miércoles, 29 de abril de 2015

Directivas de Seguridad y Auditorías

Directivas de Seguridad.
Directivas de Seguridad local.

  • Para modificar la directiva de seguridad de un equipo que no es servidor windows o no tiene instalado el directorio activo.
  • Herramientas administrativas / Directivas de seguridad

Directivas de seguridad de dominio.
  • Es un Windows Server controlador de dominio
  • Modifica la configuración de seguridad para todos los equipos miembros del dominio
  • Herramientas administrativas / Administración de directivas de grupos


 Directivas de seguridad de controlador.
  • Windows Server
  • Modificar todos los controladores de dominio
  • Herramientas administrativas /Administración de directivas de grupo
Las Directivas de grupo.
  • Definen los distintos componentes de configuración del equipo y del usuario.
  • Influyen en las cuentas de usuario, de grupo y de equipo.
  • Se aplican a dominios, sitios o unidades organizativas.
Se Aplican en el siguiente Orden:
  • Directiva de equipo local.
  • Directiva de usuario local.
  • Directiva de grupo de sitio.
  • Directiva de grupo de dominio.
  • Directiva del grupo de la Unidad Organizativa.
  • Directiva del grupo del controlador de dominio.
Configuración del equipo.

Al Iniciarse el equipo (Sin tener en cuenta el usuario).
Formada por:
Configuración de Software
  • Software para todos los usuarios
Configuración de Windows.
  • Scripts que se ejecutan al inicio y al final.
  • Configuración de seguridad
    • Directivas de Cuenta
      • Directivas de contraseña
        • Longitud minima de contraseña
        • Vigencia maxima/minima
        • etc...
    • Directivas de bloqueo de Cuentas (Inicios erróneos de sesión)
      • Duración del bloqueo
      • Umbral de bloqueos
      • Etc...
  • Directivas locales
    • Directivas de auditoria
      • Auditar el acceso a objetos
      • Auditar eventos de inicio de sesiona
      • etc...
    • Asignación de derechos de usuario.
      • Hacer copias de seguridad
      • Restaurar Archivos
      • Apagar el sistema
    • Opciones de Seguridad.
      • Impedir que se instalen controladores de impresora.
      • Permitir apagar sistema sin tener que iniciar sesión.
      • Desconectar a los clientes cuando expire el tiempo de inicio de sesión.
  • Registro de eventos
    • Tamaño máximo de los distintos registro.
    • Conservar los distintos registros.
  • Servicios de sistema
  • Registro
    • Permisos de acceso
    • Configuración de la auditoria
  • Sistemas de archivos
    • Permisos de acceso
    • Configuración de la auditoria
  • Directivas de red cableada
    • Para establecer directivas sobre la red cableada
  • Firewall de Windows con seguridad Avanzada.
  • Directivas de red inalámbrica.
  • Directivas de restricción de software.
Plantillas Administrativas.

 Permiten administrar la configuración del equipo.


  • Componentes de Windows.
    • Netmeeting
    • Internet Explorer
    • Programador de tareas
    • Etc.
  • Impresoras
    • Directivas de habilitación y configuración.
  • Panel de Control
Directivas para habilitar y configurar el panel de control
    • Configuración regional y de idioma.
    • Cuentas de usuario.
  • Red
Directivas de habilitación y configuración de la red.
    • Archivos sin conexión.
    • Conexiones de red.
  • Sistema
Directivas de habilitación y configuración del sistema.
  • Inicio de sesión.
  • Cuotas de disco
  • Perfiles de usuario
  • Etc.
Configuración de usuario.

Se aplica cuando un usuario inicia sesión.
Independiente del equipo
  • Configuración del Software.
    • Configuración de software aplicada a los usuarios.
    • Independiente del equipo.
  • Configuración de Windows.
    • Servicios de instalación remota.
      • Opciones disponibles para los usuarios durante el asistente para la instalación de clientes.
    • Script.
      • Script que hay que ejecutar cuando un usuario inicie o finalice sesión.
    • Configuración de seguridad.
      • Directiva de clave publica
      • Directiva de restricción de software.
    • Mantenimiento de Internet Explorer.
      • Interfaz de usuario del explorador.
      • Conexion.
      • Direcciones URL.
      • Etc...
  • Plantillas administrativas.
    • Carpetas compartidas
      • Habilitación y configuración.
    • Componentes de Windows
      • Netmeeting.
      • Internet Explorer.
      • Explorador de Windows.
      • Programador de tareas.
    • Escritorio.
      • Escritorio.
      • Active Directory.
    • Menú de Inicio y barra de tareas.
      • Habilitación y configuración.
    • Panel de control
Habilitar y configurar.
      • Agregar o quitar programas.
      • Pantalla.
      • Impresora.
    • Red.
      • Archivos sin conexión.
      • Conexiones de red.
    • Sistema
Habilitación y configuración
      • Perfiles de usuario.
      • Scripts.
      • Ctrl+alt+supr.
      • Etc.

Directivas de grupo incorporadas por defecto.
  • Default Domain Policy.
    • Se aplica a todos los equipos del dominio.
    • Afecta a la configuración del equipo y a la del usuario.
  • Default Controller Domain Policy.
    • Se aplican a todos los equipos que sean controladores de dominio.
    • Afecta a los equipos y a los usuarios.
  • Para acceder a ellas.
Herramientas administrativas / Administración de directivas de dominio.
  • Nodo del bosque / Nodo del dominio / Nodo Objetos de directiva de grupo.(Botón derecho sobre política y editar)
Trabajar con las directivas de Windows.
  • Que las directivas se apliquen en un orden distinto al predefinido.
Al pulsar sobre ella, a la derecha aparece el orden.
Seleccionar el que se quiere cambiar y darle al triangulo arriba o abajo.
  • Impedir que otras directivas anulen la configuración de grupo.
Botón derecho sobre la directiva y exigido.
  • No aplicar otras directivas de grupos superiores.
Botón derecho y bloquear herencia.
  • Ver o modificar una directiva de grupo.
Botón derecho sobre la directiva, Editar, Menú acción, Propiedades, Seguridad y vera usuarios y grupos que tienen permisos y que permisos tienen.

Ver o modificar propiedades de una Directiva de Grupo.
  • Ficha Ámbito.
    • Vínculos de la directiva del grupo. Para modificar alguna, Botón derecho
    • En filtrado de seguridad muestra los grupos, usuarios y equipos a los que se aplica la directiva
    • En los filtros WMI filtros que se aplican a la directiva.
  • Ficha Detalle.
    • Información sobre la directiva
    • En estado GPO para deshabilitar la configuración del equipo de usuario o de ambas.
  • Ficha Configuración.
    • Resumen de los datos recopilados de la directiva.
  • Ficha Delegación.
    • Grupo y usuarios que tienen permisos sobre la directiva de grupo.
El comando ejecutar como.
  • No es conveniente trabajar como administrador mas que lo estrictamente necesario.
  • Usuarios: Tareas habituales.
  • Operadores: Tareas habituales + Instalar programas.
  • Administrador: Tareas administrativas.
  • Otras opción: Ejecutar como (menú contextual).
Auditorias.

Permiten supervisar sucesos relacionados con la seguridad.
  • Acceso a objetos
  • Administración de cuentas de usuarios y grupos.
  • Inicio y finalización de sesión de usuarios.

  • Auditar sucesos de seguridad
    • llevar un seguimiento de los problemas de  seguridad.
    • Controlar la creación/modificación de objetos
    • Proporcionar pruebas en caso de infracción de seguridad.
      • 3 PASOS
        1. Especificar las categorías de los sucesos que se desean auditar.
        2. Definir el tamaño y el comportamiento del registro de seguridad.
        3. Determinar los objetos.
  • Directivas de auditorias.
    • Categorías de sucesos relacionados con la seguridad que se auditan
    • Se pueden auditar:
      • Acceso a objetos (Archivos, Impresoras, Carpetas...)
      • Acceso a servicios de directorio
      • Cambio de directivas
      • Seguimiento de procesos
      • Uso de privilegios
      • Administración de cuentas
      • Sucesos de Inicio de sesión (Servicios).
      • Sucesos de inicio de sesión de cuentas ( Usuarios ).
      • Sucesos del sistema ( Apagado, Reinicio... )
Cada objeto dispone de un descriptor de seguridad ( Información de Seguridad) con dos partes:
  • La Lista de control de acceso discrecional: Una parte del descriptor de seguridad es usuarios y grupos que tienen acceso al objeto y los permisos concedidos y/o denegados.
  • La lista de control de acceso al sistema : sucesos que se van a auditar que indica:
    • Cuentas de Grupo y Usuarios que se van a auditar al tener acceso al objeto.
    • Los sucesos de acceso e se van a auditar para cada usuario y/o grupo.
    • Un atributo (Acierto/Error) para cada suceso de acceso.
Archivos Solo NTFS.

Acciones Auditables:
  • Recorrer carpeta.
  • Mostrar Carpeta.
  • Leer Atributos.
  • Crear Archivos.
  • Crear Carpetas..
  • Escribir Atributos.
  • Eliminar Carpeta.
  • Eliminar Archivos.
  • Permisos de Lectura.
  • Cambiar Permisos.
  • Tomar posesión de la carpeta.
  • Ejecutar Archivos.
  • Leer Datos.
  • Escribir Datos.
  • Escribir Datos.
  • Anexar Datos.
Hay que especificar archivos/carpetas y Usuarios.
Para ver los registros de Seguridad.
  1. Ejecute la utilidad Panel de control / Herramientas administrativas / Visor de Eventos.
  2. Pulse sobre el signo + que hay a la izquierda de Registro de Windows.
  3. Sitúese sobre el nodo Seguridad y en el panel central se mostraran todos los eventos correspondientes.


Publicado por en No hay comentarios:

viernes, 3 de abril de 2015

Aspectos Avanzados Del Directorio Activo

Bosques Y Árboles de Dominios.

 Cuando varios dominios comparten un esquema y un catálogo global comunes se denomina bosque. Si varios dominios tienen nombres de dominio DNS contiguos, a dicha estructura se le denomina árbol de dominios.

Árboles de dominios

 El primer dominio de un árbol de dominios se denomina dominio raíz. Los dominios adicionales del mismo árbol de dominios son dominios secundarios. Un dominio que se encuentra inmediatamente encima de otro dominio del mismo árbol se denomina dominio principal del dominio secundario.

Todos los dominios que comparten el mismo dominio raíz forman un árbol de dominios y constituyen un espacio de nombres contiguo, es decir, el nombre de un dominio secundario consta del nombre de dicho dominio más el nombre del dominio principal. Por ejemplo, principal.empresa.com es un dominio secundario de empresa.com que, a su vez, es el dominio principal de principal2.principal. empresa.com. El dominio empresa.com es el dominio principal de principal. empresa.com que, además, es el dominio raíz de este árbol de dominio.

Los dominios de Windows Server 2008 que forman parte de un árbol están unidos entre sí mediante relaciones de confianza transitivas y bidireccionales. Dado que estas relaciones de confianza son bidireccionales y transitivas, un dominio recién creado en un bosque o árbol de dominios tiene establecidas inmediatamente relaciones de confianza con todos los demás dominios existentes en dicho bosque o árbol de dominios. Estas relaciones de confianza permiten que un único proceso de inicio de sesión sirva para autenticar a un usuario en todos los dominios del bosque o del árbol de dominios. Esto no significa que el usuario, una vez autenticado, tenga permisos y derechos en todos los dominios del árbol de dominios. Dado que un dominio es un límite de seguridad, los derechos y permisos deben asignarse para cada dominio.

 Bosques

Un bosque está formado por uno o varios árboles de dominios. Los árboles de dominios de un bosque no constituyen un espacio de nombres contiguo. Por ejemplo, aunque dos árboles de dominio (empresa.com y empresa1.com) pueden tener ambos un dominio secundario denominado contabilidad, los nombres DNS de esos dominios secundarios serán contabilidad.empresa.com y contabilidad.empresa1.com.

Sin embargo, un bosque no tiene ningún dominio raíz propiamente dicho. El dominio raíz del bosque es el primer dominio que se creó en el bosque. Los dominios raíz de todos los árboles de dominios del bosque establecen relaciones de confianza transitivas con el dominio raíz del bosque.

Todos los dominios de todos los árboles de dominio de un bosque comparten las siguientes características:

  • Relaciones de confianza transitivas entre los dominios.
  • Relaciones de confianza transitivas entre los árboles de dominio.
  • Un esquema común.
  • Información de configuración común. 
  • Un catálogo global común.

Al utilizar bosques y árboles de dominios, se obtiene la flexibilidad que ofrecen los sistemas de espacios de nombres contiguos y no contiguos (puede ser útil en el caso de organizaciones que tienen divisiones independientes que necesitan conservar sus propios nombres DNS).

El nivel funcional del dominio

 El nivel funcional del dominio habilita las funciones que afectan a un único dominio por completo.

La tabla siguiente muestra los cuatro niveles funcionales de dominios y los controladores de dominio compatibles en cada caso:
Tras elevar el nivel funcional del dominio, no podrán incluirse en dicho dominio controladores de dominio que ejecuten sistemas operativos anteriores. Por ejemplo, si se eleva el nivel funcional del dominio a Windows Server 2008, no podrán agregarse a dicho dominio los controladores de dominio que ejecuten Windows Server 2003. 

Cómo ver el nivel funcional de un dominio 

Para ver el nivel funcional de un dominio, siga los pasos siguientes:

1. Ejecute Dominios y confianzas de Active Directory que se encuentra en Herramientas administrativas del menú Inicio y verá la pantalla principal de la utilidad.

2. Sitúese sobre el dominio al que desea ver su modo de operación, muestre su menú contextual, seleccione Propiedades y verá una pantalla.

3. En ella se nuestra el nombre DNS del dominio (empresa.local), el nombre NetBIOS del dominio (empresa), el nivel funcional del dominio (Windows Server 2003) y el nivel funcional del bosque (Windows Server 2003).

4. Cuando lo desee, pulse en Aceptar y cierre la utilidad.

Cómo elevar el nivel funcional de un dominio

Para elevar el nivel funcional de un dominio (este proceso es irreversible), siga los pasos siguientes:

1. Ejecute Dominios y confianzas de Active Directory que se encuentra en Herramientas administrativas del menú Inicio y verá la pantalla principal de la utilidad.

2. Sitúese sobre el dominio al que desea elevar su nivel funcional, muestre su menú contextual, seleccione  Elevar el nivel funcional de dominio y verá una pantalla parecida a la siguiente:

3. Seleccione el nivel funcional de dominio que desee (en el ejemplo, Windows Server 2003), pulse en Elevar y le mostrará una pantalla de confirmación del proceso (si hubiera algún controlador de dominio con Windows Server 2003 no le permitirá elevar el nivel funcional del dominio).

4. Cuando lo desee, pulse en Aceptar. Al cabo de un momento, le mostrará una pantalla de aviso. Cuando la haya leído, pulse en Aceptar.

5. Compruebe que el nivel funcional del dominio ha cambiado y, cuando lo desee, cierre la utilidad.

El nivel funcional del bosque

El nivel funcional del bosque habilita las funciones que afectan a todos los dominios de un bosque.

La tabla siguiente incluye los niveles funcionales de bosques y los controladores de dominio compatibles en cada caso: 

Tras elevar el nivel funcional del bosque, no podrán incluirse en dicho dominio controladores de bosque que ejecuten sistemas operativos anteriores. Por ejemplo, si se eleva el nivel funcional del bosque a Windows Server 2008, no podrán agregarse a dicho bosque controladores de dominio que ejecuten Windows Server 2003.

Cómo ver el nivel funcional de un Bosque.

Para ver el nivel funcional de un bosque, siga los pasos siguientes:

1. Ejecute Dominios y confianzas de Active Directory que se encuentra en Herramientas administrativas del menú Inicio y verá la pantalla principal de la utilidad.

2. Sitúese sobre el dominio del que desea ver su modo de operación, pulse el botón derecho del ratón para que muestre su menú contextual, seleccione Propiedades y verá una nueva pantalla.

3. En ella se muestra el nombre DNS del dominio (empresa.local), el nombre NetBIOS del dominio (empresa), el nivel funcional del dominio (Windows Server 2008, ya que se ha elevado anteriormente) y el nivel funcional del bosque (Windows Server 2003).

4. Cuando lo desee, pulse en Aceptar y cierre la utilidad.

Cómo elevar el nivel funcional de un Bosque.

Para elevar el nivel funcional de un bosque (este proceso es irreversible), siga los pasos siguientes:

1. Ejecute Dominios y confianzas de Active Directory que se encuentra en Herramientas administrativas del menú Inicio y verá la pantalla principal de la utilidad.

2. Sitúese sobre el nodo Dominios y confianzas de Active Directory, pulse muestre su menú contextual, seleccione Elevar nivel funcional del bosque y verá una pantalla parecida a la siguiente:

3. Seleccione el nivel funcional de bosque que desee (en el ejemplo, Windows Server 2008), pulse en Elevar y le mostrará una pantalla de confirmación del proceso (si hubiera algún controlador de dominio con Windows Server 2003 no le permitirá elevar el nivel funcional del dominio).

4. Cuando lo desee, pulse en Aceptar. Al cabo de un momento, le mostrará una pantalla de aviso. Cuando la haya leído, pulse en Aceptar. 

5. Compruebe que el nivel funcional del dominio ha cambiado y, cuando lo desee, cierre la utilidad. 


EL ESQUEMA DEL DIRECTORIO ACTIVO.

El esquema es el conjunto de definiciones que describen las clases de objetos y los tipos de información acerca de dichos objetos que se pueden almacenar en el Directorio Activo. Las definiciones se almacenan en el esquema como objetos para que se puedan administrar con las mismas operaciones de administración utilizadas para el resto de los objetos del directorio.

Hay dos tipos de definiciones en el esquema (también se las conoce como objetos del esquema o metadatos):
  • Atributos. Es una propiedad del objeto que se define independientemente de las clases. Cada atributo sólo se define una vez y se puede utilizar en múltiples clases.

  • Clases. Es una categoría de objeto que comparte un conjunto de atributos y que se utiliza para describir los posibles objetos que puede haber en el directorio.

Con Windows Server 2008 se proporciona un conjunto de clases y atributos básicos. No se pueden eliminar objetos del esquema, sin embargo, los objetos se pueden marcar como desactivados, lo que proporciona muchas de las ventajas de la eliminación. Los programadores y los administradores de la red con experiencia pueden extender dinámicamente el esquema mediante la definición de nuevas clases y atributos para las clases existentes. Recordamos que extender el esquema es una operación que puede tener consecuencias adversas.

La estructura y el contenido del esquema son controlados por el controlador de dominio que desempeña la función de maestro de operaciones de esquema o FSMO (Flexible Single Master Operations) en cada bosque y, como únicamente puede haber un esquema en cada bosque, la partición de directorio del esquema, junto con la partición de directorio de configuración, se replica a todos los controladores de dominio del bosque. El uso de este esquema común asegura la integridad y coherencia de los datos en todo el bosque.

Para el desarrollo de aplicaciones y las pruebas, se puede ver y modificar el esquema del Directorio Activo con el complemento Esquema de Active Directory. Previamente a su instalación, es necesario registrarlo. Para ello y desde el símbolo del sistema, escriba regsvr32 schmmgmt.dll y pulse [Intro]. Le mostrará un mensaje en el que le indica que se ha registrado con éxito. Pulse en Aceptar cuando lo haya leído. 

Objetos del esquema

Hay dos tipos de objetos del esquema:
  • Los objetos Esquema de clase (classSchema) que definen una clase.

  • Los objetos Esquema de atributo (attributeSchema) que definen un atributo.

Por tanto, para cada clase del esquema, hay un objeto Esquema de clases que especifica la clase y, para cada atributo del esquema, hay un objeto Esquema de atributos que especifica el atributo y aplica restricciones en los objetos que son instancias de una clase con dicho atributo.

Algunas de las restricciones de los objetos Esquema de clases son:
  • Una lista de atributos obligatorios que se deben definir para una clase.

  • Una lista de atributos opcionales que se pueden definir para una clase.

Las reglas de jerarquía que determinan los objetos principales, auxiliares y superiores del Directorio Activo de una clase. 

EL CATÁLOGO GLOBAL

De forma predeterminada, en el controlador de dominio inicial del bosque se crea automáticamente un catálogo global que se utiliza para almacenar una réplica completa de todos los objetos del directorio de su dominio y una réplica parcial de sólo lectura de todos los objetos contenidos en el directorio de cada uno de los demás dominios del bosque (la réplica es parcial ya que almacena algunos, pero no todos, de los valores de los atributos de cada objeto del bosque).

El catálogo global realiza cuatro funciones de directorio principales:


  • Resuelve los nombres principales de los usuarios (UPN) cuando el controlador de dominio donde inicia la sesión un usuario no tiene conocimiento de la cuenta.
  • Proporciona información de pertenencia a grupos universales a un controlador de dominio cuando comienza un proceso de inicio de sesión.
  • Permite encontrar información del directorio con independencia de cuál sea el dominio que contiene realmente los datos.
  • Valida las referencias a los objetos dentro de un bosque.


Si no hay disponible un catálogo global cuando un usuario inicia el proceso de inicio de sesión en la red, el usuario sólo podrá conectarse al equipo local. Si sólo hay un controlador de dominio, el controlador de dominio y el catálogo global estarán en el mismo servidor. Si hay múltiples controladores de dominio en la red, el catálogo global se guardará en el controlador de dominio configurado expresamente para almacenarlo. Cuando se instalen controladores de dominio adicionales en el dominio, se puede cambiar la ubicación predeterminada del catálogo global a otro controlador de dominio mediante la utilidad Sitios y servicios de Active Directory.

El Directorio Activo define un conjunto básico de atributos para cada objeto del directorio. Cada objeto y algunos de sus atributos se almacenan en el catálogo global. Con el complemento Esquema de Active Directory, se pueden especificar los atributos adicionales que se desea que se mantengan en el catálogo global (para obtener más información, ver el apartado Cómo ver las propiedades de un atributo en este capítulo). Sin embargo, al agregar un atributo nuevo al catálogo global se produce una sincronización total de todos los atributos de objetos almacenados en el catálogo global (para todos los dominios del bosque). En un bosque grande con múltiples dominios, esta sincronización puede ocasionar un tráfico considerable en la red.

Catálogo global y maestro de infraestructura

El maestro de infraestructura es el responsable de actualizar las referencias de los objetos de su dominio en los objetos de los otros dominios mediante la comparación de sus datos con los del catálogo global.

Si encuentra datos sin actualizar, solicitará los datos actualizados a un catálogo global y, a continuación, los replicará a los otros controladores del dominio.

A menos que haya un único controlador en el dominio, la función de maestro de infraestructura no deberá asignarse al controlador de dominio que albergue el catálogo global. Si ambos se encuentran en el mismo controlador de dominio, el maestro de infraestructura no funcionará, ya que nunca encontrará datos sin actualizar y, por tanto, no replicará los cambios a los otros controladores del dominio.

Si todos los controladores de un dominio almacenan el catálogo global, todos los controladores de dominio tendrán ya los datos actualizados y no importará qué controlador de dominio desempeñe la función de maestro de infraestructura. El maestro de infraestructura es también el responsable de actualizar las referencias de grupos a usuarios cada vez que haya una variación o cambio de nombre en los miembros de un grupo. Al cambiar de nombre o mover un miembro de un grupo, si el miembro reside en un dominio distinto del grupo, puede que durante un tiempo parezca que el grupo no contiene a ese miembro (sólo será detectado por un administrador que esté examinando la pertenencia a dicho grupo). El maestro de infraestructura del dominio del grupo es el responsable de actualizar el grupo de forma que se sepa, en todo momento, el nuevo nombre o ubicación del miembro y distribuir la actualización a través de la replicación de varios maestros.

El maestro de operaciones

El Directorio Activo permite realizar la replicación Multimaster o replicación con múltiples maestros del almacén de datos del directorio entre todos los controladores del dominio. Esta replicación se diferencia de otros modelos de replicación en que un controlador almacena la única copia modificable del directorio y  otros controladores únicamente almacenan copias de seguridad. Algunos cambios no se pueden realizar utilizando la replicación con múltiples maestros, por lo que sólo un controlador de dominio, denominado maestro de operaciones, acepta las solicitudes para realizar este tipo de cambios.

En cualquier bosque del Directorio Activo existen, al menos, cinco funciones de maestro de operaciones que se asignan a uno o más controladores de dominio. Algunas funciones deben estar presentes en todo el bosque y otras funciones deben estar presentes en cada dominio del bosque.

Dado que las funciones de maestro de operaciones se pueden mover a otros controladores de dominio del mismo dominio o del bosque, dichas funciones se denominan también Funciones flexibles de operaciones de un solo maestro (FSMO).

Publicado por en No hay comentarios:

Los Sitios en el Directorio Activo

Los Sitios
  • Un sitio representa un conjunto de equipos que están conectados mediante una red de alta velocidad (por ejemplo, una red de área local).
  • Los objetos de subredes identifican los rangos de direcciones IP de un sitio.
  • Es conveniente que las redes de área extensa (WAN) empleen múltiples sitios, ya que si no lo hacen así, la atención de las solicitudes o la replicación de información del directorio será muy poco eficiente. 

Cómo se relacionan los sitios con los dominios.

  • En el Directorio Activo, los sitios representan la estructura física (Topología) de la red, mientras que los dominios representan la estructura lógica de la organización.
  • La estructura lógica y la estructura física son independientes la una de la otra, por ello:
    • No es necesaria ninguna correlación entre la estructura física de la red y su estructura de dominios.
    • Es posible que haya múltiples dominios en un único sitio, así como múltiples sitios en un único dominio.
    • No es necesaria ninguna conexión entre los espacios de nombres de sitios y de dominios.
  • El Directorio Activo utiliza la información de Topología,almacenada como objetos de sitio y vínculos de sitio en el directorio,para crear la Topología de replicación mejor y más eficaz. 

Cómo se utilizan los sitios.

Los sitios facilitan diversas operaciones:
  •  Autenticación. Cuando un cliente inicia una sesión en un dominio, en primer lugar se dirige a un controlador de dominio del mismo sitio para autenticarse (de esta manera, se reduce el tráfico en las conexiones WAN).
  •  Replicación. Los sitios optimizan la replicación de información del directorio. La información de configuración y del esquema del directorio se distribuye por todo el bosque y los datos del dominio se distribuyen entre todos los controladores de dominio. La información del directorio se replica dentro de un sitio con mayor frecuencia que con los demás sitios; de esta forma, los controladores de dominio que con más probabilidad necesitarán información especial del directorio son los que primero reciben las replicaciones.Los controladores de dominio de otros sitios reciben todos los cambios efectuados en el directorio, pero con menor frecuencia, con lo que se reduce el consumo de ancho de banda de red (para obtener más información sobre la replicación ver al apartado La replicación del Directorio Activo de este capítulo).
  • Ubicación de servicio. Otros servicios (como los Servicios de Certificate Server de Active Directory o Exchange Server) utilizan el Directorio Activo para almacenar objetos que pueden utilizar la información de la subred y el sitio.
  • La pertenencia a un sitio se determina de manera diferente para los controladores de dominio que para los clientes.
  • Un cliente determina en qué sitio está cuando se conecta, ya que obtiene su dirección IP y su máscara de subred del servidor DHCP (de modo que la ubicación de su sitio se actualiza dinámicamente).
  • La ubicación de un controlador de dominio se establece por el sitio al que pertenece en el directorio (ya que obtiene su dirección IP y su máscara de subred de forma estática y, por tanto, no se modificará a no ser que se desplace a un sitio distinto).
Cuándo deben establecerse sitios independientes.

  • Se deben establecer sitios independientes cuando la red esté formada por varias ubicaciones geográficas conectadas por conexiones WAN que provocan que los controladores de dominio no respondan con la velocidad suficiente a las necesidades de los usuarios.
  • Al establecerse varios sitios independientes, se obtienen las ventajas siguientes:
    • Se reparte el proceso de autenticación de los clientes.
    • Se optimiza el intercambio de información de directorios.
    • Se puede ajustar con precisión el comportamiento de la replicación.
  • Al planearse la estructura de sitios, es preciso tener en cuenta los controladores de dominio que utilizará cada equipo para el proceso de inicio de sesión.
  • Si un cliente está en un sitio que no disponga de controladores de dominio, utilizará el sitio al que esté mejor conectado que disponga de un controlador de dominio. El sitio mejor conectado se determinará basándose en el vínculo de sitio que tenga el coste menor.
  • Si se desea que un cliente inicie sus sesiones en un conjunto determinado de controladores de dominio, se pueden definir los sitios de forma que, únicamente, dichos controladores de dominio estén en el mismo sitio que el cliente (aunque haya otros controladores de dominio que se encuentren en su misma ubicación física). 
Cómo trabajar con sitios

Para trabajar con sitios, se utiliza Sitios y servicios de Active Directory. Para trabajar con ellos, siga los pasos siguientes:

1. Ejecute Sitios y servicios de Active Directory que se encuentra en Herramientas administrativas del menú Inicio y verá la pantalla inicial de la utilidad.

2. Pulse en el signo "+" que hay a la izquierda de Sites y se desplegarán sus tres nodos:
  • Subnets. En este nodo se crearán las subredes.
  • Inter-Site Transports. En este nodo se encuentran los protocolos de transporte que se utilizarán entre los sitios que haya definidos.
  • Default-First-Site-Name. Corresponde al primer sitio configurado por defecto.

3. Cuando lo desee, cierre la utilidad. 


Cómo crear un sitio.

Para crear un sitio nuevo, siga los pasos siguientes:
  1.  Ejecute Sitios y servicios de Active Directory que se encuentra en Herramientas administrativas del menú Inicio y verá la pantalla inicial de la utilidad.
  2. Sitúese sobre Sites, muestre su menú contextual,seleccione Nuevo sitio y verá la pantalla siguiente: 
  3. Indique el nombre que desea dar al sitio que está creando(en el ejemplo, Prueba).
  4. Seleccione DEFAULTIPSITELINK como vínculo a utilizar; de esta manera, se vincularán el sitio que se está creando y el sitio por defecto Default-First-Site-Name utilizando el protocolo de transporte IP.
  5. Pulse en Aceptar y le mostrará una pantalla de aviso donde se recuerda los procesos a seguir para terminar de configurar el sitio que se está creando.
  6. Cuando lo haya leído, pulse en Aceptar y volverá a la pantalla principal de la utilidad. Fíjese en que hay un nuevo nodo que corresponde al sitio nuevo.
  7. Cuando haya finalizado, cierre la utilidad. 
Publicado por en No hay comentarios:

Administración de Dominios



Estructura del trabajo en grupo.
  • Principal diferencia: Administración centralizada.
  • Cada usuario controla qué recursos comparte de su ordenador.
  • Problemas en grandes organizaciones
    • Localización de los recursos
    • Limitación de los colaboradores
Estructura cliente servidor.
  • Antes todos clientes y todos servidores → Compartición
  • Ahora → Pocos servidores: equipos que comparten sus recursos
    • Servidores de Archivos
    • Servidor de Impresión
    • Servidor de Comunicaciones
    • Servidor Web
    • Servidor de Correo electrónico
    • Servidor FTP
    • Servidor Proxy
Protocolo LDAP.
  • Protocolo ligero de acceso a directorios (Lightweight Directory Access Protocol).
  • Nivel aplicación.
  • Para acceder a un servicio de directorio ordenado y distribuido.
  • BD en la que pueden realizarse consultas.
  • Directorio: estructura jerárquica que almacena información de objetos existentes en la red.
  • Servicio de directorio: métodos para almacenar datos del directorio y ponerlos a disposición de administradores y usuarios.
Dominios.
  • Divide redes extensas en redes parciales
  • Equipos + Usuarios + Recursos
  • Se pueden administrar centralizados
  • Planificación más fácil
  • Los recursos siguen conectados a los equipos, pero se centraliza su administración
  • Mayor seguridad
  • Para varios dominios → Relaciones de confianza (1 cuenta para varios dominios)
  • Todo supervisado por el controlador de dominio (También controlador de respaldo)
Directorio activo (Active Directory).
  • Servicio de directorio de windows.
  • Incorpora un directorio (almacén de objetos)
  • Conceptos:
    • Dominio: Estructura fundamental
    • Unidad Organizativa: Grupo de objetos + Unidades organizativas
    • Objetos: Recursos Concretos
    • Grupos: Conjunto de Objetos del Mismo Tipo

Árbol de dominios y Bosque.

Papeles de los servidores.
  • Controlador de Dominio.
  • Servidores Miembros.
  • Servidores Independientes.
  • Servidor de Replicación (Backup).
  • Cada bosque necesita un Servidor DNS para:
    • Resolver los nombres de equipos.
    • Asignar nombre a los dominios.

Usuarios.
  • Objetos del directorio con identificador de seguridad para acceder a la red y a los recursos.
  • La identidad del usuario se autentica.
  • Se le autoriza el uso de recursos.
  • Se le puede auditar.
  • Dos tipos:
    • Usuarios globales o del dominio: para trabajar en el dominio.
    • Usuarios locales: para los equipos. Fuera del dominio.
  • Dos cuentas predefinidas:
    • Administrador del dominio.
    • Invitado .
Usuarios se pueden.
  • Crear.
  • Modificar.
  • Cambiar nombre.
  • Modificar contraseña.
  • Limitar horas de conexión.
  • Limitar estaciones de trabajo en la que se conectan.
  • Copiar → plantillas
  • Realizar operaciones conjuntas → varias cuentas juntas

Perfiles Móviles.
  • Asignado a cada usuario
  • El usuario puede cambiarlo y los cambios permanecen después de cerrar sesión
  • Los datos se guardan en /usuarios/nombre_del_usuario/ntuser.dat
  • Al conectarse el archivo se copia en HKEY_CURRENT_USER
  • Si hace cambios se guardan temporalmente en ntuser.dat.LOG1 y ntuser.dat.LOG2
  • Al terminar sesión se copia en ntuser.dat

Perfiles Obligatorios.
  • Misma estructura que los perfiles móviles pero aseguran que los usuarios trabajen en un entorno común
  • Los usuarios pueden modificar los perfiles, pero los cambios se pierden
  • Los administradores pueden cambiarlos y guardar los cambios
  • Se guardan en el archivo /usuarios/nombre/ntuser.man
Perfiles Superobligatorios.
  • Misma filosofía que los perfiles obligatorios
  • Si no se pueden cargar, no se puede iniciar sesión
Otras utilidades
  • Scripts de inicio de sesión
  • Ruta de acceso local
  • Unidades de red
Grupos
  • Dos tipos:
    • Grupos de seguridad.
    • Grupos de distribución.
  • Según el ámbito:
    • Grupos universales → permisos en cualquier dominio.
      • Universales + globales + cuentas de cualquier dominio.
      • Necesitan AD + modo nativo.
    • Grupos globales → permisos en cualquier dominio.
      • Globales + cuentas del dominio en el que se ha definido el grupo.
    • Grupos de dominio local → permisos en el dominio.
      • Universales + globales + locales del dominio y cuentas de cualquier dominio.
    • Grupos locales → sin Directorio Activo. Permisos para el equipo.
Cambiar ámbito
  • Por defecto grupo de seguridad de ámbito global.
  • Global a universal → solo si el grupo global no es miembro de otro grupo global.
  • Dominio local a universal → solo si el grupo de dominio local no tiene como miembro otro grupo de dominio local.
  • Universal a global → solo si el grupo universal no tiene como miembro otro grupo universal.
Grupos creados en la instalación
  • Carpeta Builtin
    • Tipo integrado local
  • Carpeta users
    • Dominio local
Los Equipos
  • Representan los equipos.
  • Permite iniciar sesiones en un dominio con autenticación.
  • Permite el acceso a recursos.
  • Cada equipo que accede a la red tiene su propia cuenta:
    • Autenticar la identidad del equipo.
    • Autorizar o denegar el acceso a recursos.
    • Administrar recursos, usuarios…
    • Auditar acciones.
  • Dos carpetas:
    • Domain Controllers.
    • Computers.
  • Se crean al añadir un equipo al dominio.
Publicado por en No hay comentarios:

Instalacion de Windows Server


Redes , Servicio de Directorios y Dominios.

  • Redes: Recursos Compartidos y Distribuidos. Grupo de trabajo.
  • Servicio de directorio: Recursos compartidos y distribuidos con administración centralizada.
  • Dominio: Recursos compartidos y distribuidos con administración centralizada y estructura jerárquica.
Configurar el Servidor.
  • Servicios de acceso y directivas de redes
  • Servicios de archivos
  • Servicios de dominio de Directorio Activo
  • Servicios de impresión
  • DHCP
  • DNS
  • Terminal Services.
  • Servicio Web

Agregar Funciones.
  • Dos pasos:
    • Añadir la Funcion.
    • Añadir Caracteristicas.
  • Para las Funciones:
    • Inicio/Herramientas Administrativas/Administrador del
    • servidor
    • Ir a funciones/Agregar funciones o Quitar funciones
  •  Para las características
    • Inicio/Herramientas Administrativas/Administrador del servidor
    • Ir a Agregar características
Documentación Sobre la Instalación  e Incidencias
  •  Fecha y hora de la instalación
    • Versión, clave del producto del SO
    •  Información del Hardware: Procesador, Disco Duro, Memoria, Gráfica,Placa, Otros…
    • Nombre del equipo, contraseña del administrador, Número de licencias
    • Otro Software instalado: nombre, utilidad, fecha de instalación…
    • Identificación de la red: nombre del dominio/nombre del grupo de trabajo, IP, máscara, Puerta de enlace, Servidor DNS, Roseta.
    • Actualizaciones: nombre, utilidad y fecha
    • Proxys
    • Ubicación del equipo
    Publicado por en No hay comentarios:
    Suscribirse a: Comentarios (Atom)