Win2003-39
Transcript of Win2003-39
Windows 2003Introducción
La familia Windows 2003 ServerAdministración de usuarios
Administración de gruposActive Directory
Relaciones de confianzaGPO
Administración de archivosAdministración de impresión
Copia de seguridadTerminal Server
Administración remotaConfiguración y optimización
Administración de particionesServicios de red
4
Redes peer-to-peer
Se caracterizan por:
Cada computador puede ser cliente y servidor. No se precisa de un administrador. La seguridad no es requisito indispensable. Apropiado para redes de menos de 10
computadoras. Los recursos lo comparten los propios
usuarios.
6
Redes basadas en servidor
Se caracterizan por:
Cada computador puede ser cliente y servidor. No se precisa de un administrador. La seguridad no es requisito indispensable. Apropiado para redes de menos de 10
computadoras. Los recursos lo comparten los propios
usuarios.
8
Razones para un servidor
Un servidor proporciona:
Rendimiento. Seguridad. Confiabilidad. Administración.
9
Elección del tipo de red
Tenga en cuenta:
El tamaño de la organización. El nivel de seguridad. Tipo de negocio. Soporte necesario. Tráfico de la red. Necesidades de los usuarios
10
Elección de un sistema operativo
Tenga en cuenta:
Las aplicaciones. La escalabilidad. Nivel de soporte. Políticas corporativas Costo
14
(…) Windows, la historia
CP/M (Control Program Monitor) y GEM (Graphics Enviroment Manager) creado por Gary Kildall.
15
(…) Windows, la historia
OS/2 (Operating System 2) se comenzó a desarrollar en conjunto por IBM y Microsoft.
16
(…) Windows, la historia
IBM continuó el desarrollo de OS/4 hasta la versión 4 y Microsoft prometió el OS/NT. Windows 3.x y Windows NT heredaron la interfase gráfica del OS/2.
17
(…) Windows, la historia
El creador del RSX y el VMS, David Cutler, es contratado por Microsoft para el desarrollo de Windows NT (ex-OS/NT).
18
(…) Windows, la historia
Windows 2000 debería unificar todas los líneas de desarrollo de Windows. Windows 2000 Server incluye servicios de directorio para competir con
Netware de Novell.
19
(…) Windows, la historia
Todas las nuevas versiones de Windows se basan en la Nueva Tecnología y detrás de ella se encuentra David Cutler.
20
NT, Nueva Tecnología
Multitarea multithreading: Múltiples secuencias de ejecución.
Multitarea preemptive: Control total de los recursos.
SMP: Soporte para varios procesadores.
NTFS.Soporte nativo de TCP/IP.
22
La familia Windows 2003
Comprende:
Windows 2003 Server Standard Edition Windows 2003 Server Enterprise Edition Windows 2003 Server Datacenter Edition Windows 2003 Server Web Edition
24
La caja de Inicio de sesión
Permite el inicio de sesión. Debe consignar el nombre de usuario (username)
y la contraseña (password) respectiva. Si el inicio de sesión se produce en un dominio, es necesario especificar el nombre de dominio.
26
(…) La Caja de Seguridad
Le muestra el usuario que ha iniciado sesión localmente.
Le permite: Bloquear el equipo. Cerrar sesión. Apagar el sistema. Cambiar la contraseña. Usar el administrador de tareas.
29
Usuarios predeterminados
Por defecto, Windows Server 2003 crea los siguientes usuarios:
Administrador. Invitado IUSR_servidor La única cuenta habilitada es la del
Administrador.
30
El perfil de usuario
Consiste de:
Ruta de acceso del perfil. Archivo de comandos de inicio de sesión. Directorio particular.
31
El directorio particular
En un directorio en un servidor de la red en el que el usuario puede almacenar su información de manera confidencial y privada.
.
32
El directorio particular
En un directorio en un servidor de la red en el que el usuario puede almacenar su información de manera confidencial y privada.
Consiste de:Ruta de acceso del perfil.Archivo de comandos de inicio de sesión.Directorio particular.
33
El archivo de comandos de inicio de sesión
Puede ser un archivo de proceso por lotes BAT o un archivo de comandos de Windows CMD. Los archivo CMD pueden hacer más porque permiten el uso de scripts (modificar el Registry o invocar librerías).
En Windows NT debe estar en:D:\WINNT\SYSTEM32\REPL\IMPORTS\SCRIPTS.En Windows 2003 debe estar en:d\WINDOWS\SYSTEM32\REPL\IMPORTS\.
34
(…) El archivo de comandos de inicio de sesión
Un ejemplo de archivo BAT es el siguiente:NET USE P: \\PUBLICONET USE S: \\servidor\SOFTWARE
35
Ruta de acceso al perfil
Ubicación local o de red donde se almacena las preferencias del usuario y la configuración de su escritorio.
Hay tres tipos de perfiles:
Local: Perfil almacenado en el equipo local. Móvil: Mantiene el perfil del usuario. Obligatorio: No permite cambios en el
escritorio.
36
Perfil Móvil
Mantiene los preferencias del usuario y la configuración de su escritorio, sin importar el equipo que se encuentre utilizando.
Para configurarlo, copie la ruta del Directorio particular en la caja de texto Ruta de acceso del perfil.
38
La ficha Marcado
Permite el inicoa de seion remotoPuede ser a traves de la lienta etelfonica o
a tratves de Iternet.
39
La ficha Perfil
Los usuarios pueden iniciar sesión de tres formas: Inicio de sesión local Inicio de sesión a través de la red. Inicio de sesión remoto. (dibujo de los incios de seison)Permite atendet mejor a los usuarios que inician sesión en el ser
vidor a través de la red.A cada usuareionque ha logrado inicar sesión local le sistema le
crea un perfil.(dibujo de loa pefiels de usuario en Mi PC)Ver elc ontenido del perfile ne le Exploatrdor de Windows>Docs
& SetytingPara cada usario que ha logrado inicar sesion lcoal elsistema
crea una carpeta.
40
Administración de grupos
Los derechos y permisos se asignan a grupo no a usuarios.
Los grupos y usuarios tienen un identificador de seguridad.
Es más fácil administrar por grupos que hacerlo usuario por usuario.
Además, es más eficiente.
41
La Ventana de Selección
Permite seleccionar objetos por tipo, ubicación o nombre.
Si no conoce el nombre del objeto puede usar el botón Avanzadas y hacer clic en Buscar ahora.
43
Servicio de directorio
Un directorio es un repositorio de información para ser consultado por usuarios, administradores, equipos y servicios de red.
Los servicios proporcionados por un directorio son: Identificación inequívoca de los objetos de la red. Acceso fácil y universal a todos los recursos de la
red mediante una contraseña única. Administración centralizada de toda la red desde
cualquier punto.
44
(…) Servicio de directorio
Windows 2003 Server incluye el Active Directory que proporciona una estructura jerárquica para almacenar información de los objetos de la red.
El directorio de Active Directory puede incluir uno o varios dominios, cada uno de los dominios puede contener uno o varios controladores de dominio.
En un árbol de dominios se pueden combinar múltiples dominios y en un bosque se pueden combinar múltiples árboles.
45
Componentes físicos
Son: Sitios. Conjunto de subredes IP adecuadamente
interconectadas. Los clientes son asignados al sitio determinado por su dirección IP. Los sitios permiten controlar el tráfico de la replicación y una autenticación rápida.
46
(…) Componentes físicos
Son: Controladores de dominio. Almacenan la base de
datos NTDS.DIT del Active Directory. Todo equipo con Windows 2003 Server (excepto Web Edition) puede ser promovido a controlador de dominio. Un dominio puede contener varios controladores de dominio.
47
Componentes lógicos
Son: Bosques. Consiste de varios árboles de
dominio. Los árboles dominio de un bosque no constituyen un espacio contiguo de nombres.
49
(…) Componentes lógicos
Son: Dominios. Unidad básica de administración
que agrupa lógicamente a los recursos de una unidad de replicación.
50
(…) Componentes lógicos
Son: Unidades organizativas. Permiten la
delegación de la administración.
51
(…) Componentes lógicos
Todos los dominios de los árboles de un bosque comparten las siguientes características: Relaciones de confianza transitivas entre los
dominios. Relaciones de confianza transitivas entre los
árboles de dominio. Un esquema común. Información de configuración común. Un catálogo común.
52
Roles de un servidor
Por defecto, el primer controlador de dominio en un bosque cumple las cinco funciones o roles:
Schema Master Domain Naming Master Relative Identifier (RID) Master Primary Domain Controller (PDC) Emulator Infrastructure Master
53
Schema Master
Controlador de dominio que cumple el rol Schema operations master en el Active Directory.
Modifica el esquema del directorio y replica las modificaciones en los otros controladores de dominio del bosque.
En un bosque, sólo puede existir un Schema Master en un determinado instante.
54
Domain Naming Master
Controlador de dominio que cumple el rol Domain naming operation master en el Active Directory.
Controla la adición y remoción de dominios en un bosque.
En un determinado instante, sólo puede asignarse el rol Domain naming operation master a un controlador de dominio.
55
Relative Identifier (RID) Master
Controlador de dominio que cumple el rol RID operation master en el Active Directory.
Asigna RIDs únicos a los controladores de dominio durante la creación de cuentas. El identificador relativo RID (Relative Identifier) es parte de un SID (Security Identifier).
Cuando un controlador de dominio crea una cuenta de usuario, grupo o computador le asigna un SID de cuenta. El SID de cuenta consiste de un SID de dominio (igual para todos los SID de cuenta creados en el dominio) y un RID (único para cada SID creado en el dominio).
En un instante determinado, sólo puede asignarse el rol RID Master a un controlador de dominio.
56
Primary Domain Controller (PDC) Emulator Master
Controlador de dominio que cumple el rol PDC emulator operations master en el Active Directory.
Sirve a los clientes que no tienen instalado el cliente Active Directory y replica los cambios hechos al directorio en los controladores de dominio BDC con Windows NT.
El PDC Emulator Master atiende las autenticaciones cuyas contraseñas han cambiado pero aún no han sido replicadas en el dominio.
En un instante determinado, sólo puede asignarse el rol PDC Emulator Master a un controlador de dominio.
57
Infraestructure Master
Controlador de dominio que cumple el rol Infrastructure operations master en el Active Directory.
El Infrastructure Master actualiza las referencias grupo-usuario si los miembros de un grupo cambia y replica dichos cambios en el dominio.
En un instante determinado, en cada dominio sólo puede asignarse el rol Infrastructure Master a un controlador de dominio.
58
Niveles funcionales
Un nivel funcional determina las versiones de Windows de los controladores de domino y la disponibilidad de las nuevas características de Windows 2003 Server.
Windows 2003 Server proporciona:
Niveles funcionales de dominio. Niveles funcionales de bosque.
59
Niveles funcionales de dominio
En un bosque, un dominio se configura con un nivel funcional según los controladores de dominio y las funcionalidades de un dominio con un nivel funcional no están disponibles en otro dominio con otro nivel funcional.
Los niveles funcionales de dominio son: Windows 2000 mixto (predeterminado) Windows 2000 nativo Windows Server 2003 intermedio Windows Server 2003
62
Niveles funcionales de bosque
El nivel funcional de bosque determina las versiones de Windows que se ejecutan en los controladores de dominio en un bosque y de la disponibilidad de las nuevas características de bosque.
Los niveles funcionales de bosque: Windows 2000 (predeterminado) Windows Server 2003 intermedio Windows Server 2003
65
Dominios
Unidad administrativa básica.Un dominio puede contener:
Controladores de dominio Servidores miembros Clientes
67
El Catálogo Global
Contiene un subconjunto de las propiedades de todos los objetos de la red para efectos de consulta.
Almacena información de los grupos globales y sus miembros.
Redirecciona las peticiones de autenticación cuando se usa UPN (User Principal Name).
Valida las referencias a objetos dentro del bosque.
68
(…) El Catálogo Global
Se crea al instalar el Active Directory. Es recomendable más de uno para tolerancia a fallas, balanceo de carga o reducir el tráfico entre enlaces WAN.
Es recomendable un catálogo global en cada sitio debido a que el tráfico de autenticación es mayor que el tráfico de replicación, incluso éste último puede programarse para ocurrir en horas de menor tráfico.
Usar caché para los grupos universales puede reducir la necesidad de catálogos globales.
69
(…) El Catálogo Global
La configuración del catálogo global se hace a nivel de servidores, mientras que la implementación del caché de grupos universales se hace a nivel de sitios y se aplica a todos los controladores de dominio del sitio.
73
RELACIONES DE CONFIANZA
Permite la comunicación entre dominios. Son canalizaciones de autenticación que
permiten que los usuarios de un dominio tengan acceso a los recursos en otro dominio.
74
(…) RELACIONES DE CONFIANZA
Por defecto se crean:
Dominio principal y dominio secundario. Raíz de árbol
75
(…) RELACIONES DE CONFIANZA
Otros tipos pueden ser:
Externa. Entre un Windows 2000 y Windows NT o un dominio de otro bosque. Es intransitiva.
Regional. Con una región Kerberos. De bosque. Entre bosques. Es transitiva. Acceso directo. Entre dominios ya
relacionados. Es transitiva.
77
TIT1
Un directorio es un repositorio de información para ser consultado por usuarios, administradores, equipos y servicios de red.
Los servicios proporcionados por un directorio son: Identificación inequívoca de los objetos de la red. Acceso universal a todos los recursos de la red
mediante una contraseña única. Administración centralizada de toda la red desde
cualquier punto.
78
(…) Cont TIT1
Windows 2003 Server incluye el Active Directory que proporciona una estructura jerárquica para almacenar información de los objetos de la red.
El directorio de Active Directory puede incluir uno o varios dominios, cada uno de los dominios puede contener uno o varios controladores de dominio.
En un árbol de dominios se pueden combinar múltiples dominios y en un bosque se pueden combinar múltiples árboles.
79
TIT2
Son:
Sitios. Conjunto de subredes IP adecuadamente interconectadas. Los clientes son asignados al sitio determinado por su dirección IP. Los sitios permiten controlar el tráfico de la replicación y una autenticación rápida.
Controladores de dominio. Almacenan la base de datos NTDS.DIT del Active Directory. Todo equipo con Windows 2003 Server (excepto Web Edition) puede ser promovido a controlador de dominio. Un dominio puede contener varios controladores de dominio.
80
TIT2
Son: Bosques. Consiste de varios árboles de
dominio. Los árboles dominio de un bosque no constituyen un espacio contiguo de nombres.
Árboles. Consiste de varios árboles. Dominios. Unidad básica de administración
que agrupa lógicamente a los recursos de una unidad de replicación.
Unidades organizativas. Permiten la delegación de la administración.
82
GRUPOS
Un grupo es un conjunto de objetos que puede ser administrados como una sola unidad.
Los permisos asignados al grupo son heredados por todos sus miembros.
Se utilizan para: Administrar el acceso a los recursos compartidos y
a los objetos del Active Directory. Filtrar las configuraciones de las directivas de
grupo. Crear listas de distribución de correo electrónico.
83
Unidades organizativas
Son objetos contenedores del Active Directory que albergan usuarios, grupos, equipos y otros unidades organizativas.
No puede contener objetos de otros dominios.Es la unidad más pequeña a la que se le
puede asignar un objeto GPO.La administración de una unidad organizativa
pude asignarse a un usuario o un grupo.
84
Tipos de grupo
Grupos de distribución:
No tienen SID. No participan en la seguridad del dominio.
Agrupa usuarios y objetos afines. Usado por Exchange Server.
Grupos de seguridad:
Tienen un SID. Participan en la seguridad del dominio. Se muestran en las listas de control de acceso. Un usuario validado, la credencial del usuario contiene
su SID de los grupos de seguridad a los que pertenece.
85
Ámbito de grupo
Grupo local: En servidores MS y SS. Recibe permisos únicamente en el equipo local.
Grupo de dominio local: En servidores DC. Recibe permisos únicamente en su dominio.
Grupo global: En servidores DC. Recibe permisos en su dominio y en los dominios que confían
en su dominio. Grupo universal:
En servidores DC. Recibe permisos en todos los dominios del bosque.
87
ADMINISTRACIÓN DE ARCHIVOS
Un archivo es la forma que toman los datos para poder almacenarse en un computador.
Los archivos se pueden agruparse en carpetas (folders) y las carpetas pueden contener subcarpetas.
La forma en que los archivos son almacenados en un dispositivo de almacenamiento se conoce como Sistemas de archivos.
88
Sistemas de archivos
Los sistemas de archivos reconocidos por Windows Server 2003 son:
FAT: File Allocation Server (de 16 bits), compatible con casi todos los sistemas operativos.
FAT32: File Allocation Server de 32 bits, soporta discos de mayor tamaño, particiones mayores a 2 GB y la elección del tamaño de la unidad de asignación (cluster).
NTFS: New Technology File System (32 bits), ofrece todas las ventajas de un sistema de archivos moderno, tales como compresión, cifrado, seguridad local, tolerancia a fallas, etc.
CDFS: Compact Disc File System, usado para la lectura de CDs.
89
Tipos de permisos
Los permisos hacen posible controlar el acceso a los archivos.
Hay dos tipos de permisos:Permiso CompartirPermisos Seguridad
90
Permisos Compartir
Son objetos contenedores del Active Directory que albergan usuarios, grupos, equipos y otros unidades organizativas.
No puede contener objetos de otros dominios.Es la unidad más pequeña a la que se le
puede asignar un objeto GPO.La administración de una unidad organizativa
pude asignarse a un usuario o un grupo.
91
Permisos Seguridad
Son objetos contenedores del Active Directory que albergan usuarios, grupos, equipos y otros unidades organizativas.
No puede contener objetos de otros dominios.Es la unidad más pequeña a la que se le
puede asignar un objeto GPO.La administración de una unidad organizativa
pude asignarse a un usuario o un grupo.
93
IMPRESIÓN EN WINDOWS
Un grupo es un conjunto de objetos que puede ser administrados como una sola unidad.
Los permisos asignados al grupo son heredados por todos sus miembros.
Se utilizan para: Administrar el acceso a los recursos compartidos y
a los objetos del Active Directory. Filtrar las configuraciones de las directivas de
grupo. Crear listas de distribución de correo electrónico.
94
Permisos de impresión
Son objetos contenedores del Active Directory que albergan usuarios, grupos, equipos y otros unidades organizativas.
No puede contener objetos de otros dominios.Es la unidad más pequeña a la que se le
puede asignar un objeto GPO.La administración de una unidad organizativa
pude asignarse a un usuario o un grupo.
95
Impresora con varios planes de uso
Son objetos contenedores del Active Directory que albergan usuarios, grupos, equipos y otros unidades organizativas.
No puede contener objetos de otros dominios.Es la unidad más pequeña a la que se le
puede asignar un objeto GPO.La administración de una unidad organizativa
pude asignarse a un usuario o un grupo.
96
Pool de impresión
Son objetos contenedores del Active Directory que albergan usuarios, grupos, equipos y otros unidades organizativas.
No puede contener objetos de otros dominios.Es la unidad más pequeña a la que se le
puede asignar un objeto GPO.La administración de una unidad organizativa
pude asignarse a un usuario o un grupo.
98
Copia de seguridad
Copia de seguridad es una utilidad de Windows para la copia y restauración de archivos del sistema y de datos.
El medio de almacenamiento puede ser un disco duro o una unidad de cintas.
Los usuarios con los privilegios necesarios son:
Administrador. Operadores de copia.
100
(…) Copia de seguridad
La utilidad Copia de seguridad crea una instantánea de los datos para crear una copia exacta, incluyendo los archivos abiertos y los utilizados por el sistema.
El ASR (Automated System Recovery) es una opción de la Copia de seguridad.
Copia de seguridad le permite hacer una copia del estado del sistema (System State).
Se puede programar copias periódicas de los datos que cambian frecuentemente.
101
Consideraciones del sistema de archivos
Puede utilizar Copia de seguridad en unidades FAT, FAT32 y NTFS.
Si realizo una copia de seguridad de una unidad NTFS, procure realizar la restauración en una unidad NTFS, de lo contrario podría perder permisos, cifrado, información de cuota de disco y almacenamiento remoto.
Para montar y desmontar una cinta o un disco, use la utilidad Almacenamiento extraíble.
102
El System State
Contiene la configuración del sistema (estado del sistema).
Consiste de: Boot files. Los archivos de arranque del
sistema. COM Class Registration Database. La
librería de clases COM. Registry. El Registro de Windows. SYSVOL. El volumen del sistema. Sólo en
controladores de dominio. Active Directory. La basa de datos del Active
Directory. Sólo en controladores de dominio.
103
TIPOS DE COPIA DE SEGURIDAD
Los tipos de copia de seguridad son: Normal. Diferencial. Incremental. Copia. Diaria.
104
Normal
Copia todos los archivos seleccionados y los MARCA como copiados.
Requiere de una unidad de cinta. También conocida como full backup.
105
Diferencial
Copia los archivos que ha sido creados o modificados después de la ultima copia de seguridad Normal y NO MARCA los archivos como copiados.
Requiere dos unidades de cinta: una para la copia Normal y otra para el Diferencial.
106
Incremental
Copia los archivos que ha sido creados o modificados después de la ultima copia de seguridad Normal y MARCA los archivos como copiados.
Requiere una unidad de cinta por día.
107
Copia
Copia todos los archivos seleccionados sin modificar el atributo Archive.
Debe usarse cuando se requiera hacer una copia de seguridad no planeada o extraordinaria entre copias normales e incrementales.
108
Diaria
Realiza una copia de todos los archivos seleccionados que se hayan creado o modificado en el día en el que realiza la copia.
110
DIRECTIVAS DE GRUPO
Las directivas de grupo (Group Policy) es una característica del Active Directory que permite administrar usuarios y configurar equipos de manera centralizada.
Permite definir, reforzar y actualizar la configuración de usuarios y equipos de un contenedor (sitio, dominio, unidad organizacional).
El componente básico de un objeto GPO es una directiva que define una configuración particular.
111
(…) DIRECTIVAS DE GRUPO
Algunos ejemplos de directivas son:
Remover la opción Configuración del menú Inicio. Establecer la longitud máxima de la contraseña. Ejecutar una secuencia de comandos al iniciar sesión.
112
GPO
Un objeto de directivas de grupo GPO (Group Policy Object) es un objeto que contiene una o más directivas y consta de dos componentes:
Un objeto en el Active Directory, y Una carpeta conteniendo una colección
de archivos en el SYSVOL del controlador de dominio.
113
(…) GPO
Las directivas de un GPO no sólo establecen la configuración inicial, sino que se refrescan regularmente y siempre sobrescriben la configuración hecha por un usuario o una secuencia de comandos.
Cada computador con Windows 2000/XP/2003 tiene un GPO local, independientemente de la forma en que participa en una red, almacenado en \WINDOWS\SYSTEM32\GroupPolicy.
114
(…) GPO
Por defecto, sólo las directivas de seguridad se encuentran configuradas.
Cuando se crea un GPO y se le asocia a un sitio, dominio o unidad organizacional, todos los equipos y usuarios contenidos caen bajo el ámbito del GPO y serán afectados por las directivas configuradas en el GPO.
115
(…) GPO
Cada GPO se encuentra identificado mediante un único GUID (Globally Unique Identifier) y se almacena en: \WINDOWS\SYSVOL\sysvol\dominio\guid\ADM, donde dominio es el nombre DNS del dominio y guid es el GUID del GPO.
Cuando se instala el Active Directory, se crean los GPO predeterminados y se almacenan en los controladores de dominio.
116
(…) GPO
Los GPO predeterminados son:
Default Domain Policy. Este GPO es asociado al domino y afecta a todos los usuarios y equipos del dominio incluyendo a los controladores de dominio.
Default Domain Controllers Policy. Este GPO es asociado a la unidad organizacional Domain Controllers y afecta sólo a los controladores de dominio.
117
Herramientas para los GPO
Para configurar las directivas en un GPO dispone de diversas herramientas: El Editor GPO. La herramienta Active Directory Users and
Computers. La herramienta Active Directory Sites and Services. La consola Group Policy Management (que puede
descargar desde http://www.microsoft.com/downloads).
El complemento Resultant Set of Policy RSoP.
118
(…) Herramientas para los GPO
Para crear un GPO asociado a un dominio o una unidad organizacional use la herramienta Active Directory Users and Computers.
Para crear un GPO asociado a un sitio use la herramienta Active Directory Sites and Services.
La consola Group Policy Management le permite administrar todos los GPOs de manera centralizada.
119
Jerarquía de los GPO
Los GPOs se aplican jerárquicamente y definen el conjunto resultante de directivas sobre un usuario o equipo.
La jerarquía con la se aplican las directivas se describe a continuación: GPO local. Cada equipo con Windows
2000/XP/2003 tiene un GPO local almacenado localmente.
GPO de sitio. Se aplica a todos los dominios del sitio. Los sitios pueden tener asociados uno o más GPOs y se aplican en el orden establecido.
120
(…) Jerarquía de los GPO
GPO de dominio. Se aplica dominio por dominio, un dominio hijo no hereda las directivas del dominio padre. Los dominios pueden tener asociados uno o más GPOs y se aplican en el orden establecido.
GPO de unidad organizacional. Se aplican a las unidades organizaciones, una unidad organizacional hija hereda las directivas de la unidad organizacional padre. Los GPOs de las unidades organizaciones se aplican siguiendo la jerarquía de dichas unidades organizacionales.
121
(…) Jerarquía de los GPO
En resumen, el GPO local se aplica primero, luego el GPO asociado al sitio, a continuación el GPO asociado al dominio y finalmente el GPO de la unidad organizacional que contiene al usuario o equipo.
La herencia determina las directivas efectivas para los usuarios y equipos de una unidad organizacional, como el conjunto de directivas heredado de los contenedores padre.
122
Herencia
Las reglas que se aplican a la herencia son:
Si una directiva esta configurada (Enabled o Disabled) en un GPO de una unidad organizacional padre y la misma directiva no esta configurada (Not Configured) en el GPO de una unidad organización hija, la directiva efectiva en la unidad organizacional hija es la heredada de la unidad organizacional padre.
123
(…) Herencia
Si una directiva esta configurada (Enabled o Disabled) en un GPO de una unidad organizacional padre y la misma directiva es configurada en el GPO de una unidad organización hija, la directiva efectiva es la definida en la unidad organizacional hija que sobrescribe a la directiva heredada.
Si una directiva no esta configurada (Not Configured) en un GPO de una unidad organizacional padre, la unidad organización hija no tiene nada que heredar.
124
(…) Herencia
Algunos factores pueden exceptuar o afectar el orden del procesamiento de las directivas, entre ellos se encuentran: Miembros de grupos de trabajo. Un equipo
que es miembro de un grupo de trabajo sólo procesa el GPO local.
Bloqueo de herencia. Es una propiedad de un GPO. Si en el GPO de un contenedor se marca la casilla Block Policy inheritance, se impide la herencia desde los GPOs de los contenedores padres.
126
(…) Herencia
No sobrescritura. Es una propiedad de asociación de un GPO a un contenedor. Si se marca la casilla No Override, las directivas en el GPO no será sobrescritas por ningún GPO durante el procesamiento de las directivas de grupo. Si más de un GPO tiene activa la propiedad No sobrescritura, tendrá efecto el GPO de mayor jerarquía.
128
(…) Herencia
Loopback. Esta propiedad permite modificar la forma de obtener la lista de GPOs que afecta a la configuración de un usuario. En lugar de determinar la configuración del usuario usando las directivas en el nodo User Configuration del GPO aplicable al usuario, la configuración del usuario es determinada por las directivas del nodo User Configuration del GPO aplicable al computador. Esta directiva la puede encontrar en Computer Configuration\ Administrative Template\System\Group Policy en el Editor GPO. Use la opción Replace para remplazar la configuración normal del usuario con la configuración de usuario definida en el GPO aplicable al computador. Use la opción Merge para combinar la configuración de usuario definida en el GPO aplicable al computador con la configuración normal del usuario.
130
EL EDITOR GPO
Permite configurar las directivas en un GPO. En el Editor GPO, las directivas se dividen en dos grupos: los referidos a los computadores en el nodo Computer
Configuration los referidos a los usuarios en el User Configuration.
Dentro de cada nodo, las directivas se clasifican como: directivas de instalación de software Software Settings directivas para la configuración y seguridad Windows
Settings directivas de configuración del registro Administrative
Templates
131
(…) EL EDITOR GPO
Por defecto, todas las nuevas directivas en un nuevo GPO aparecen sin configurar Not Configured lo que significa que el GPO no modifica la configuración existente. A partir de este estado, puede activar o desactivar la directiva para decidir si va a tener efecto o no va a tener efecto.
132
El nodo Computer Configuration
Agrupa las directivas relativas a los computadores, se aplican cuando el sistema operativo inicia y se refrescan cada 90 minutos. Software Settings. Contiene la extensión Software
Installation que le permite determinar la forma de instalación y mantenimiento de las aplicaciones.
Windows Settings. El nodo Security Settings contiene las directivas de seguridad. La extensión Scripts le permite definir una secuencia de comandos para el encendido y otra para el apagado del equipo. El tiempo predefinido para cada secuencia de comandos es de 10 minutos.
Administrative Template. Contiene las numerosas directivas de configuración del registro, afectan los valores en HKEY_LOCAL_MACHINE\Software\Policies y HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Policies. Una descripción de cada directiva se incluye en el Editor GPO de Windows 2003 Server.
133
El nodo User Configuration
Agrupa las directivas relativas a los usuarios, se aplican cuando el usuario inicia sesión y se refrescan cada 90 minutos. Software Settings. Contiene la extensión Software Installation que
le permite determinar la forma de instalación y mantenimiento de las aplicaciones.
Windows Settings. El nodo Security Settings contiene las directivas de seguridad, Remote Installation Services controla la instalación remota del sistema operativo, Folder Redirection permite redireccionar las carpetas del perfil del usuario, Internet Explorer Maintenance permite administrar y personalizar el Internet Explorer en los equipos con Windows 2000/XP/2003. La extensión Scripts le permite definir una secuencia de comandos de inicio de sesión y otra de fin de sesión. Al apagarse un equipo, primero se ejecuta la secuencia de comandos de cierre de sesión y luego la de apagado. El tiempo predefinido para cada secuencia de comandos es de 10 minutos.
Administrative Template. Contiene las numerosas directivas de configuración del registro, afectan los valores en HKEY_CURRENT_USER\Software\Policies y HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies. Una descripción de cada directiva se incluye en el Editor GPO de Windows 2003 Server.
138
Plantillas de Seguridad
Son archivos .INF que contienen las siguientes directivas y parámetros de seguridad:
Account Policies Local Policies Event Log Policies Restricted Groups System Services Registry permissions File System permissions
141
Plantillas predefinidas
Proporcionan diferentes niveles de seguridad: Setup security DC security Securedc Hisecdc Compatws Securews Hisecws Rootsec Iesacls
142
Aplicación de las plantillas
Una vez creada o modificada la plantilla, debe ser aplicada a un equipo o a un contenedor.
Para aplicar una plantilla a un sólo equipo use el Editor GPO, para aplicar a un conjunto de computadores use Active Directory Users and Computers o Active Directory Sites and Services.
No distribuya las plantillas DC security y Setup security mediante GPOs.
Windows 2003 Avanzado
InstructorMarco Antonio FLORES [email protected]
Contenido1.- Administración remota2.- Administración de particiones3.- Configuración y optimización3.- Servicios de red: DNS, DHCP, WINS, RIS6.- Administración de impresiones7.- Copia de seguridad8.- Administración de clientes
Bibliografía“Administre y Configure Windows Server 2003”, Marco Antonio FLORES ROSA
146
Herramientas
La administración remota se puede realizar mediante:
Conectar con otro equipo Escritorio remoto Administración remota Web Asistencia Remota
147
Conectar con otro equipo
Casi todas las herramientas administrativas tienen una opción Conectar a otro equipo que permite la administración remota.
Las limitaciones más notables son:
No se puede instalar software. Reiniciar el equipo. No es posible iniciar o detener los dispositivos. No es posible defragmentar discos.
148
(…) Conectar con otro equipo
Por ejemplo usando la herramienta Administración de equipos se puede:
Examinar las bitácoras de los equipos Ver las carpetas compartidas, sesiones iniciadas y
archivos abiertos. Administrar usuarios y grupos. Ver el estado de los dispositivos, actualizar
controladores de dispositivos. Administrar medios extraíbles y administrar particiones Ver, detener. iniciar y reiniciar los servicios. Administrar sitios Web.
149
(…) Conectar con otro equipo
Puede crear una consola personalizada para la administración de varios servidores.
Examinar las bitácoras de los equipos Ver las carpetas compartidas, sesiones iniciadas y
archivos abiertos. Administrar usuarios y grupos. Ver el estado de los dispositivos, actualizar
controladores de dispositivos. Administrar medios extraíbles y administrar particiones Ver, detener. iniciar y reiniciar los servicios. Administrar sitios Web.
150
Escritorio remoto
Para permitir la conexión al escritorio del servidor de forma remota, en la página Propiedades del sistema marque la casilla Habilitar Escritorio remoto en este equipo.
151
(…) Escritorio remoto
Esto transporte el escritorio del servidor al computador del administrador.
No se usa para ver lo que hace el administrador en el servidor.
No tiene limitación alguna.No requiere instalar Terminal Server.
152
Administración remota HTML
Debe instalar el componente Adminitración remota Web.
Incluye la versión web del escritooir remotor.
Las limitaciones más notables son:
Requiere abrir el puerto 8098. .
153
Asistencia remota
Permite ver y cobtrolar un equipo remoto desde cualquier compuytador en Internet.
En Windows Server 2003 debe instlarse en Windows Messenger.
Las limitaciones más notables son:
Requiere abrir rl puerto 3389 .
155
Recursos del sistema
Los recursos que deben ser supervisados son:
Procesador <= 80 % (promedio) Memoria en uso < Memoria física Disco duro < 2 (cola promedio)
156
La herramienta Rendimiento
Permite monitorear los diferentes parámetros de funcionamiento de cualquier equipo de la red. La terminología usada es la siguiente:
Objeto: Dispositivo físico o lógico a ser monitoreado.
Instancia: Ocurrencia del objeto. Contador: Parámetro o magnitud a ser
monitoreado.
158
(Ejercicio) Agregar un contador
Agregue un contador que permita determinar la cantidad de tiempo que el procesador dedica en atender a las interrupciones generados por los dispositivos periféricos.
159
(Ejercicio) Agregar un contador
Agregue un contador que permita determinar la cantidad de memoria disponible.
160
Perfiles de hardware
Permite establecer que dispositivos y servicios se inician durante el arranque del sistema.
161
(…) Perfiles de herdware
Distribuya el archivo de paginación en varios discos para tener un mejor rendimiento. No lo haga sobre unidades lógicas.
Mueva el archivo de paginación cuando se quede sin espacio en la partición del sistema.
162
(Ejercicio) Pefiels de hardware
Abra la interfase de comandos e inicie el cliente FTP usando el comando FTP.EXE.
Vea la lista de comando FTP:?
Conectese al servidor FTP:open IP_del_servidorFTP
Acceda como usuario anónimo:User: anonymousPass: [email protected]
163
Función del servidor
Los servicios que proporciona un servidor determinan el uso de la memoria.
Configure la función del servidor mediante las Propiedades de Compartir impresoras y archivos para redes Microsoft.
164
(…) Función del servidor
Elija entre las siguientes opciones: Minimizar la memoria utilizada. No
recomendado. Equilibrio. Un núnco servuidor proporciona
todos los servicios. Memoria:. Disco duro:.
165
La memoria virtual
Es una porción de disco duro que simula ser memora RAM.
Evita que el servidor se detenga cuando haga falta memoria.
Windows usa un archivo llamado PAGEFILE.SYS
Con la memoria virtual se puede:
Distribuir el archivo de paginación. Mover el archivo de paginación.
166
(…) La memoria virtual
Distribuya el archivo de paginación en varios discos para tener un mejor rendimiento. No lo haga sobre unidades lógicas.
Mueva el archivo de paginación cuando se quede sin espacio en la partición del sistema.
167
(Ejercicio) Distribuir la memoria virtual
Abra la interfase de comandos e inicie el cliente FTP usando el comando FTP.EXE.
Vea la lista de comando FTP:?
Conectese al servidor FTP:open IP_del_servidorFTP
Acceda como usuario anónimo:User: anonymousPass: [email protected]
168
(Ejercicio) Mover la memoria virtual
Abra la interfase de comandos e inicie el cliente FTP usando el comando FTP.EXE.
Vea la lista de comando FTP:?
Conectese al servidor FTP:open IP_del_servidorFTP
Acceda como usuario anónimo:User: anonymousPass: [email protected]
170
Conceptos
Partición: Parte de un disco duro.Volumen: Unidad lógica de almacenamiento
que cuenta con un sistema de archivo.Sistema de archivo: Estructura lógica de
almacenamiento.En Windows Server 2003, la administración
de particiones se hace mediante el complemento Administración de discos.
172
Tipos de particiones
Partición primaria:
Pueden iniciar el computador (sistema). Sólo puede contener un volumen
Partición extendida:
No es capaz de iniciar el computador (sistema). Puede contener varios volúmenes.
173
(…) Tipos de particiones
Se pueden tener como máximo hasta 4 particiones.
Las posibles combinaciones son:
174
Particiones en NT
Partición del sistema (System partition): Debe ser primaria. Sólo hay una. Contiene los archivos de arranque del sistema:
NTLDR, NTDETECT.COM, BOOT.INI
Partición de arranque (Boot partition): Puede ser primaria o una unidad lógica. Puede existir más de una. Contiene los archivos de arranque del sistema
operativo: \WINDOWS
175
Tipos de discos
Disco básico: Discos con tabla de particiones MBR (Master
Boot Record). Puede contener hasta 4 particiones, entre
primarias y extendidas. Compatible con todos los sistemas operativos.
Disco dinámico: Disco con tabla de particiones GPT (GUID
Partition Table). Puede contener hasta 128 particiones. Sólo compatible con Windows 2000 o
posteriores.
176
(…) Tipos de discos
La conversión de un disco básico a un disco dinámico es una operación irreversible.
177
RAID
Redundant Array of Independent Disks.Puede proporcionar:
Mayor capacidad Mayor velocidad Tolerancia a fallas
178
Tipos de volúmenes
Volumen SimpleVolumen ExtendidoVolumen DistribuidoVolumen SeccionadoVolumen ReflejadoVolumen RAID-5
180
Volumen Extendido
Consiste de varios segmentos en un mismo disco duro.
Proporciona mayor capacidad.Es una operación en línea.Es irreversible.No proporciona tolerancia a fallas.Aumenta la probabilidad de fallas.No aplicable a la partición del sistema.
181
Volumen Distribuido
Requiere de dos discos o más.Proporciona mayor capacidad.Es una operación en línea.Es irreversible.No proporciona tolerancia a fallas.Aumenta la probabilidad de falla.Puede disminuir el rendimiento.No aplicable a la partición del sistema.
182
Volumen Seccionado
Requiere de dos discos o más.Requiere preparación previa.Proporciona mayor capacidad y mayor
rendimiento.Es irreversible.No proporciona tolerancia a fallas.Aumenta la probabilidad de falla.No aplicable a la partición del sistema.
183
Volumen Reflejado
Requiere de dos discos o más.Es una operación en línea.Invierte el 50% de la capacidad en
proporcionar tolerancia a fallas.Es reversible.Aplicable a la partición del sistema.
184
Volumen RAID-5
Requiere de tres discos o más.Requiere preparación previa.Proporciona mayor rendimiento.Invierte el 33.33% de la capacidad en
proporcionar tolerancia a fallas.Es irreversible.No aplicable a la partición del sistema.
187
El comando NSLOOKUP
Sirva para consultar la base de datos de un servidor DNS.
Por defecto, consulta el primer servidor DNS.
188
DHCP
Dynamic Host Configuration Protocol.Facilita las tareas de administración de las
direcciones IP y la configuración de los hosts en una red.
189
Tipos de direcciones IP
IP estática: Dirección IP configurada manualmente.
IP dinámica: Dirección IP configurada mediante un servidor DHCP.
190
(…) Tipos de direcciones IP
IP pública: Dirección IP no privada.IP privada: Las que se encuentran
en estos rangos:
10.0.0.0 – 10.255.255.255 172.16.0.0 – 172.31.255.255 192.168.0.0 – 192.168.255.255
191
Administración del DHCP
Consiste de algunas tareas específicas: Definir la ubicación de los servidores DHCP. Determinar los rangos de direcciones IP que
serán necesarios. Configurar el servidor DHCP con direcciones IP
estáticas. Instalar el servicio DHCP. Configurar los ámbitos. Autorizar el servidor DHCP en el Active Directory. Configurar la actualización dinámica.
192
(Ejercicio) Configurar el ámbito
IP inicial: 192.168.1.1IP final: 192.168.1.254Máscara de subred: 255.255.255.0Excluir rango: 192.168.1.1 – 192.168.1.20Excluir IP: 192.168.1.100Período de concesión: 8 díasPuerta de enlace: 192.168.1.1DNS primario: 200.0.48.37DNS secundario: 200.0.48.51
193
(… Ejercicio) Configurar otro ámbito
IP inicial: 192.168.5.1IP final: 192.168.5.254Máscara de subred: 255.255.255.0Excluir rango: 192.168.5.1 – 192.168.5.20Excluir IP: 192.168.5.100Período de concesión: 8 díasPuerta de enlace: 192.168.5.1DNS primario: 200.0.48.37DNS secundario: 200.0.48.51
194
SUS
Software Update Services (SUS) consiste de:
Windows Update. Proporciona información actualizada y un centro de descargas.
Automatic Updates. A partir de Windows XP y Windows 2000 SP3, se agrega al sistema operativo la característica Automatic Updates, mediante la cual el computador se conecta automáticamente a Windows Update y descarga los paquetes de servicio y actualizaciones necesarios.
195
Problemas a resolver
Consumo de ancho de banda. Cada computador en la red debe descargar las actualizaciones.
Conflictos entre aplicaciones. Aunque se recomienda usar el ultimo Service Pack, no siempre es recomendable hacerlo sin haber realizado todas las pruebas necesarias.
Decisión de las actualizaciones en manos del usuario. Al usar Windows Update, se deja en manos del usuario la decisión de que actualizaciones descargar e instalar.
196
Componentes
SUS usa los siguientes componentes: Software Update Services. Responsable de la
sincronización de la información y descarga de las actualizaciones.
SUS administration Web site. Permite confirmar la sincronización y aprobar las actualizaciones.
Automatic Updates. Responsable de descargar las actualizaciones e instalarlo en los clientes.
Group Policy settings. Los clientes pueden ser configurados para sincronizar desde un servidor SUS en lugar de Windows Update, mediante directivas de grupo o la modificación del registro.
200
IIS
Internet Information Server.Es parte del servidor de aplicaciones de
Windows Server 2003.Proporciona los servicios Web (HTTP, FTP,
NNTP, SMTP) y servicios de aplicaciones.Se administra mediante el
Administrador de Internet Information Services (IIS).
201
El Administrador de Internet Information Services (IIS)
Para iniciarlo use Inicio > Programas > Herramientas administrativas > Administrador de Internet Information Services (IIS).
202
(…) El Administrador de Internet Information Services (IIS)
Contiene:
Sitios FTP. Grupos de aplicaciones. Sitios Web. Extensiones de servicio Web. Servidor virtual SMTP. Servidor virtual NNTP.
203
Comprobación de los servicios
Existen tres formas:
Mediante la herramienta Servicios. Mediante la herramienta Administración de
Internet Information Services (IIS) Mediante Telnet
204
(Ejercicio) Comprobación de los servicios
Abra la interfase de comandos y compruebe los servicios:
HHTP:telnet su_dirección_IP 80
FTP:telnet su_direccion_IP 21
Mediante Telnet
205
El servicio Web (HTTP)
.Se administra mediante el
Administrador de Internet Information Services (IIS).
206
El directorio de publicación
Por defecto, el directorio de publicación se encuentra en d:\INETPUB\WWWROOT, donde d: es la unidad del sistema.
Todo lo que se desea publicar debe residir en el directorio de publicación.
Alternativamente puede ser:
Una carpeta compartida en otro equipo de la red. Un sitio Web en otro servidor Web.
207
La página principal
Por defecto, no hay página principal y el sistema muestra una página en construcción (iisstart.htm).
La página principal puede tener los siguientes nombres:
default.htm default.asp index.htm
208
(…) La página principal
Si su página principal tiene otro nombre, agréguelo a la lista y ubíquelo primero en la lista.
Adicionalmente, puede establecer un pie de página para todos las páginas mostradas.
209
El servicio FTP
File Transfer Protocol.Usa los puertos 21 y 21.Proporciona una transferencia optimizada
de archivos.Soporta una amplia variedad de clientes.Permite reanudar y programas descargas.Se administra mediante el Administrador
de Internet Information Services (IIS).
210
El directorio de publicación
Por defecto, el directorio de publicación FTP se encuentra en d:\INETPUB\FTPROOT, donde d: es la unidad del sistema.
Todo lo que se desea publicar debe residir en el directorio de publicación.
Alternativamente puede ser:
Una carpeta compartida en otro equipo de la red.
211
(Ejercicio) Descarga de archivos
Abra la interfase de comandos e inicie el cliente FTP usando el comando FTP.EXE.
Vea la lista de comando FTP:?
Conectese al servidor FTP:open IP_del_servidorFTP
Acceda como usuario anónimo:User: anonymousPass: [email protected]
212
(… Ejercicio) Descarga de archivos
Descargue un archivo:get coco.zip
Antes de descargar:BinaryLcd d:\downloadstatus
Para descargar archivos grandes:hash
Para descargar varios archivos:Mget *.*