las directivas y la configuración de seguridad (como los derechos administrativos y las listas de control de accesos) no pueden pasar de un dominio a otro.
Al delegar la autoridad administrativa en dominios o unidades organizativas
desaparece la necesidad de tener varios administradores con autoridad
administrativa global.
Los dominios ayudan a estructurar la red de forma que refleje mejor la organización.
Cada dominio almacena solamente la información acerca de los objetos que se
encuentran ubicados en ese dominio. Al crear particiones en el directorio de esa
manera, el Directorio Activo puede ampliarse y llegar a contener una gran cantidad
de objetos.
Los dominios son las unidades de replicación. Todos los controladores de dominio
de un dominio determinado pueden recibir cambios y replicarlos a los demás controladores del dominio.
A diferencia de las versiones anteriores de Windows NT, todos los controladores de
dominio de Windows 2000 mantienen una copia del Directorio Activo que se puede
modificar. Además, ya no hay distinción entre los controladores principales de
dominio y los controladores de reserva. En Windows 2000, todos los controladores de dominio son del mismo nivel.
Un único dominio puede abarcar varias ubicaciones físicas distintas o sitios. Al
utilizar un solo dominio se simplifican mucho las tareas administrativas. Se puede
combinar los dominios en estructuras denominadas árboles y bosques.
Unidades Organizativas (OUs)
Las unidades organizativas (organizational unit - OU) son contenedores del
Directorio Activo en los que puede colocar usuarios, grupos, equipos y otras
19
Manual del Alumno
unidades organizativas. Una unidad organizativa no puede contener objetos de
otros dominios.
Una unidad organizativa es el ámbito o unidad más pequeña a la que se pueden
asignar configuraciones de directiva de grupo o en la que se puede delegar la
autoridad administrativa. Con las unidades organizativas, puede crear contenedores
dentro de un dominio que representan las estructuras lógicas y jerárquicas
existentes dentro de una organización. Esto permite administrar la configuración y el uso de cuentas y recursos en función de su modelo organizativo.
Como se muestra en la ilustración, las unidades organizativas pueden contener
otras unidades organizativas. La jerarquía de contenedores se puede extender
tanto como sea necesario para modelar la jerarquía de la organización dentro de un
dominio. Las unidades organizativas le ayudarán a disminuir el número de dominios requeridos para una red.
Puede utilizar unidades organizativas para crear un modelo administrativo que se
puede ampliar a cualquier tamaño. A un usuario se le puede conceder autoridad
administrativa sobre todas las unidades organizativas de un dominio o sobre una
sola de ellas. El administrador de una unidad organizativa no necesita tener autoridad administrativa sobre cualquier otra unidad organizativa del dominio.
Árboles de Dominios
20
Manual del Alumno
Un árbol de dominios es una organización jerárquica de dominios Windows 2000. El
primer dominio de un árbol de dominio se denomina dominio raíz. Los dominios
adicionales del mismo árbol de dominio son dominios secundarios. Un dominio que
se encuentra inmediatamente encima de otro dominio del mismo árbol se denomina dominio principal del dominio secundario.
Todos los dominios que comparten el mismo dominio raíz forman un espacio de
nombres contiguo. Esto significa que el nombre de un dominio secundario consta
del nombre de ese dominio secundario más el nombre del dominio principal. En
esta ilustración, secundario.techsil.com es un dominio secundario de techsil.com y
es el dominio principal de terciario.secundario.techsil.com. El dominio techsil.com
es el dominio principal de secundario.techsil.com. Además, es el dominio raíz de este árbol de dominio.
Los dominios de Windows 2000 que forman parte de un árbol están unidos entre sí
mediante relaciones de confianza transitivas y bidireccionales. Esto significa que un
dominio de Windows 2000 recién creado en un bosque o árbol de dominio tiene
establecidas inmediatamente relaciones de confianza con todos los demás dominios
de Windows 2000 en ese bosque o árbol de dominio. Estas relaciones de confianza
permiten que un único proceso de inicio de sesión sirva para autenticar a un
usuario en todos los dominios del bosque o del árbol de dominio. Sin embargo, esto
no significa que el usuario, una vez autenticado, tenga permisos y derechos en
todos los dominios del árbol de dominio. Dado que un dominio es un límite de seguridad, los derechos y permisos deben asignarse para cada dominio.
Bosques (Forest)
Un bosque está formado por varios árboles de dominio. Los árboles de dominio de
un bosque no constituyen un espacio de nombres contiguo. Por ejemplo, aunque
dos árboles de dominio (techsil.com y infotech.com) pueden tener ambos un
dominio secundario denominado "soporte", los nombres DNS de esos dominios
secundarios serán soporte.techsil.com y soporte.infotech.com. Es evidente que en
este caso no existe un espacio de nombres contiguo.
21
Manual del Alumno
Sin embargo, un bosque no tiene ningún dominio raíz propiamente dicho. El
dominio raíz del bosque es el primer dominio que se creó en el bosque. Los
dominios raíz de todos los árboles de dominio del bosque establecen relaciones de
confianza transitivas con el dominio raíz del bosque. En la ilustración, techsil.com
es el dominio raíz del bosque. Los dominios raíz de los otros árboles de dominio
(infotech.com) tienen establecidas relaciones de confianza transitivas con
techsil.com. Estas relaciones de confianza son necesarias para poder establecer otras entre todos los árboles de dominio del bosque.
Todos los dominios de Windows 2000 de todos los árboles de dominio de un bosque comparten las siguientes características:
Relaciones de confianza transitivas entre los dominios
Relaciones de confianza transitivas entre los árboles de dominio
Un esquema común
Información de configuración común Un catálogo global común
Al utilizar bosques y árboles de dominio se obtiene la flexibilidad que ofrecen los
sistemas de espacios de nombres contiguos y no contiguos. Esto puede ser útil, por
ejemplo, en el caso de compañías que tienen divisiones independientes que
necesitan conservar sus propios nombres DNS.
Relaciones de Confianza entre Dominios
Una confianza de dominio es una relación establecida entre dos dominios que
permite a un controlador de dominio autenticar a los usuarios de otro dominio.
Todas las relaciones de confianza entre dominios tienen lugar entre dos dominios: el dominio que confía y el dominio en el que se confía.
22
Manual del Alumno
En la primera ilustración, las confianzas se indican mediante una fecha, que señala al dominio en el que se confía.
En versiones anteriores de Windows, las confianzas se limitaban a los dos dominios
implicados en la confianza y la relación de confianza era de un solo sentido. En
Windows 2000, todas las confianzas son transitivas y de dos sentidos. Los dominios de una relación de confianza confían el uno en el otro de forma automática.
Como se muestra en la ilustración, esto supone que si el dominio A confía en el
dominio B y éste confía en el dominio C, los usuarios del dominio C, cuando se les
concedan los permisos correspondientes, podrán tener acceso a los recursos del dominio A.
Nota
Cuando un controlador de dominio autentica a un usuario, no implica el acceso a
ningún recurso de ese dominio. Esto sólo viene determinado por los derechos y
permisos que el administrador del dominio concede a la cuenta de usuario para el dominio que confía.
El Catálogo Global
De forma predeterminada, en el controlador de dominio inicial del bosque se crea
automáticamente un catálogo global. Este controlador de dominio almacena una
réplica completa de todos los objetos del directorio de su dominio y una réplica
parcial de todos los objetos contenidos en el directorio de cada uno de los demás dominios del bosque.
23
Manual del Alumno
La réplica es parcial ya que almacena algunos, pero no todos, de los valores de
propiedades de cada objeto del bosque. El catálogo global realiza dos funciones de directorio principales:
Permite el inicio de sesión en la red al proporcionar información de pertenencia a
grupos universales a un controlador de dominio cuando comienza un proceso de
inicio de sesión.
Permite encontrar información del directorio con independencia de cuál sea el dominio que contiene realmente los datos.
Cuando un usuario inicia la sesión en la red, el catálogo global proporciona
información de pertenencia a grupos universales para la cuenta que envía la
solicitud de inicio de sesión al controlador de dominio. Si sólo hay un controlador de
dominio en el dominio, el controlador de dominio y el catálogo global serán el
mismo servidor. Si hay múltiples controladores de dominio en la red, el catálogo
global se guarda en el controlador de dominio configurado como tal. Si no hay
disponible un catálogo global cuando un usuario inicia el proceso de inicio de sesión
en la red, el usuario sólo podrá conectarse al equipo local.
Importante
Si un usuario pertenece al grupo Administradores de dominio, podrá iniciar la sesión en la red aunque no esté disponible un catálogo global.
En un bosque que contiene muchos dominios, el catálogo global permite que los
usuarios efectúen búsquedas en todos los dominios de forma rápida y sencilla, sin
tener que buscar en cada dominio individualmente. El catálogo global hace que las
estructuras del directorio dentro de un bosque sean transparentes para los usuarios finales que buscan información.
El catálogo global es una base de datos que se mantiene en uno o varios
controladores de dominio. De forma predeterminada, se crea automáticamente un
catálogo global en el controlador de dominio inicial del bosque de Windows 2000 y
cada bosque debe tener al menos un catálogo global. Si utiliza varios sitios, es
recomendable que asigne un controlador de dominio de cada sitio como catálogo
global, ya que es necesario tener un catálogo global (que determina la pertenencia
a grupos de una cuenta) para llevar a cabo el proceso de autenticación del inicio de
sesión. Esto se refiere a un dominio de modo nativo. Los dominios de modo mixto no requieren una consulta al catálogo global para realizar el inicio de sesión.
Directorio Activo define un conjunto básico de atributos para cada objeto del
directorio. Cada objeto y algunos de sus atributos (como la pertenencia a grupos
universales) se almacenan en el catálogo global. Con el Esquema del Directorio
Activo, puede especificar los atributos adicionales que desea que se mantengan en
24
Manual del Alumno
el catálogo global. Sin embargo, al agregar un atributo nuevo al catálogo global se
produce una sincronización total de todos los atributos de objetos almacenados en
el catálogo global (para todos los dominios del bosque). En un bosque grande con
múltiples dominios, esta sincronización puede ocasionar un tráfico considerable en
la red.
Estructura Física del Directorio Activo
La estructura lógica del Directorio Activo es diferente a su estructura física. La
estructura lógica se utiliza para organizar los recursos de la red, mientras que la
estructura física permite configurar y administrar el tráfico de la red. Los
Controladores de Dominios y los Sitios conforman la estructura física del Directorio
Activo.
Controladores de dominio
Un controlador de dominio es un equipo donde se ejecuta Windows 2000 Server
donde se almacenan datos del directorio y administran las interacciones entre el
usuario y el dominio, como los procesos de inicio de sesión, la autenticación y las
búsquedas de directorio.
Un dominio puede tener uno o varios controladores de dominio. Una organización
de pequeño tamaño que utiliza una sola red de área local (LAN) es posible que
solamente necesite un dominio con dos controladores de dominio para obtener la
mayor disponibilidad y tolerancia a los errores. Una organización grande con
muchas ubicaciones de red necesitará uno o varios controladores de dominio en cada ubicación para el mismo fin.
Replicación de múltiples maestros
25
Manual del Alumno
Los controladores de dominio del Directorio Activo admiten la replicación de
múltiples maestros, con lo que se sincronizan los datos en cada controlador y se
asegura la coherencia de la información con el paso del tiempo. La replicación de
múltiples maestros replica la información del Directorio Activo entre controladores
de dominio homólogos, cada uno de los cuales contiene una copia de lectura y escritura del directorio.
Esto representa un cambio con relación al sistema operativo Windows NT Server,
en el que sólo el PDC tenía una copia de lectura y escritura del directorio (los BDC
recibían copias de sólo lectura del PDC). Una vez configurada, la replicación es
automática y transparente.
El Directorio Activo admite la replicación con múltiples servidores principales de
datos del directorio entre todos los controladores de dominio del dominio. La
replicación con múltiples servidores principales de Windows 2000 Server sincroniza
los datos del directorio de cada controlador de dominio, lo que asegura la
coherencia de la información a lo largo del tiempo.
Funciones de los maestros de operaciones
La replicación de múltiples maestros en controladores de dominio homólogos no
resulta práctica para algunos tipos de cambios, por lo que sólo un controlador de
dominio, denominado maestro de operaciones, acepta solicitudes para dichos
cambios. Como la replicación de múltiples maestros desempeña una función
fundamental en una red basada en el Directorio Activo, es importante saber cuáles
son estas excepciones. En cualquier bosque del Directorio Activo, hay al menos
cinco funciones diferentes de servidor principal de operaciones que se asignan a uno o varios controladores de dominio.
Cuando crea el primer dominio en un bosque nuevo, las cinco funciones del único
maestro de operaciones se asignan automáticamente al primer controlador de dicho
dominio. En un bosque pequeño del Directorio Activo con sólo un dominio y un
controlador de dominio, dicho controlador sigue teniendo todas las funciones del
maestro de operaciones.
En una red mayor, con uno o varios dominios, se pueden asignar estas funciones a
uno o varios controladores de dominio. Algunas funciones deben aparecer en todos los bosques. Otras funciones deben aparecer en cada dominio del bosque.
Sitios (Sites)
Se puede pensar en un sitio de Windows 2000 como un conjunto de equipos en
una o varias subredes IP conectadas mediante tecnologías de red de área local
(LAN) o como un conjunto de varias redes LAN conectadas mediante una red
troncal de alta velocidad (backbone). Los equipos de un único sitio necesitan estar
bien conectados, lo cual suele ser una característica de los equipos dentro de una
subred. Por el contrario, los sitios independientes se conectan mediante un vínculo
que es más lento que la LAN.
26
Manual del Alumno
En el sistema operativo Windows 2000, los sitios proporcionan los siguientes servicios:
Los clientes pueden solicitar servicios de un controlador de dominio en el mismo sitio (si hay alguno).
El Directorio Activo intenta reducir al mínimo la latencia en la replicación dentro del sitio.
El Directorio Activo intenta reducir al mínimo el consumo de ancho de banda en la
replicación entre sitios.
Los sitios permiten programar la replicación entre sitios.
Los usuarios y los servicios deben poder tener acceso a la información del directorio
en cualquier momento desde cualquier equipo del bosque. Para que esto sea
posible, las incorporaciones, modificaciones y eliminaciones de datos del directorio
se deben transmitir (replicar) desde el controlador de dominio de origen a otros
controladores del bosque. Sin embargo, hay que sopesar la necesidad de distribuir
la información del directorio frente a la necesidad de optimizar el rendimiento de la red.
Es importante comprender que los sitios son independientes de los dominios. Los
sitios reflejan la estructura física de la red, mientras que los dominios (si se utilizan
varios) normalmente reflejan la estructura lógica de la organización. Las
estructuras lógica y física son independientes entre sí, lo que tiene las siguientes consecuencias:
No hay una conexión necesaria entre espacios de nombres de sitios y dominios.
No hay una correlación necesaria entre la estructura física de la red y su estructura
de dominios. Sin embargo, en muchas organizaciones los dominios se configuran
para reflejar la estructura física de la red. Esto se debe a que los dominios son
particiones y este hecho influye en la replicación: al dividir el bosque en varios dominios más pequeños se puede reducir el tráfico de replicación.
27
Manual del Alumno
El Directorio Activo permite que aparezcan varios dominios en un único sitio y que
un único dominio aparezca en varios sitios.
28
Manual del Alumno
Introducción a los grupos
Grupos muestra todos los grupos integrados y los grupos que cree. Los grupos
integrados se crearán automáticamente al instalar Windows 2000. Pertenecer a un
grupo proporciona al usuario derechos y capacidades para realizar varias tareas en
el equipo.
Administradores
Los miembros del grupo Administradores tienen control total sobre el equipo. Sólo a
este grupo integrado se conceden automáticamente todos los derechos y capacidades integradas del sistema.
Operadores de copia de seguridad
Los miembros del grupo Operadores de copia pueden hacer copias de seguridad y
restaurar archivos en el equipo, independientemente de los permisos que protejan
dichos archivos. También pueden iniciar sesión en el equipo y cerrarlo, pero no
pueden cambiar la configuración de seguridad.
Usuarios avanzados
Los miembros del grupo Usuarios avanzados pueden crear cuentas de usuario pero
únicamente pueden modificar y eliminar las cuentas que creen. Pueden crear
grupos locales y quitar usuarios de los grupos locales que hayan creado. También pueden quitar usuarios de los grupos Usuarios avanzados, Usuarios e Invitados.
No pueden modificar los grupos Administradores u Operadores de copia de
seguridad, ni pueden tomar la posesión de archivos, copiar o restaurar directorios,
cargar o descargar controladores de dispositivo ni administrar los registros de auditoría y seguridad.
Usuarios
Los miembros del grupo Usuarios pueden realizar las tareas más habituales, como
ejecutar aplicaciones, utilizar impresoras locales y de red, y cerrar y bloquear la
estación de trabajo. Pueden crear grupos locales pero únicamente pueden modificar
SEMANA 4
Administración de Grupos
Objetivos:
Al finalizar este capítulo:
El participante comprenderá la administración de grupos
Comprender los fundamentos de permisos NTFS
29
Manual del Alumno
los grupos locales que hayan creado. No pueden compartir directorios ni crear
impresoras locales.
Invitados
El grupo Invitados permite a los usuarios ocasionales o a los usuarios de una sola
vez iniciar sesión con una cuenta de Invitado integrada en la estación de trabajo y
permite que se les concedan capacidades limitadas. Los miembros del grupo Invitados también pueden cerrar el sistema.
Replicador
El grupo Replicador es compatible con las funciones de replicación de directorios. El
único miembro del grupo Replicador debe ser una cuenta de usuario de dominio
que se utilice para iniciar los servicios Replicador del controlador de dominio. No agregue a este grupo las cuentas de usuario de los usuarios reales.
Para crear un grupo local nuevo
Abra Administración de equipos.
En el árbol de la consola, en Usuarios locales y grupos, haga clic en Grupos.
Haga clic en Acción y después en Grupo nuevo.
En Nombre de grupo, escriba un nombre para el nuevo grupo.
En Descripción, escriba la descripción del nuevo grupo.
Realice una de las acciones siguientes:
Para crear otro grupo, haga clic en Crear y repita los pasos 2 y 3.
Para finalizar, haga clic en Crear y después en Cerrar
Notas
Para abrir Administración de equipos, haga clic en Inicio, seleccione
Configuración y, a continuación, haga clic en Panel de control. Haga doble clic
en Herramientas administrativas y, a continuación, doble clic en Administración de equipos.
Para agregar uno o más usuarios al nuevo grupo, después del paso 3 haga clic en
Agregar.
El nombre de un grupo local no puede coincidir con ningún otro nombre de grupo o
de usuario del equipo que se está administrando. Puede contener hasta 256 caracteres, en mayúsculas o minúsculas, excepto los siguientes:
" / [ ] : ; | = , + * ? < >
30
Manual del Alumno
Un nombre de grupo no puede contener sólo puntos (.) o espacios en blanco.
Elegir entre NTFS, FAT y FAT32
Puede elegir entre tres sistemas de archivos diferentes para las particiones de disco
en un equipo que ejecuta Windows 2000 Advanced Server: NTFS, FAT y FAT32. El
sistema recomendado es NTFS. FAT y FAT32 son similares entre sí, excepto en que
FAT32 está diseñado para discos de mayor tamaño que FAT. (El sistema de archivos que funciona mejor con discos de gran tamaño es NTFS).
NTFS siempre ha sido un sistema de archivos más eficaz que FAT y FAT32.
Windows 2000 Advanced Server incluye una versión nueva de NTFS, con
compatibilidad para una gran variedad de características, incluido Active Directory,
que es necesario para los dominios, cuentas de usuario y otras características de seguridad importantes.
El programa de instalación facilita la conversión de la partición a la nueva versión
de NTFS, incluso si antes utilizaba FAT o FAT32. Este tipo de conversión mantiene
intactos los archivos (a diferencia de cuando se da formato a una partición). Si no
necesita mantener intactos los archivos y dispone de una partición FAT o FAT32, se
recomienda que dé formato a la partición con NTFS en lugar de convertirla desde
FAT o FAT32. El hecho de dar formato a una partición borra todos los datos de la
partición, pero una partición a la que se da formato con NTFS en vez de convertirla desde FAT o FAT32 tendrá menos fragmentación y mejor rendimiento.
Sin embargo, sigue siendo más ventajoso utilizar NTFS,
Nota
Únicamente puede utilizar características importantes como Active Directory y la seguridad basada en dominios si elige NTFS como el sistema de archivos.
Existe una situación en la que es posible que desee seleccionar FAT o FAT32 como
sistema de archivos. Si es necesario disponer de un equipo que a veces ejecute un
sistema operativo de una versión anterior y otras veces ejecute Windows 2000,
deberá tener una partición FAT o FAT32 como partición principal (o de inicio) en el
disco duro. Esto se debe a que los sistemas operativos anteriores, con una
excepción, no pueden tener acceso a una partición si utiliza la última versión de
NTFS. La única excepción es Windows NT versión 4.0 con Service Pack 4 o
posterior, que tiene acceso a particiones con la última versión de NTFS, pero con
algunas limitaciones. Windows NT 4.0 no puede tener acceso a archivos que se han
almacenado mediante características de NTFS que no existían cuando se publicó Windows NT 4.0.
Sin embargo, para cualquier otra situación en la que no existan varios sistemas operativos, el sistema de archivos recomendado es NTFS.
La tabla siguiente describe la compatibilidad de cada sistema de archivos con varios
sistemas operativos.
NTFS FAT FAT32
Un equipo que ejecuta Windows 2000
puede tener acceso a los archivos de una
Es posible tener acceso
a través de MS-DOS,
Es posible tener
acceso a través de
31
Manual del Alumno
partición NTFS. Un equipo que ejecuta
Windows NT 4.0 con Service Pack 4 o
posterior puede tener acceso a algunos
archivos. Otros sistemas operativos no
permiten el acceso.
todas las versiones de
Windows, Windows NT,
Windows 2000 y OS/2.
Windows 95 OSR2,
Windows 98 y
Windows 2000.
La tabla siguiente compara el disco y los posibles tamaños de archivo con cada
sistema de archivos.
NTFS FAT FAT32
El tamaño mínimo de volumen
recomendado es aproximadamente de
10 MB.
El tamaño máximo del volumen
recomendado en la práctica es de 2 TB
(terabytes). Son posibles tamaños mucho mayores.
No puede utilizarse en disquetes.
Volúmenes del
tamaño del disco
hasta 4 GB.
No admite
dominios.
Volúmenes entre 512 MB y 2 TB.
En Windows 2000,
únicamente puede dar
formato a un volumen
FAT32 hasta 32 GB.
No admite dominios.
Tamaño del archivo limitado
únicamente por el tamaño del volumen.
Tamaño máximo
de archivo de 2
GB.
Tamaño máximo de
archivo de 4 GB.
Permisos explícitos y heredados
Hay dos tipos de permisos: permisos explícitos y permisos heredados.
Los permisos explícitos
Son aquellos que se asignan directamente a un objeto, bien cuando se crea o
mediante la acción de un usuario. Por ejemplo, si crea una carpeta llamada Programas, los permisos asignados a esta carpeta serán permisos explícitos.
Los permisos heredados
Son los que se propagan a un objeto desde un objeto primario. Los permisos
heredados facilitan la tarea de administrar permisos y asegurar su coherencia entre
todos los objetos de un contenedor determinado.
De forma predeterminada, los objetos de un contenedor heredan los permisos
desde ese contenedor cuando se crean los objetos. Por ejemplo, cuando crea la
carpeta Programas, todas las subcarpetas y archivos creados en la carpeta
Programas heredan de forma automática los permisos de la carpeta. De esta
manera, la carpeta Programas tiene permisos explícitos, mientras que las subcarpetas y los archivos heredan los permisos.
Cómo afecta la herencia a los permisos de archivos y carpetas
Después de configurar los permisos en una carpeta principal, los archivos y
subcarpetas nuevos creados en la carpeta heredan los permisos. Si no desea que
los hereden, active Sólo esta carpeta en Aplicar en cuando configure los permisos
especiales para la carpeta principal. Cuando desee evitar que sólo algunos archivos
32
Manual del Alumno
o subcarpetas hereden los permisos, haga clic con el botón secundario del mouse
(ratón) en el archivo o subcarpeta, haga clic en Propiedades, haga clic en la ficha
Seguridad y, a continuación, desactive la casilla de verificación Hacer posible que los permisos heredables del principal se propaguen a este objeto.
Si las casillas de verificación están sombreadas, el archivo o carpeta ha heredado
los permisos de la carpeta principal. Hay tres modos de realizar cambios en los
permisos heredados:
Realice los cambios en la carpeta principal y el archivo o la carpeta heredarán estos permisos.
Seleccione el permiso contrario (Permitir o Denegar) para suplantar el permiso heredado.
Desactive la casilla de verificación Hacer posible que los permisos heredables del
principal se propaguen a este objeto. Ahora puede realizar los cambios en los
permisos o quitar usuarios o grupos de la lista de permisos. Sin embargo, el archivo o la carpeta no heredarán los permisos de la carpeta principal.
Si no se activa ni Permitir ni Denegar para un permiso, es posible que el grupo o
usuario hayan obtenido el permiso a través de la pertenencia al grupo. Si el grupo o
usuario no han obtenido el permiso a través de la pertenencia a otro grupo, se le
deniega implícitamente el permiso al grupo o usuario. Para permitir o denegar el permiso de forma explícita, haga clic en la casilla de verificación correspondiente.
Para definir, ver, cambiar o quitar permisos de archivos y carpetas
Abra el Explorador de Windows y, a continuación, busque el archivo o carpeta para los que desea definir permisos.
Haga clic con el botón secundario del mouse (ratón) en el archivo o carpeta, haga clic en Propiedades y, a continuación, en la ficha Seguridad.
Realice una de las acciones siguientes:
Para definir permisos de un grupo o usuario nuevo, haga clic en Agregar. Escriba el
nombre del grupo o usuario para el que desee definir permisos para utilizar el
formato nombre De Dominio/nombre y, a continuación, haga clic en Aceptar para cerrar el cuadro de diálogo.
Para cambiar o quitar permisos de un grupo o usuario existentes, haga clic en el nombre del grupo o usuario.
En Permisos, haga clic en Permitir o Denegar para cada permiso que desee permitir
o denegar. O bien, para quitar el grupo o usuario de una lista de permisos, haga clic en Quitar.
Notas
Para abrir el Explorador de Windows, haga clic en Inicio, seleccione Programas, Accesorios y, a continuación, haga clic en Explorador de Windows.
33
Manual del Alumno
Es posible definir los permisos de archivos y carpetas sólo en las unidades con
formato para utilizar NTFS.
Para cambiar los permisos, debe ser el propietario o haber obtenido permiso del propietario para hacerlo.
Los grupos o usuarios a los que se ha otorgado control total en una carpeta pueden
eliminar archivos o subcarpetas de esa carpeta independientemente de los permisos que protegen a los archivos y subcarpetas.
Si las casillas de verificación en Permisos están sombreadas o si el botón Quitar no
está disponible, el archivo o carpeta ha heredado los permisos de la carpeta principal.
Permisos de archivo
Entre los permisos de archivo se incluyen Control total, Modificar, Leer y ejecutar,
Leer y Escribir. Cada uno de estos permisos se compone de un grupo lógico de
permisos especiales. La tabla siguiente enumera cada permiso de archivo y
especifica los permisos especiales asociados con el permiso.
Permisos especiales Control
total Modificar
Leer y
ejecutar Leer Escribir
Recorrer carpeta o ejecutar
archivo x x x
Enumerar carpeta o leer
datos x x x x
Leer atributos x x x x
Leer atributos extendidos x x x x
Crear archivos o escribir
datos x x x
Crear carpetas o agregar
datos x x x
Escribir atributos x x x
Escribir atributos extendidos x x x
Eliminar subcarpetas y
archivos x
Eliminar x x
Leer permisos x x x x x
Cambiar permisos x
Tomar posesión x
Sincronizar x x x x x
Notas
34
Manual del Alumno
Los grupos o usuarios a los que se otorgó el permiso Control total en una carpeta
pueden eliminar cualquier archivo de esa carpeta independientemente de los permisos que protejan a ese archivo.
Si desea más información acerca de cómo configurar permisos y las descripciones de cada permiso especial, consulte los temas relacionados.
Permisos de carpeta
Entre los permisos de carpeta se incluyen Control total, Modificar, Leer y ejecutar,
Enumerar contenido de carpeta, Leer y Escribir. Cada uno de estos permisos se
compone de un grupo lógico de permisos especiales. La tabla siguiente enumera
cada permiso de carpeta y especifica los permisos especiales asociados con el permiso.
Permisos
especiales
Control
total Modificar
Leer y
ejecutar
Enumerar contenido
de carpeta Leer Escribir
Recorrer carpeta o
ejecutar archivo x x x x
Enumerar carpeta
o leer datos x x x x x
Leer atributos x x x x x
Leer atributos
extendidos x x x x x
Crear archivos o
escribir datos x x x
Crear carpetas o
agregar datos x x x
Escribir atributos x x x
Escribir atributos
extendidos x x x
Eliminar
subcarpetas y
archivos
X
Eliminar X x
Leer permisos X x x x x x
Cambiar permisos X
Tomar posesión X
Sincronizar X x x x x x
Notas
Aunque los permisos Enumerar contenido de carpeta y Leer y ejecutar parecen
tener los mismos permisos especiales, se heredan de forma diferente. El permiso
Enumerar contenido de carpeta lo heredan las carpetas y no lo heredan los
archivos, y debería aparecer sólo cuando se ven los permisos de carpeta. El
permiso Leer y ejecutar lo heredan los archivos y las carpetas, y siempre está presente cuando se ven los permisos de archivo o carpeta.
35
Manual del Alumno
36
Manual del Alumno
DNS (Sistema de Nombre de Dominios)
Es una base de datos distribuida que se usa en las redes TCP/IP para traducir los nombres de computadoras(nombres de host) a las direcciones IP.
La resolución de nombres de DNS es diferente a la resolución de nombres que proporciona WINS.WINS resuelve los nombres de NetBIOS a las direcciones IP.Los nombres IP de host que se resuelven usandoDNS resuelve los nombres IP de los host a las direcciones IP.
El espacio de nombres de dominio
El espacio de nombres de dominio es el esquema e denominación que proporciona la estructura jerarquica a la base de datos de DNS.Cada nodo representa una partición de la base de datos de DNS.Estos nodos se denominan dominios.
La base de datos de DNS está ordenada por nombre;por tanto, cada dominio debe tener un nombre.cuando se añaden dominios a la jerarquía,el nombre del dominio padre se añade al dominio del hijo (llamado subdominio).Por lo tanto,el nombre de un dominio identifica su posición en la jerarquía.
El dominio raíz
El dominio raíz se encuentra en el punto más alto de la jerarquía y se representa como un punto(.).El dominio raíz de Internet es gestionado por varias organizaciones,incluyendo Network Solutions,Inc.
Dominios del nivel superior Los dominios del nivel superior son códigos de nombres de dos o tres caracteres.Los dominios del nivel superior se clasifican por categorías como si el tipo de organización o la ubicación geografica.La siguiente tabla proporciona algunos ejemplos de los nombres del dominio del nivel superior.
Dominio del nivel superior Descripción
gov Organizaciones gubernamentales
com Organizaciones comerciales
edu Instituciones culturales
Semana 7 DNS
Objetivos:
Al finalizar este capítulo:
El participante comprenderá el Sistema de Nombres de Dominio
Comprender los fundamentos de los dominios
37
Manual del Alumno
org Organizaciones no comerciales
au Codigo de país de Australia
Dominios del segundo nivel
Las organizaciones tales como Network Solutions Inc asignan y registran los dominios del segundo nivel a individuos y organizaciones para Internet.Un dominio del segundo nivel puede contener tanto a hosts como a subdominios.Por ejemplo ,Microsoft.com puede tener computadoras tales como ftp.microsoft.com y subdominios tales como dev.microsoft.com.El subdominio dev.Microsoft.com puede contenr hosts tales como printerserver1.dev.Microsoft.com
Nombres de host
Los nombres de host se refieren a computadoras especificas de Internet o de una red privada.Por ejemplo en la fig Computer1 es un nombre de host.Un nombre de host es la parte más a la izquierda de un nombre de dominio completamente calificado (FQDN,Fully Qualified Domain Name),que describe la posición exacta de un host dentro de la jerarquia de dominios.En la figura Computer1.sales.micdrosoft.com. (incluendo el puntofinal que representa el punto final,que representa el dominio raíz) es un FQDN.DNS usa el FQDN de un host para resolver un nombre a una dirección IP.
Directrices para la denominación delos dominios
Cuando se crea un espacio de nombres de dominio,se deben tener en consideración las siguientes directrices de dominio y los convenios estándar de denominación.
Limitar el número de niveles de dominio.Normalmente ,las entradas de host de DNS deberían tener en profundiad de tres o cuatro niveles de jerarquía de DNS y no más de cinco niveles de profundidad en la jerarquía.Al aumentar el número de niveles, aumentan las tareas administrativas.
o Usar nombres únicos.Cada subdominio debe tener un nombre único dentro del dominio del padre para asegurarse de que el nombre es único en el espacio de nombres de DNS.
o Usar nombres simples
o Evita nombres de dominio muy largos
o Utilizar caracters estándares de DNS y de Unicode
Zonas
Una zona representa una porción discreta del espacio de nombres de dominio.Las zonas proporcionan una manera de repartir el espacio de nombres de dominio en secciones manejables.
Varias zonas en un espacio de nombres de dominio se utilizan para distribuir tareas administrativas a diferentes grupos.Por ejemplo ,la figura representa el espacio de nombres de microsoft,com dividido en 2 zonas.Las dos zonas permiten que un administrador gestione
38
Manual del Alumno
los dominios microsoft y sales y que otro administrador gestione el dominio development.
Una zona debe abarcar un espacio de nombres de dominio contiguo.Por ejemplo,como muestra la figura 9.11,se puede crear una zona para sales.Microsoft.com y el dominio padre microsoft.com porque estaaas zonas son contiguas.Sin embargo,no se puede crear una zona que esté formada sólo por el dominio sales.microsoft.com y el dominio development,microsoft,com debido a que estos dos dominios no son contiguos.
Servidores de nombres
Un servidor de nombres de DNS almacena el archivo de base de datos de la zona.Los servidores de nombres pueden almacenar los datos de una o varias zonas.Un servidor de nombres se dice que tiene autoridad en el espacio de nombres de dominio que abarca a la zona.
Debe haber por lo menos un servidor de nombres para cada zona .Sin embargo, una zona puede tener varios servidores de nombres asociados a ella. Uno de estos servidores contiene el archivo maestro de la base de datos de la zona, que también se denomina como el archivo principal de la base de datos,para esa zona.Los cambios en una zona, tal como la adición de dominios o de hosts, se realizan en el sevidor que contiene el archivo principal de la base de datos de la zona. Cualquier otro servidor de nombres asociado a la zona actua como copia de seguridad del servidor de nombres que contiene el archivo principal de la base de datos de la zona.
Visión general del proceso de resolución de nombres
Consulta de búsqueda directa
El servicio de DNS utiliza un modelo cliente/servidor para la resolución de nombres.Para resolver una consulta de búsqueda directa,un cliente pasa una consulta a un servidor de nombres local.El servidor de nombres local resuelve la consulta o consulta a otro servidor de nombres para resolverla.
1.- El cliente pasa una consulta de búsqueda directa para www.microsoft.com a su servidor de nombres local.
2.- El servidor de nombres local comprueba su archivo de base de datos de la zona para determinar si contiene la correspondencia entre el nombre y la dirección IP para la consulta del cliente.
3.- El servidor de nombres local envía una petición a un servidor de nombres.com que corresponde con una referencia a los servidores de nombres.com
4. El servidor de nombres local envía una petición al servidor de nombres de Microsoft.El servidor de nombres de Microsoft recibe la petición
39
Manual del Alumno
INTERNET INFORMATION SERVICES(IIS)
Intranet
Es una red LAN o WAN que basa su funcionamiento en entornos de tipo Web para el
intercambio de información.Estos servicios van desde sitios Web y correo electrónico,hasta de sesión remota FTP y Noticias.
Sitios predeterminado de IIS
IIS le permite crear su propia Intranet y el ofrece la instalación de distintos
servicios de manera predeterminada.Los cuatro servicios fundamentales que nos ofrece IIS son.
Servidor http o Web
Servidor FTP
Servidor de Correo electrónico
Servidor de noticias
http
Es un protocolo de comunicaciones que puede transportar documentos de tipo
hipertexto.tales documentos se caracterizan por tener tener relaciones hacia otros
documentos.
Protocolo de transferencia de Hipertexto(HyperTextTransferProtocol)
Al lenguaje utilizado para interpretar los hipervínculos en los documentos de
hipertexto se le conoce como lenguaje para marcar hipertexto(HTML,Hyper Text
Markup Language).Estse lenguaje ha sido utilizado por la iniciativa global de la
información de la telaraña mundial(WWW o World Wide Web) desde 1990 y esta
definido como un aplicación de la Organización Internacional de Estandares(ISO).
Sitio Web
Semana 8
Internet Information Services
Objetivos:
Al finalizar este capítulo:
El participante comprenderá el Entorno de Windows 2000 Server
Comprender los fundamentos de Instalación y configuración
40
Manual del Alumno
Al conjunto de documentos dentro de un mismo nombre de dominios se le conoce
como Sitio Web.Por supuesto se necesita un servidor http para poder crear un sitio
Web,pero no es necesario que todo el sitio esté contenido dentro de un solo
servidor.Todo sitio Web necesita una carpeta inicial bajo la cual se ubicaran todos
los archivos que deseamos publicar.Para el sitio predeterminado de IIS,la carpeta
inical se encuentra en \Inetpub\Wwwroot,en la unidad de disco donde se instalo el
sistema.Puede cambiar de ubicación de carpeta o puede crear otras carpetas iniciales que cubran sus necesidades.
Publicación del contenido de su sitio Web
Las siguientes tareas de este capitulo las realizaremos dentro de nuestro sitio web,
y estarán basadas en los sitios prdeterminados que nos ofrece IIS,esto le facilitará
la comprensión de los distintos pasos que debe seguir para crear un sitio Web desde el principio:
1.-Primero,debemos empezar por la creación de una pagina inicial para nuestro sitio Web.
2.-Guarde esta página como default.htm o Default.asp
3.-Copie su página web (pagina inicial) dentro de la carpeta Web de IIS que
también se conoce como carpeta inical. La ruta predetermianda es
\Inetpub\WWWROOT
4.- Si su red cuenta con un servidor DNS, puede tener acceso a el sitio Web
escribiendo el URL,en la barra Dirección del explorador WEB. De otra forma deberá utilizar la dirección Ip del servidor.
Cambie la carpeta inicial del servidor Web
Si desea asignar
Adición de una carpeta Virtual
Genere una carpeta virtual
Creación de un sitio Web adicional
Publique un sitio Web independiente
Varios sitios Web con una dirección IP
Varios sitios Web con direcciones Ip distintas
Administración de un sitio Web
Cree una carpeta para su publicación
DNS
El Sistema de Nombres de Dominios
DNS es una base de datos distribuida que se usa en las redes TCP/IP para traducir
los nombres de computadoras(nombres de host) a las direcciones IP.En esta
sección se explica DNS y la resolución de nombres
41
Manual del Alumno
WINS resuelve los nombres de NETBIOS a las direcciones IP mientras que DNS
resuelve los nombres de los host a las direcciones IP.
El espacio de nombres de dominios es el esquema de denominación que
proporciona la estructura jerárquica a la base de datos DNS.Cada nodo representa una partición de la base de datos de DNS.Estos nodos se denominan dominios.
Diferencias entre dominio de Active Directory y dominio DNS
El término dominio,en el contexto de DNS,tiene un significado levemente diferente
que el que tiene cuando se usa en los servicios de directorio de Microsoft Windows
2000.Un dominio de Windows 2000 es un grupo de computadoras y dispositivos
que se administran como una unidad.En DNS,un dominio es un nodo que representa una partición de la base de datos de DNS
Procedimiento para crear sitio FTP.
1.- Clic en Inicio, Programas, Herramientas administrativas, clic en Administrador de
Servicios Internet, se observa la siguiente ventana:
2.- Clic derecho el sitio ftp predeterminado, clic en el Sitio ftp, asignar la Dirección Ip.
42
Manual del Alumno
3.- Ingrese a la Dirección de Internet, escriba la siguiente Dirección.
4.- De la misma forma proceda con el Sitio Web predeterminado.
43
Manual del Alumno
5.- Haga clic en la ficha Sitio Web
6.- Observe la pagina Web predeterminado.