modulo 2 administracion de windows 2003 r2 server

7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER

1/244


2/244

ADMINISTRACIN DEWINDOWS 2003 R2 SERVER


3/244


4/244

WINDOWS 2003 SERVER R2 418

VERSIONES DE WINDOWS 2003 SERVER 418

WINDOWS 2003 SERVER R2 STANDARDEDITION 418

WINDOWS 2003 SERVER R2 ENTERPRISEEDITION 418

WINDOWS 2003 SERVER R2 DATACENTEREDITION 419

REQUERIMIENTOS DE HARDWARE 419

LISTA DE COMPATIBILIDAD DE HARDWARE 420

H ARD WARE DE MULTIPROCESAMIENTO

SIMTRICO 420

MODELOS DE INSTALACIN DE WINDOWS2003 420

ADMINISTRACIN DE CUENTAS DE USUARIO Y DEEQUIPO 432

INTRODUCCIN 432

CUENTAS DE USUARIO 432

CONVENCIN DE NOMENCLATURA DE CUENTAS DEUSUARIO 434

PRCTICAS RECOMENDADAS PARA CREARCUENTAS DE USUARIO 435CUENTAS DE EQUIPO 436BLOQUEO DE CUENTAS DE USUARIO 437

LOCALIZACIN DE OBJETOS EN ACTIVE

DIRECTORY 438

ndiceINTRODUCCIN 444

GRUPOS 444TIPOS DE GRUPO 445NIVELES FUNCIONALES DE DOMINIO 446

GRUPOS GLOBALES 447

GRUPOS UNIVERSALES 448

GRUPOS LOCALES 449

ANIDAMIENTO DE GRUPOS 450

MODIFICACIN DEL MBITO O TIPO DE UNGRUPO 450

GRUPOS PREDETERMINADOS EN ACTIVEDIRECTORY 452

GRUPOS DEL SISTEMA 452

PERMISOS 460

TIPOS DE PERMISOS 460

PERMISOS ESTNDAR Y ESPECIALES 460

CARPETAS COMPARTIDAS 461

ADMINISTRAR EL ACCESO A ARCHIVOS YCARPETAS MEDIANTE PERMISOS NTFS 464

PERMISOS DE CARPETAS COMPARTIDAS 464

PERMISOS DE ARCHIVO Y CARPETA NTFS 465

EFECTOS PRODUCIDOS EN LOS PERMISOS NTFSAL COPIAR Y MOVER ARCHIVOS Y CARPETAS 466

HERENCIA DE PERMISOS NTFS 468

PERMISOS EFECTIVOS DE ARCHIVOS Y CARPETASNTFS 468

Administracin de Windows 2003 R2 Server

MDULO 3

CLASE TEORICA 25 418

CLASE PRACTICA 26 429







5/244


IMPLEMENTACIN Y ADMINISTRACIN DESERVICIOS DE IMPRESIN

INTRODUCCIN 474

IMPRESORA LOCAL E IMPRESORA DE RED 474

REQUISITOS DE HARDWARE PARA CONFIGURARSERVIDORES DE IMPRESIN 474

INSTALAR Y COMPARTIR UNA IMPRESORALOCAL 475

INSTALAR Y COMPARTIR UNA IMPRESORA DERED 475SEGURIDAD EN LAS IMPRESORAS DE RED 476

CONTROLADORES DE IMPRESORAS 478

ADMINISTRACIN DE COLAS DE IMPRESIN 478

UBICACIN DE LA CARPETA DE COLAS DEIMPRESIN 479

CAMBIAR LA UBICACIN DE LA COLA DEIMPRESIN 479

ADMINISTRACIN DEL ACCESO A LOS OBJETOS DELAS OU

INTRODUCCIN 484

PERMISOS ESTNDAR Y ESPECIALES 484

ACCESO AUTORIZADO SEGN PERMISOS 484

PERMISOS DE OBJETO DE ACTIVE DIRECTORY 484

HERENCIA DE PERMISOS 485

MODIFICAR LOS OBJETOS EN LA HERENCIA DEPERMISOS 486

PERMISOS EFECTIVOS PARA LOS OBJETOS DEACTIVE DIRECTORY 487

DELEGACIN DE CONTROL DE UNA UNIDADORGANIZATIVA 488

ASISTENTE PARA DELEGACIN DE CONTROL 489









Implementacin de plantillas administrativas y

directivas de auditora

DERECHOS DE USUARIO 518

INTRODUCCIN 492CONFIGURACIN DE USUARIOS Y EQUIPOS 492

CREAR OBJETOS DE DIRECTIVA DE GRUPO 494

ADMINISTRACIN DE OBJETOS DE DIRECTIVA DEGRUPO EN UN DOMINIO 496

VNCULO DE OBJETO DE DIRECTIVA DE GRUPO 497

HERENCIA DEL PERMISO DE DIRECTIVA DE GRUPOEN ACTIVE DIRECTORY 498

OBJETOS DE DIRECTIVA DE GRUPO ENTRAN ENCONFLICTO 499

IMPLEMENTACIN DE UN OBJETO DE DIRECTIVA DE

GRUPO 500

ATRIBUTOS DE UN VNCULO DE OBJETO DEDIRECTIVA DE GRUPO 500

FILTRAR LA IMPLEMENTACIN DE UN OBJETO DEDIRECTIVA DE GRUPO 501

INTRODUCCIN 506

CONFIGURACIN HABILITADA Y DESHABILITADADE LA DIRECTIVA DE GRUPO 507

REDIRECCIN DE CARPETAS 508

CARPETAS QUE PUEDEN REDIRIGIRSE 509

CONFIGURAR LA REDIRECCIN DE CARPETAS 510

GPUPDATE 511

GPRESULT 511

INFORMES DE DIRECTIVA DE GRUPO 512


6/244



PERMISOS DE USUARIO 518

DIRECTIVAS DE SEGURIDAD 519

DIRECTIVAS DE SEGURIDAD DE ACTIVEDIRECTORY 519

PLANTILLAS DE SEGURIDAD 520Utilizacin de las plantillas de seguridadPlantillas predefinidasValores de configuracin de plantillas de seguridad

HERRAMIENTA CONFIGURACIN Y ANLISIS DESEGURIDAD 522

AUDITORA 523Tipos de sucesos que se pueden auditar

DIRECTIVA DE AUDITORA 524

PLANIFICAR UNA DIRECTIVA DE AUDITORA 524

Migracin de Dominios a Windows 2003 R2Server

INTRODUCCIN 532

SELECCIONAR LA VERSIN DE WINDOWS 2003 R2A LA CUAL MIGRAR 532

MIGRACIN A UN SISTEMA OPERATIVOEQUIVALENTE 532

VERIFIQUE LAS NECESIDADES DE SISTEMA YC O M PATIBILIDAD DE HARDWARE 533

C O M PATIBILIDAD DE HARDWARE 533

DEFINIR LA MEJOR OPCION: ACTUALIZAR,INSTALACIN NUEVA O MIGRAR 534

MOTIVOS PA RA ACTUALIZAR 534

MOTIVOS PARA REALIZAR UNA INSTALACINLIMPIA O MIGRAR 535

HERRAMIENTA DE MIGRACIN DE ACTIVEDIRECTORY (ADMT V2) 535

ROLES DE UN SERVIDOR 537

ELEVAR EL NIVEL FUNCIONAL DE UN BOSQUE 540

CONTROLADORES DE DOMINIO 540

Servicio DNS de Windows 2003 R2

INTRODUCCIN 546

VISIN GENERAL DE LA CONSOLA DNS 546

REGISTRO DE RECURSOS 546

MLTIPLES DIRECCIONES EN UN SERVIDORDNS 548

CONFIGURAR SERVIDORES RACES 548

DNS Y ACTIVE DIRECTORY 549

TRANSFERENCIA DE ZONA 550

TRANSFERENCIA DE ZONA INCREMENTAL 550



DNS DINMICO 550

CONFIGURAR DDNS 551

Servicio WINS de Windows 2003 R2 552

INTRODUCCIN 552

EL NUEVO WINS 553

CONEXIONES PERSISTENTES 553

REPLICACIN DE WINS 554

ELIMINACIN MANUAL DE REGISTROS 555

El servicio DHCP de Windows 2003 R2 Server

SOPORTE PAR A DNS DINMICO (DDNS) 562

INTRODUCCIN 562

ASIGNACIN DE DIRECCIONES MULTICAST 563

DETECCIN DE UN SERVIDOR DHCP NOAUTORIZADO 563

CREAR MBITOS 565

CONFIGURAR OPCIONES GLOBALES EN ELSERVIDOR DHCP 565




7/244


RESERVAS 565

AUTORIZAR EL SERVIDOR 566

DEFINIR Y PONER EN PRCTICA CLASES DEFABRICANTE Y USUARIO 566

CLASES DE FABRICANTE 566

CONFIGURAR UN CLIENTE PARA UTILIZAR ID DECLASES 567

CREAR UN SPER MBITO 569

MANEJAR LA BASE DE DATOS DE DHCP 569

COPIAS DE RESPALDO DE LA BASE DE DATOS DEDHCP Y SU RESTAURACIN 570

Clase terica 37 576

ADMINISTRACIN DE DISCOS 576

ADMINISTRACIN LOCAL Y REMOTA 576

LA HERRAMIENTA DISKPART 576

PARTICIONADO 577

PROPIEDADES DE LOS DISCOS 579

UNIDAD MONTADA 580

DISCOS BSICOS Y DISCOS DINMICOS 580

CONVERSIN DE DISCOS DINMICOS 581

VOLUMEN SIMPLE 582

VOLUMEN EXTENDIDO 582

VOLUMEN DISTRIBUIDO 582

VOLUMEN SECCIONADO 582

DISCO EXTERNO 583

DISCO SIN CONEXIN 583

Clase prctica 37 584

Clase terica 38 590

COMPRESIN DE ARCHIVOS 590

CARPETA COMPRIMIDA (EN .ZIP) 590

EL COMANDO COMPACT 591

MOVER Y COPIAR ARCHIVOS Y CARPETAS

COMPRIMIDOS 592

PRCTICAS RECOMENDADAS PARA COMPRIMIR

ARCHIVOS O CARPETAS 593

CIFRADO EFS 593


Clase terica 39 602

COPIA DE SEGURIDAD DE LOS DATOS 603

FRECUENCIA DE LAS COPIAS DE SEGURIDAD 603

D ATOS DE ESTADO DEL SISTEMA 605

LA UTILIDAD DE COPIA DE SEGURIDAD 606

TIPOS DE COPIAS DE SEGURIDAD 607

COPIA DE SEGURIDAD: DE COPIA 607

COPIA DE SEGURIDAD CON NTBACKUP 609

RECUPERACIN AUTOMTICA DEL SISTEMA 610

INSTANTNEAS 610

MODO SEGURO 616

OPCIONES DEL MODO SEGURO 616

LTIMA CONFIGURACIN CORRECTA

CONOCIDA 617

CONSOLA DE RECUPERACIN 618

FUNCIONAMIENTO DE LOS ARCHIVOS DE

INICIO 621

HERRAMIENTAS DE RECUPERACIN EN CASO DE

ERROR DEL SERVIDOR 622

CLASE PRCTICA 37 584






8/244


Clase terica 41 628

WINDOWS UPDATE 628

WINDOWS UPDATE Y ACTUALIZACIONES

AUTOMTICAS 630

SOFTWARE UPDATE SERVICES 630

PROCESO DE SUS 632

PUNTOS DE DISTRIBUCIN DEL SERVIDOR PARA

SUS 632

REQUISITOS DE HARDWARE PARA LA INSTALACINDE SUS 632

SITIO WEB DE ADMINISTRACIN DE SOFTWARE

UPDATE SERVICES 632

SINCRONIZAR EL CONTENIDO DE SUS 633

REGISTROS DE SOFTWARE UPDATE SERVICES 634


Clase terica 42 638

IPSEC Y LA PROTECCIN DEL TRFICO EN LA

RED 639

CONJUNTO DE DIRECTIVAS IPSEC 641

EQUILIBRAR LA SEGURIDAD Y EL

RENDIMIENTO 641

NIVELES DE SEGURIDAD 642

IMPLEMENTACIN DE IPSEC CON

CERTIFICADOS 642

CERTIFICADOS 643

MONITOR DE SEGURIDAD IP 644








9/244

MDULO

3Administracin de Windows 2003 R2 Server

Este mdulo lo adentrar en las ltimas tecnologas de

administracin avanzada de infraestructuras de red.

Windows 2003 R2 Server supone un avance en diversos

temas crticos, como ser: Fiabilidad, Escalabilidad y

Seguridad mejorada.

Como administrador de infraestructura de redes es

indispensable mantenerse al da con las ltimas tecnologas

y tendencias que el mercado IT presenta.

Conocer a fondo las caractersticas que Windows 2003 R2

posee, le permitir incrementar de manera exponencial todas

las habilidades adquiridas en el mdulo anterior. Con lapresentacin de esta nueva plataforma tambin se revisaran

las nuevas mejoras en los servicios crticos de red con

respecto a las versiones anteriores.

Orgnizacin

de

Conten

idos

CLASE TERICA 25

WINDOWS 2003 SERVER R2

VERSIONES DE WINDOWS 2003

SERVER


STANDARD EDITION


ENTERPRISE EDITION


D ATACENTER EDITION

WINDOWS 2003 SERVER W E B

EDITION

REQUERIMIENTOS DE HARDWARE

LISTA DE COMPATIBILIDAD DE

HA RD WARE

HA RD WAREDE

M U LTIPROCESAMIENTO

SIMTRICO

MODELOS DE INSTALACIN DE

WINDOWS 2003

ACTUALIZACIONES VS.

INSTALACIONES LIMPIAS 421

ACTUALIZACIN

INSTALACIN LIMPIA

INSTALACIN DESDE UN CD O DVD

INICIAR EL SISTEMA DESDE EL CD /

DVD DE INSTALACIN DE WINDOWS

2003

EJECUTAR EL ARCHIVO SETUP.EXE

DEL CD / DVD

INSTALACIONES A UTO M ATIZADAS

TIPOS DE INSTALACIN

A UTO M ATIZADA

INSTALACIN DESATENDIDA


10/244

Clase

Orgnizac

in

de

Con

tenidos

INSTALACIN POR SYSPREP

SERVICIO DE INSTALACIN REMOTA (RIS)

CLASE TEORICA 26

ADMINISTRACION DE CUENTAS DE USUARIO Y

EQUIPO

INTRODUCCIN

CUENTAS DE USUARIO

CONVENCIN DE NOMENCLATURA DE CUENTASDE USUARIO

PRCTICAS RECOMENDADAS PAR A CREARCUENTAS DE USUARIO

CUENTAS DE EQUIPO

BLOQUEO DE CUENTAS DE USUARIO

LOCALIZACIN DE OBJETOS EN ACTIVE

DIRECTO RY

CLASE TEORICA 27

ADMINSITRACION DE GRUPOS

GRUPOS

TIPOS DE GRUPO

NIVELES FUNCIONALES DE DOMINIO

GRUPOS GLOBALES

GRUPOS UNIVERSALES

GRUPOS LOCALES

ANIDAMIENTO DE GRUPOS

MODIFICACIN DEL MBITO O TIPO DE UNGRUPO

GRUPOS PREDETERMINADOS EN ACTIVE

DIRECTO RY

GRUPOS DEL SISTEMA

CLASE TEORICA 28

ADMINISTRACION DE ACCESO A RECURSOSPERMISOS

TIPOS DE PERMISOS

PERMISOS ESTNDAR Y ESPECIALES

CARPETAS COMPA RTIDAS

ADMINISTRAR EL ACCESO A ARCHIVOS Y

CARPETAS MEDIANTE PERMISOS NTFS

PERMISOS DE CARPETAS COMPA RTIDAS

PERMISOS DE ARCHIVO Y CARPETA NTFS

EFECTOS PRODUCIDOS EN LOS PERMISOS NTFS AL

COPIAR Y MOVER ARCHIVOS Y CARPETAS

HERENCIA DE PERMISOS NTFS

PERMISOS EFECTIVOS DE ARCHIVOS Y CARPETAS

CLASE TEORICA 29

IMPLEMENTACION Y ADMINISTRACION DE

SERVICIOS DE IMPRESIN

INTRODUCCIN

IMPRESORA LOCAL E IMPRESORA DE RED

REQUISITOS DE HARDWARE PARA CONFIGURAR

SERVIDORES DE IMPRESIN

INSTALAR Y COMPA RTIR UNA IMPRESORA LOCAL

INSTALAR Y COMPA RTIR UNA IMPRESORA DE RED

SEGURIDAD EN LAS IMPRESORAS DE RED

CONTROLADORES DE IMPRESORAS

ADMINISTRACIN DE COLAS DE IMPRESIN

UBICACIN DE LA CARPETA DE COLAS DE

IMPRESIN

CAMBIAR LA UBICACIN DE LA COLA DE

IMPRESIN

CLASE TEORICA 30

ADMINISTRACIN DEL ACCESO A LOS OBJETOS DE

LAS OU

INTRODUCCIN

PERMISOS ESTNDAR Y ESPECIALES

ACCESO A UTORIZADO SEGN PERMISOS

PERMISOS DE OBJETO DE ACTIVE DIRECTO RY

HERENCIA DE PERMISOS

MODIFICAR LOS OBJETOS EN LA HERENCIA DE

PERMISOS

PERMISOS EFECTIVOS PARA LOS OBJETOS DEACTIVE DIRECTO RY

DELEGACIN DE CONTROL DE UNA UNIDAD

ORGANIZATIVA

ASISTENTE PARA DELEGACIN DE CONTROL

CLASE TEORICA 31

IMPLEMENTACIN DE DIRECTIVAS DE GRUPO

INTRODUCCIN

CONFIGURACIN DE USUARIOS Y EQUIPOS


11/244

Orgnizac

in

de

Con

tenidos

CREAR OBJETOS DE DIRECTIVA DE GRUPO

ADMINISTRACIN DE OBJETOS DE DIRECTIVA DEGRUPO EN UN DOMINIO

VNCULO DE OBJETO DE DIRECTIVA DE GRUPO

HERENCIA DEL PERMISO DE DIRECTIVA DE GRUPO

EN ACTIVE DIRECTO RY

OBJETOS DE DIRECTIVA DE GRUPO ENTRAN ENCONFLICTO

IMPLEMENTACIN DE UN OBJETO DE DIRECTIVADE GRUPO

ATRIBUTOS DE UN VNCULO DE OBJETO DE

DIRECTIVA DE GRUPO

FILTRAR LA IMPLEMENTACIN DE UN OBJETO DE

DIRECTIVA DE GRUPO

CLASE TEORICA 32

ADMINISTRACIN UN ENTORNO DE USUARIOMEDIANTE DIRECTIVAS DE GRUPO

INTRODUCCIN

CONFIGURACIN HABILITAD A Y DESHABILITAD ADE LA DIRECTIVA DE GRUPO

REDIRECCIN DE CARPETAS

CARPETAS QUE PUEDEN REDIRIGIRSE

CONFIGURAR LA REDIRECCIN DE CARPETAS

GPUPDATE

GPRESULT

INFORMES DE DIRECTIVA DE GRUPO

CLASE TEORICA 33

IMPLEMENTACIN DE DIRECTIVAS DE GRUPO

DERECHOS DE USUARIO

PERMISOS DE USUARIO

DIRECTIVAS DE SEGURIDAD

DIRECTIVAS DE SEGURIDAD DE ACTIVE DIRECTO RY

PLANTILLAS DE SEGURIDAD

HERRAMIENTA CONFIGURACIN Y ANLISIS DESEGURIDAD

AUDITORA

DIRECTIVA DE AUDITORA

PLANIFICAR UNA DIRECTIVA DE AUDITORA

CLASE TEORICA 34

MIGRACIN DE DOMINIOS A WINDOWS 2003 R2SERVER

MIGRACIN A UN SISTEMA OPERATIVOEQUIVALENTE

VERIFIQUE LAS NECESIDADES DE SISTEMA YC OM PATIBILIDAD DE HARDWAR E

C OM PATIBILIDAD DE HARDWAR E

DEFINIR LA MEJOR OPCION: ACTUALIZAR,INSTALACIN NUEVA O MIGRAR

MOTIVOS PAR A ACTUALIZAR

MOTIVOS PAR A REALIZAR UNA INSTALACIN

LIMPIA O MIGRAR

HERRAMIENTA DE MIGRACIN DE ACTIVE

DIRECTO RY (ADMT V2) Migracin en el mismo bosque

ROLES DE UN SERVIDOR

ELEVAR EL NIVEL FUNCIONAL DE UN BOSQUE

CONTROLADORES DE DOMINIO

CLASE TEORICA 35

SERVICIO DNS DE WINDOWS 2003 R2

INTRODUCCIN

VISIN GENERAL DE LA CONSOLA DNS

REGISTRO DE RECURSOS

M LTIPLES DIRECCIONES EN UN SERVIDOR DNS

CONFIGURAR SERVIDORES RACES

DNS Y ACTIVE DIRECTO RY

TRANSFERENCIA DE ZONA

TRANSFERENCIA DE ZONA INCREMENTAL

DNS DINMICO

CONFIGURAR DDNS

SERVICIO WINS DE WINDOWS 2003 R2

INTRODUCCIN

EL NUEVO WINS

CONEXIONES PERSISTENTES

REPLICACIN DE WINS

ELIMINACIN MANUAL DE REGISTROS

CLASE TEORICA 36

SERVICIO DHCP DE WINDOWS 2003 R2 SERVER

INTRODUCCIN

SOPORTE PARA DNS DINMICO (DDNS)


12/244

Clase

Orgnizac

in

de

Con

tenidos

ASIGNACIN DE DIRECCIONES MULTICAST

DETECCIN DE UN SERVIDOR DHCP NO

AUTORIZADO

CREAR MBITOS

CONFIGURAR OPCIONES GLOBALES EN EL

SERVIDOR DHCP

RESERVAS

AUTORIZAR EL SERVIDOR

DEFINIR Y PONER EN PRCTICA CLASES DE

FABRICANTE Y USUARIO

CLASES DE FABRICANTE

CLASES DE USUARIO

CONFIGURAR UN CLIENTE PARA UTILIZAR ID DE

CLASES

CREAR UN SPER MBITO

MANEJAR LA BASE DE DATOS DE DHCP

CLASE PRACTICA 36

CLASE TERICA 37

ADMINISTRACIN DE DISCOS

ADMINISTRACIN LOCAL Y REMOTA

LA HERRAMIENTA DISKPART

PARTICIONADO

PROPIEDADES DE LOS DISCOS

UNIDAD MONTA D A

DISCOS BSICOS Y DISCOS DINMICOS

CONVERSIN DE DISCOS DINMICOS

VOLUMEN SIMPLE

VOLUMEN EXTENDIDO

VOLUMEN DISTRIBUIDO

VOLUMEN SECCIONADO

DISCO EXTERNO

DISCO SIN CONEXIN

CLASE PRCTICA 37

CLASE TERICA 38

COMPRESIN DE ARCHIVOS

CARPETA COMPRIMIDA (EN .ZIP)

EL COMANDO COMPACT

MOVER Y COPIAR ARCHIVOS Y CARPETASCOMPRIMIDOS

PRCTICAS RECOMENDADAS PARA COMPRIMIR

ARCHIVOS O CARPETAS

CIFRADO EFS

CLASE PRCTICA 38

CLASE TERICA 39

COPIA DE SEGURIDAD DE LOS DATOS

FRECUENCIA DE LAS COPIAS DE SEGURIDAD

D ATOS DE ESTADO DEL SISTEMA

LA UTILIDAD DE COPIA DE SEGURIDAD

TIPOS DE COPIAS DE SEGURIDAD

COPIA DE SEGURIDAD: DE COPIA

COPIA DE SEGURIDAD CON NTBACKUP

RECUPERACIN AUTOM TICA DEL SISTEMA

INSTANTNEAS

MODO SEGURO

OPCIONES DEL MODO SEGUROLTIMA CONFIGURACIN CORRECTA CONOCIDA

CONSOLA DE RECUPERACIN

FUNCIONAMIENTO DE LOS ARCHIVOS DE INICIO

HERRAMIENTAS DE RECUPERACIN EN CASO DE

ERROR DEL SERVIDOR

CLASE PRCTICA 40

CLASE TERICA 41

WINDOWS UPDATE

WINDOW S UPD ATE Y ACTUALIZACIONES

AUTOMTICAS

SOFTWARE UPDATE SERVICES

PROCESO DE SUS

PUNTOS DE DISTRIBUCIN DEL SERVIDOR PARA SUS

REQUISITOS DE HARDWARE PA RA LA INSTALACIN

DE SUS SITIO WEB DE ADMINISTRACIN DE

SOFTWARE UPDATE SERVICES

SINCRONIZAR EL CONTENIDO DE SUS

REGISTROS DE SOFTWARE UPDATE SERVICES

CLASE PRCTICA 41

CLASE TERICA 42

IPSEC Y LA PROTECCIN DEL TRFICO EN LA RED

CONJUNTO DE DIRECTIVAS IPSEC

EQUILIBRAR LA SEGURIDAD Y EL RENDIMIENTO

NIVELES DE SEGURIDAD

IMPLEMENTACIN DE IPSEC CON CERTIFICADOS

CERTIFICADOS

MONITOR DE SEGURIDAD IP

CLASE PRCTICA 42


13/244

418 Windows 2003 Server R2

VERSIONES DE WINDOWS 2003 SERVER

Windows Server 2003 se distribuye en cuatro versiones:

Windows 2003 Server R2 Standard Edition (32 y 64 bits)

Windows 2003 Server R2 Enterprise Edition (32 y 64 bits)

Windows 2003 Server R2 Datacenter Edition (32 y 64 bits)

Windows 2003 Server Web Edition

WINDOWS 2003 SERVER R2 STANDARD EDITION

W indows 2003 Server R2 Standard Edition es la versin ms adecuada parasoportar la mayor parte de las tareas de red, ya que soporta SM P de cuatro vas,y 4GB de RAM. Es posible tambin utilizar esta edicin para realizar tareas debalance de carga de red (pero no para servicios de cluster) y como servidor deTerminal Server.

En una organizacin grande, esta versin es perfecta para dar soporte a servicios

de archivos, dando soporte al sistema de archivos distribuidos (DFS), encriptandocopias de sistema de archivos (EFS), y Shadow Copies.

Esta versin es til para dar servicios de instalacin remota (RIS), y serviciosW eb. Adems puede correr todos los servicios de Administracin de red, serviciosde aplicaciones .NET, y multimedia.

Para organizaciones pequeas, la versin estndar trabaja bien en cualquier rol,ya sea proporcionando servicios de archivo e impresin o como controlador dedominio.

WINDOWS 2003 SERVER R2 ENTERPRISE EDITION

La versin Enterprise es la indicada para dar soporte a las necesidades denegocios de infraestructuras de gran tamao, para ello soporta SMP de ochovas, 32GB de la RAM en la versin de 32-bit, y 64GB de la RAM en la versin de64 bit. Estas caractersticas le permiten soportar clusters de servidores,manejando hasta ocho nodos.

Su habilidad de escalar lo indica como una buena eleccin para llevar acabocualquier rol en una organizacin grande, ofreciendo una base slida paraaplicaciones, servicios Web (especialmente si se necesita Web Clusters), y

manejo de infraestructura.

Windows 2003 Server R2

Clase terica 25

Diccionario

S M P

SMP es el acrnimode Symmetric Multi-Processing,multiprocesosimtrico. Un hostcon soporte SMP secompone de

microprocesadoresindependientes quese comunican con lamemoria a travsde un buscompartido. Dichobus es un recursode uso comn. Portanto, debe serarbitrado para quesolamente unmicroprocesador louse en cadainstante de tiempo.

Cluster

Un cluster es ungrupo de mltipleshost unidosmediante una redde alta velocidad,de tal forma que elconjunto es vistocomo un nico host.Un cluster sepresentacombinaciones delos siguientesservicios: Alto rendimiento (High Performance) Alta disponibilidad (High Availability) Equilibrio de carga (Load Balancing) Escalabilidad (Scalability)

Nodo

Host.


14/244

419Clase terica 25

Definir DFS:Definir SMP:

Activi

dad

Diccionario

DFS

Distribuited FileSystem - Sistema deArchivos Distribuido.Un sistema dearchivos distribuidosalmacena archivos enuno o ms servidoresy los hace accesiblesa otros host clientes,donde se manipulancomo si fueranlocales.

O E M

En la mayora de loscasos una versinOEM de un Softwareslo se vende encombinacin conalgn tipo deHardware, y sueleestar limitada en

funciones respecto aversiones completaso retail (al pormenor).

WINDOWS 2003 SERVER R2 DATACENTER EDITION

La versin ms poderosa de la plataforma Windows, la versin de Datacentersoporta SMP de 32 vas en la versin de 32-bit, y SMP de 64 vas en la versin de64 bit. Puede manejar RAM de 64GB en la versin de 32-bit, y RAM de 512GB enla versin de 64 bit.

Soporta agrupaciones de hasta 8 nodos en forma estndar.Al igual que suantecesor de Windows 2000, Datacenter solo se comercializa en formato O E M.

WINDOWS 2003 SERVER WEB EDITION

Este producto se encuentra destinado para desarrollar y correr sitios Web. Para

esto, incluye IIS 6.0 y otros componentes que permiten alojar aplicaciones Web,pginas Web, y servicios de Web XML.

La versin Web se encuentra limitada, por lo tanto no puede correr granjas deservicios Web que requieran clusters. Esta versin tampoco puede instalar niadministrar servicios de red como Active Directory, DNS, o DHCP, pero si utilizarloscomo cliente.

La versin Web no se encuentra disponible como un producto de venta en elcanal minorista, solo se distribuye en formato OEM.

REQUERIMIENTOS DE HARDWARE

Ningn sistema operativo funciona correctamente si es instalado en una mquinacon hardware insuficiente. Las diferentes versiones de Windows 2003 requierende ciertos niveles mnimos de hardware para asegurar su funcionalidad.

La siguiente tabla describe las necesidades de hardware para todas las versiones.Es importante mencionar que los requerimientos mnimos muchas vecesson inadecuados para dar soporte a las aplicaciones que corren sobre el servidor,as que se recomienda estudiar los requerimientos del sistema operativo ms lasaplicaciones al momento de realizar una instalacin.


15/244


Windows Server 2003 R2 Requerimientos del Sistema

Requerimiento

Velocidad de

CPU mnima

Velocidad de

C P U

Recomendada

RAM Mnima

R A MRecomendada

RAM Mxima

Soporte

Multiprocesador

S M P

Espacio

Mnimo en

Disco

Standard

Edition

133 MHz

550 MHz

128 MB

256 MB

4 GB

Hasta 4

1.5 GB

Enterprise Edition

133 MHz para arquitectura

x86733 MHz para arquitectura

Itanium

733 MHz

128 MB

256 MB

32 GB for para arquitectura

x86512 GB para arquitectura

Itanium

Hasta 8

1.5 GB para arquitectura

x862.0 GB para arquitectura

Itanium

Datacenter Edition

400 MHz para arquitectura

x86733 MHz para arquitectura

Itanium

733 MHz

512 MB

1 GB

64 GB para arquitectura

x86512 GB para arquitectura

Itanium

Requerido 8 Mnimo Mximo 64

1.5 GB para arquitectura

x862.0 GB para arquitectura

Itanium

W e b

Edition

133 MHz

550 MHz

128 MB

256 MB

2 GB

Hasta 2

1.5 GB

LISTA DE COMPATIBILIDAD DE HARDWARE

La lista de compatibilidad de hardware de Microsoft (HCL) proporciona una listaextensiva de fabricantes, modelos y tipos de hardware soportado, incluyendosistemas, controladores de disco, clusters y dispositivos almacenamiento masivoen red (SAN). Para ser incluido en el HCL, los fabricantes deben certificar el hechode que su hardware soporta los estndares requeridos por Windows 2003 Server.

El HCL es parte del grupo de laboratorios de calidad de hardware de Microsoft

Windows (WHQL). Las listas HCL actualizadas pueden encontrarse enw w w.microsoft.com.

H A R D WARE DE MULTIPROCESAMIENTO SIMTRICO

El hardware de Multiproceso simtrico (SMP), ha sido soportado por Microsoftdesde las primeras versiones de Windows NT. SMP permite a la computadora,bsicamente, compartir dos o ms microprocesadores, dividiendo la memoria ylos dispositivos de entrada y salida.

MODELOS DE INSTALACIN DE WINDOWS 2003

Windows Server 2003 puede ser instalado en diferentes escenarios, desde instalar


16/244

421Clase terica 25

Definir Actualizacin:Definir HCL:

Activi

dad

una simple copia del sistema operativo en una computadora con un disco rgidonuevo sin particionar, hasta para realizar una actualizacin (upgrade) desde unaversin previa de Windows.

Actualizaciones vs. Instalaciones limpias

Windows 2003 soporta tanto, actualizaciones desde versiones anteriores comoas tambin instalaciones limpias. Si se posee una computadora con un sistemaoperativo Windows 2000 funcionando, y el hardware es compatible con Windows2003, entonces es recomendable realizar una actualizacin del sistema. Sinembargo, es realmente necesario estar familiarizado con las ventajas y desventajasde ambos modelos antes de comenzar la instalacin de Windows 2003.

Atencin

Para instalar cualquier versin W indows 2003 R2 es recomendable hacerlo desde una versin W indows 2003previa.

Actualizacin

Las actualizaciones preservan las configuraciones existentes, incluyendo cuentasde usuario y de grupo, perfiles, objetos compartidos, servicios y permisos. Losarchivos y aplicaciones instalados en el sistema se preservan, incluyendo entradas

de registro, conos del escritorio y carpetas. Sin embargo, esto necesariamente noquiere decir que estas aplicaciones son compatibles con Windows 2003.

Si se est actualizando desde servidores de Windows 2000, la decisin podrahacerse en base a la comodidad de esta accin. Por ejemplo, si se ha implementadoun servidor de Windows 2000 para servir una aplicacin compleja desarrollada amedida, y no se posee una buena va para reconstruir los componentes de laaplicacin, actualizar puede ser mucho ms fcil ya que mantendr los servicios,entradas de registro, y otros componentes de la aplicacin que pueden haber sidomejoradospero no debidamente documentados.

Por otra parte, si un servidor de Windows 2000 se actualiza desde Windows NT 4(que a su vez puede haber sido actualizado originalmente desde Windows NT 3.51),es necesario considerar una instalacin limpia. Cada actualizacin subsecuentemantiene componentes del sistema operativo previo, y estos componentes puedentener un efecto adverso en la estabilidad y ejecucin de la instalacin de Windows2003.


17/244


Instalacin limpia

En una instalacin limpia, no existe ningn remanente del sistema operativoprevio (si hubiese existido), tal como entradas de registro extraas, servicios,carpetas, o archivos.

Las instalaciones limpias aseguran que todos los componentes de un sistemaWindows 2003 funcionen correctamente.

Instalacin desde un CD o DVD

La instalacin de Windows 2003 desde CD o DVD es probablemente el mtodode instalacin ms fcil, ya que no requiere ningn soporte de hardware o red

adicional.

Adems, instalaciones desde CD o DVD son generalmente mucho ms rpidasque otros mtodos de instalacin porque trabajan sobre el BUS de alta velocidadentre el CD / DVD, el procesador y la memoria, en lugar de depender enconexiones de red lentas utilizadas en otros mtodos de instalacin.

Iniciar el sistema desde el CD / DVD de instalacin de Windows 2003

La plataforma Windows ha soportado medios de inicio en CD y ahora en DVD

desde hace muchos aos, Windows 2003 contina proporcionando este mtodode instalacin simple y til.

Con el fin de iniciar el sistema desde un medio como CD o DVD, es necesariodisponer de un dispositivo que soporte las extensiones ISO 9660 para dispositivosde inicio, y el BIOS de la computadora debe estar configurado para el utilicecomo primer dispositivo de arranque la unidad de CD / DVD.

Este mtodo slo puede utilizarse para una instalacin limpia de Windows 2003,y no para actualizar una versin previa de Windows.

Ejecutar el archivo Setup.exe del CD / DVD

Este mtodo se utiliza si se posee ya un sistema operativo de Windows instaladoy se desea actualizar el sistema operativo (si cumple con las normas deactualizacin) o si por el contrario se desea instalar Windows 2003 como unsistema operativo separado mediante una configuracin de arranque dual.

Al insertar el CD / DVD, este automticamente arranca presentado el GUI deinstalacin con un men de opciones, en cambio si la ejecucin automtica nose encuentra habilitada, ser necesario hacer un doble clic sobre Setup.exe enel CD / DVD para lanzar el GUI de instalacin.

Diccionario

ISO 9660

El estndar ISO 9660es una normapublicadainicialmente en 1986por la ISO, queespecifica el formatopara el almacenajede archivos en lossoportes de tipo

disco compacto.


18/244

423Clase terica 25

Activi

dad

Defina ISO 9660: Nombre 2 tipos de instalacin automatizada:

Instalaciones automatizadas

Las instalaciones automatizadas de Windows 2003 permiten administradoresde red instalar en forma rpida y simple el sistema operativo a travs de laempresa. Ms importante an es que estas instalaciones son extremadamenteconsistentes, ya que durante el proceso de instalacin automatizado cadacomputadora utiliza la misma informacin de configuracin y los mismos archivosde instalacin.

Otra ventaja importante de realizar instalaciones automatizadas es que eliminanla mayor parte de la interaccin entre el proceso de configuracin y el usuario,como consecuencia, usuarios con conocimiento tcnico relativamente escasodel sistema operativo pueden ejecutar instalaciones de Windows 2003.

Con un mtodo de instalacin automatizado correctamente diseado, el procesoentero de instalacin puede ser reducido a arrancar el sistema con un discoflexible, o realizando un doble clic sobre el icono correspondiente.

Tipos de instalacin automatizada

Las instalaciones automatizadas son soportadas bajo Windows 2003 usandolos siguientes tres mtodos:

Instalacin desatendidaInstalacin por medio de la herramienta de preparacin de sistema

(SYSPREP)Instalacin por medio de un servidor de instalacin remota (RIS)

Cada mtodo tiene ventajas y desventajas. Las herramientas necesarias parallevar a cabo cualquiera de los tres mtodos nombrados, se encuentrandisponibles en el CD / DVD de instalacin.

La idea bsica detrs de las instalaciones automatizadas es proporcionar alprograma de instalacin de Windows 2003 los parmetros de configuracinrequeridos en forma adelantada de modo que, durante el proceso de instalacin,esta informacin pueda combinarse de forma automtica con el proceso de

instalacin.

Debido a que las instalaciones automatizadas trabajan de este modo, esextremadamente importante conocer toda la informacin del sistema antes dela instalacin, incluyendo el nmero y ubicacin de los servidores a ser instalados,opciones de configuracin de red, convenciones de nombres, y servicios


19/244


instalados.

Adems, cada uno de los mtodos de instalacin automatizados requierensupervisin para determinar factores tales como disponibilidad de ancho de bandade red y tiempo de instalacin.

Dos conceptos claves definen la funcin bsica de las instalacionesautomatizadas:

Instalaciones basadas en imagen: Permiten duplican un servidor Windows 2003totalmente configurado en unos o ms sistemas. SYSPREP es un mtodo deinstalacin con basado en imgenes de disco. RIS puede ejecutar tambin unainstalacin basada en una imagen de disco.

Instalaciones basadas en archivos de respuesta: Se utilizan archivos de textoplano para configurar las instalaciones en computadoras destino. El archivo textocontiene las respuesta a las preguntas que el programa de instalacin realizanormalmente cuando se realiza una instalacin interactiva, tales como nombrede computadora, mtodo de licenciamiento, y los parmetros de red.La instalacin desatendida es un mtodo de instalacin con base en archivo derespuestas. RIS tambin puede ser un mtodo de instalacin con base en archivosde respuesta.

Instalacin Limpia

Actualizacin

Trabaja en red?

Para utilizan en hardware homogneo?

Para utilizar en hardware heterogneo?

Requiere TCP/IP?

Soporte para IP esttico?

Soporte para HALs genricas?

Necesita una N.I.C con PXE para funcionar?

Soporte para controladores de almacenamiento no estndar?

Requiere Active Directory?

Requiere DHCP?

Soporte para aplicaciones pre instaladas en Active Directory?

Soporte para instalaciones automticas en controladores de dominio?

Soporte para instalaciones automticas de servidores de certificados?

Soporte para instalaciones automticas de clusters?

Soporte para aplicaciones de terceros en la instalacin?

Puede utilizarse con Windows 2003 Web Server Edition?

SI

N O

N O

SI

N O

N O

N O

N O

N O

N O

N O

N O

N O

N O

N O

N O

N O

SI

SI

N O

SI

SI

N O

SI

N O

N O

SI

SI

SI

SI

SI

SI

SI

SI

SI

N O

SI

SI

N O

N O

SI

N O

SI

SI

N O

SI

N O

N O

SI

SI

SI

SI

SI

SI

Consideraciones SYSPREP RISInstalacin

Desatendida


20/244

425Clase terica 25

Definir HAL:Definir instalacin basada en Imagen:

Activi

dad

Como puede verse en cuadro anterior muchos factores diferentes deben seranalizados para determinar el mejor mtodo de instalacin automatizado parauna infraestructura dada.

Atencin

SYSPREP y RIS solo pueden ser utilizados para realizar instalaciones limpias de sistema y no pueden serutilizados para actualizar un sistema a W indows 2003 La instalacin desatendida es el nico mtodo deinstalacin automatizado que se puede utilizar para actualizar un sistema operativo a W indows 2003.

Ciertas consideraciones adicionales para entornos especficos que deben serconsideradas son las siguientes:

Instalacin con RIS: siempre requieren de un ancho de banda alto, de

esta manera por definicin las imgenes son instaladas de travs de lared. Las instalaciones de SYSPREP y las instalaciones desatendidaspueden requerir tambin ancho de banda alto si el archivo imagen deSYSPREP o los archivos de instalacin de Windows 2003 sonestablecidos en un recurso compartido de la red. Sin embargo, SYSPREPy las instalaciones desatendidas pueden utilizar archivos de medioslocales, tales como unidades de CD / DVD o un disco rgido local.

Soporte de la arquitectura: al utilizar SYSPREP o RIS con la opcin deRIPREP, el host origen debe utilizar una HAL que sea compatible con elhost destino.

Soporte de hardware del adaptador de red: para utilizar RIS, en uno oms adaptadores de red en el host destino, estos deben soportar lanorma (PXE), o el adaptador de red debe estar soportado por el discoflexible que RIS crea utilizando la herramienta generadora de disco dearranque remoto (RBFG.EXE).Esta herramienta slo da soporte a una lista especfica y limitada deadaptadores de red PCI, y no pueda ser modificada para soportaradaptadores adicionales.

Controladores de almacenamiento masivo si el host destino utiliza un

controlador de almacenamiento masivo que no se encuentra listado enel controlador .inf Windows 2003, y se est utilizando un mtodo deinstalacin basado en imagen, ser necesario realizar manualmente unapequea parte de la configuracin de la instalacin. Debido a este pasoadicional, una instalacin desatendida puede ser la opcin ms viable.

Diccionario

H AL

HardwareAbstraction Layer -Capa de Abstraccinde Hardware. Estees un elemento delsistema operativoque funciona comouna interfaz entre elsoftware y elhardware delsistema, proveyendouna plataforma dehardwareconsistente sobre lacual correr lasaplicaciones.

PXE

Preboot ExecutionEnvironment Sistema de pre-ejecucin dearranque. Es unsistema de Intel quegenera un arranque

inteligente a partirde una memoria deslo lectura (ROM)que se encuentra enalgunos adaptadoresde red.


21/244


Protocolos de red y servicios: RIS requiere del protocolo TCP/IP, DNS,DHCP, y Active Directory para funcionar en una red (no es necesario que

los servicios de DNS y DHCP sean los provistos por Microsoft). Lasinstalaciones de SYSPREP y desatendidas pueden utilizar otros protocolostales como IPX/SPX, y no requieren necesariamente de un servicio DNSo de Active Directory a menos que la imagen que se desea instalar as lorequiera.

Clusters: en un cluster de servidores, los host destino deben tenerconfiguraciones idnticas, excepto por la direccin de red. Lasinstalaciones basadas en SYSPREP pueden ser un mtodo muy eficienteen esta situacin. Es importante recordar, sin embargo, que el balanceode carga de red (NLB) no puede configurarse en la imagen de SYSPREP.

NLB debe ser instalado y configurado en cada sistemaindependientemente, despus del proceso de clonado.

Instalacin desatendida

Como un mtodo de instalacin basado en un archivo de respuestas, la instalacindesatendida trabaja utilizando un archivo de respuestas para proporcionar alprograma de instalacin de Windows 2003 la informacin requerida por lainstalacin. Adems, cualquier instalacin desatendida puede proporcionarcontroladores de dispositivos especficos, y an as instalar aplicaciones sin laintervencin del usuario.

La instalacin desatendida es iniciada con la ejecucin de los archivos deinstalacin Winnt.exe y Winnt32.exe:

Winnt.exe: es utilizado para realizar una instalacin limpia.

Winnt32.exe: es utilizado para realizar la actualizacin del sistema operativodesde una versin anterior.

Instalacin por SYSPREP

Cuando sea necesario instalar Windows 2003 Server en varios host que poseenidntico hardware, uno de los mtodos que se podra utilizar para ello, es laduplicacin de disco.Creando una imagen del disco de una instalacin de Windows 2003 Server, ycopiando esa imagen sobre las computadoras mltiples de destino, se ahorratiempo.

Si en cambio el desafo es instalar Windows 2003 Server en mltiples host queposeen hardware diferente, se recomienda la utilizacin de la herramientaSYSPREP.

Para instalar Windows 2003 Server utilizando SYSPREP, es necesario configuraruna computadora de referencia y luego duplicar una imagen de disco en las


22/244

427Clase terica 25

Definir Sysprep:

Activi

dad

computadoras destino. El proceso de la duplicacin de disco consiste en lossiguientes pasos:

Instalar y configurar el sistema operativo en la computadora de referencia

Instalar y configurar los aplicativos en la computadora de referencia.

Ejecutar sysprep.exe en la computadora de referencia.

1- Instalar el sistema operativo en la mquina

origen y ejecutar sysprep.

2- Utilizando una herramienta de clonado de discos

generar una imagen.

3- Copiar la imagen en la mquina destino y

encenderla.4- Por medio del mini-setup que se auto ejecuta

realizar las configuraciones bsicas.

Tambin se puede optar por crear el archivo Sysprep.inf. Sysprep.inf proporcionarespuestas, como por ejemplo, el nombre de computadora al Mini-Setup que seejecuta en las computadoras destino. Adems, este archivo se puede utilizarpara especificar controladores especficos.

El programa de SYSPREP y las herramientas de soporte (incluyendo el programade instalacin) se encuentra ubicado en el archivo\SUPPORT\TOOLS\DEPLOY.CAB en el CD / DVD de instalacin de Windows2003.

Servicio de instalacin remota (RIS)

El Servicio RIS permite a las host cliente conectarse con un servidor durante lafase de inicial de encendido e instalar remotamente Windows 2003 (32 y 64 Bit).Es un proceso totalmente diferente a la instalacin desde la red ya que sta serealiza ejecutando Winnt.exe.

Una instalacin remota no requiere que los usuarios sepan dnde se encuentranlos archivos de instalacin o la informacin a suministrarle al programa deinstalacin.RIS permite configurar las opciones de la instalacin. Por ejemplo, se podratener una alternativa que provea a los usuarios una instalacin mnima sin

1

2

3 4Origen

Destino

I m a g e n

de Disco

Definir Ris:


23/244


Para que una implementacin por medio de RIS sea exitosa, deben encontrarsefuncionando en la red servidores DHCP, DNS y una implementacin de ActiveDirectory.

opciones y otra que provea a los usuarios opciones adicionales.Por defecto, todas las imgenes estn disponibles para todos los usuarios. Sinembargo, se puede restringir el acceso a las imgenes que estn disponibles

para los usuarios utilizando permisos NTFS en el archivo de respuesta.

Cliente Servidor

D H C P

Servidor

RIS

Active

Directory

D C

1

2

63

5

4

1- El cliente solicita una Direccin IP

2- El DHCP Server entrega una

direccin IP

3- El cliente contacta al RIS Server

4- El RIS Server valida en Active

Directory5- RIS responde o redirecciona el

pedido a otro RIS Server

6- El RIS Server enva el rom de inicio

al cliente - El cliente elije el SO


24/244


Clase prctica 25

Instalacin Windows 2003

Para la siguiente prctica se asumir que el alumno dispone de un cd booteable de Windows2003 Server y que el disco del equipo se encuentra limpio (sin ninguna particin).

Instalacin del Servidor 4 (MGP-SRV04):Ejercicio 1:

Iniciar la maquina desde el CD de arranque de Windows 2003 (estableciendo la secuenciacorrecta de arranque en el setup)

Una vez iniciado el programa de instalacin proceder de la siguiente manera:

Presionar la tecla ENTER Instalar Windows 2003 Presionar la tecla F8 Aceptar el contrato de licencia Presionar la tecla C para crear una nueva particin y establecer la siguiente

configuracin: Tamao de la particin a crear (en MB): 2000 Presionar la tecla ENTER Volver al men anterior Seleccionar la opcin C: Particin1 [Nueva (original)] 2000 MB y presionar

ENTER establece cual ser la particin de destino Seleccionar la opcin Formatear la particin utilizando el formato de archivos NTFS y

presionar ENTER establece el sistema de archivos a NTFS, comienza el proceso deformateo y copia de archivos de instalacin al disco.

Una vez finalizada la copia se procede a cargar el programa de instalacin con interfazgrfica (segunda instancia de instalacin)

Hacer clic en el botn Siguiente comienza el proceso de deteccin de dispositivos. Hacer clic en el botn Personalizar en la seccin Configuracin regional Seleccionar la opcin Espaol (Argentina) en el apartado Su idioma (ubicacin): Hacer clic en el botn Aceptar Realiza el cambio y vuelve a la ventana principal

Hacer clic en el botn Siguiente Establecer la siguiente configuracin en la ventana de personalizacin de Software:

Nombre: Eduardo Cabaas Organizacin: MegaPack

Hacer clic en el botn Siguiente Introducir la clave del producto (por ejemplo: JB88F-WT2Q3-DPXTT-Y8GHG-7YYQY) Hacer clic en el botn Siguiente Seleccionar el licenciamiento Por Servidor. Numero de conexiones concurrentes y

establecer el valor a 70 Indica que las conexiones mximas al servidor ser de 70simultaneas.

Hacer clic en el botn Siguiente Establecer la siguiente configuracin en la ventana de Nombre de equipo y contrasea

del administrador: Nombre de equipo: MGP-SRV04

Mediante la realizacin de esta prctica usted ser capaz de disear la implementacin e instalacin deun sistema operativo Windows 2003 R2 Server.

Los siguientes ejercicios estn desarrollados para que usted pueda aplicarlos efectivamente en elmbito laboral, permitindole resolver problemas de manera eficaz y concreta.


25/244

Administracin de acceso a recursos430

Contrasea de administrador: MgP393pDC Confirmar contrasea: MgP393pDC

Hacer clic en el botn Siguiente

Seleccionar la opcin (GMT -3:00) Buenos Aires, Georgetown en el apartado Zonahoraria

Hacer clic en el botn Siguiente Seleccionar la opcin Configuracin Personalizada y hacer clic en el botn Siguiente

en la ventana de Configuracin de red. Doble clic en Protocolo Internet (TCP/IP) Acceder a las propiedades del protocolo Seleccionar la opcin Usar la siguiente direccin IP y establecer la siguiente configuracin

(dejar los dems casilleros en blanco): Direccin IP: 192.168.0.254 Mascara de subred: 255.255.255.0

Hacer clic en el botn Aceptar Guardar la configuracin Hacer clic en el botn Siguiente

Seleccionar la opcin No, este equipo no est en una red o est en una red sindominio y establecer MEGAPACK como nombre del Dominio o grupo de trabajo delequipo

Hacer clic en el botn Siguiente comienza el proceso de instalacin de componentes Una vez reiniciado el equipo presionar simultneamente las teclas ctrl.+alt+supr Acceder a la interfaz de inicio de sesin

Colocar MgP393pDC (sin las comillas) como contrasea y presionar la tecla ENTER Iniciar sesin como Administrador.

Marcar la opcin No mostrar esta pgina al iniciar sesin y cerrar la ventana (hacerclic en la X que se encuentra en el ngulo superior derecho de la ventana)

Desplegar el men contextual (clic con el botn derecho del Mouse) en cualquier partelibre del escritorio y seleccionar la opcin Propiedades Acceder a las propiedadesde pantalla

Hacer clic en la solapa Configuracin y arrastrar el selector del rea de pantalla hastaque indique 800 por 600 pixeles

Hacer clic en el botn Aceptar Hacer clic en el botn Aceptar Hacer clic en el botn Si indica que los cambios son aceptados


26/244



27/244

432 Administracin de cuentas de Usuario y de Equipo

Administracin de cuentas de Usuario y de Equipo

Clase terica 26

INTRODUCCIN

Una de las funciones como administrador de sistemas es administrar las cuentasde usuario y de equipo. Estas cuentas son objetos de Active Directory y debernutilizarse para permitir que los usuarios inicien la sesin en la red y obtenganacceso a los recursos.

CUENTAS DE USUARIO

Una cuenta de usuario es un objeto que contiene toda la informacin que define aun usuario de Windows Server 2003 R2 y puede ser local o de dominio. Incluye elnombre de usuario y la contrasea con los que el usuario inicia la sesin y losgrupos de los que la cuenta es miembro.

Se puede utilizar una cuenta de usuario para:

Permitir que alguien inicie la sesin en un equipo basndose en la identidadde la cuenta de usuario.Permitir que los procesos y servicios se ejecuten dentro de un contexto deseguridad especfico.

Administrar el acceso de un usuario a los recursos, por ejemplo, los objetosde Active Directory y sus propiedades, carpetas, archivos, directorios ycolas de impresin compartidos.

Nombres asociados a una cuenta de usuario de dominio

Existen cuatro tipos de nombres asociados a las cuentas de usuario de dominio.

En Active Directory, cada cuenta de usuario tiene un nombre de inicio de sesinde usuario, un nombre de inicio de sesin de usuario de versiones anteriores aW indows 2000, nombre de la cuenta del Administrador de cuentas de seguridad

S A M, un nombre principal de inicio de sesin de usuario y un nombre completosegn el Protocolo ligero de acceso a directorios LDAP.

Nombre de inicio de sesin de usuario

Al crear una cuenta de usuario, el administrador escribe un nombre de inicio desesin de usuario. El nombre de inicio de sesin debe ser nico en el bosque enel que se crea la cuenta de usuario. Suele utilizarse como nombre completorelativo. Los usuarios utilizan este nombre slo en el proceso de inicio de sesin.Obtienen acceso con el nombre de inicio de sesin de usuario, una contrasea

y el nombre de dominio en diferentes campos de la pantalla de inicio de sesin.

Los nombres de inicio de sesin de usuario pueden:

Diccionario

S A M

SecurityAcconnis

Manager. Cuentas deseguridad.

LDAP

Lighweight AccessProtocol. ProtocoloLigero de acceso adirectorios.


28/244

433Clase terica 26

Activi

dad

Contener hasta 20 caracteres en maysculas y minsculas (el campoadmite ms de 20 caracteres, pero Windows Server 2003 slo reconoce

20).Incluir una combinacin de caracteres alfanumricos y especiales, exceptolos especificados a continuacin: ` / \ [ ] : ; | = , + * ? < >.

N O M B R E

Nombre de inicio de sesin de usuario

Nombre de inicio de sesin en versiones anteriores

a Windows 2000

Nombre de usuario principal de inicio de sesin

Nombre completo relativo de LDAP

EJEMPLO

NicolasR

Servidor1\NicolasR

[email protected]

CN=nicolasr,cn=users,dc=servidor1,dc=com

Nombre de inicio de sesin en versiones anteriores a Windows 2000

Se puede utilizar una cuenta de usuario del sistema bsico de entrada y salidade red (NetBIOS, Network Basic Input/Output System) para iniciar la sesin enun dominio de Windows desde un equipo con un sistema operativo anterior aWindows 2000, mediante un nombre con el formato

NombreDominio\NombreUsuario. Tambin puede utilizarse para iniciar la sesinen dominios de Windows desde equipos con Microsoft Windows 2000 o WindowsXP, o incluso desde servidores con Windows Server 2003 R2, pero el nombre deinicio de sesin para las versiones anteriores a Windows 2000 debe ser nicoen el dominio. Los usuarios pueden iniciar la sesin con el comando runas o enuna pantalla de inicio de sesin secundaria.

Un nombre de inicio de sesin para versiones anteriores a Windows 2000podra ser servidor1\nicolasr.

Nombre principal de inicio de sesin de usuario

El nombre principal de usuario UPN est formado por el nombre de inicio desesin de usuario y el sufijo del nombre principal de usuario, unidos por el smbolo@. El UPN debe ser nico en el bosque.

Diccionario

U PN

Uiel Principal Name.Nombre principal de

usuario.

Definir cuenta de usuario: Definir nombre de inicio de sesin de usuario:


29/244


La segunda parte del UPN es el sufijo del nombre principal de usuario. stepuede ser el nombre del dominio en el Sistema de nombres de dominio (DNS,

Domain Name System), el nombre DNS de cualquier dominio del bosque o unnombre alternativo creado por un administrador slo para iniciar la sesin.

Los usuarios pueden utilizarlo para iniciar la sesin con el comando Ejecutarcomo o en una pantalla de inicio de sesin secundaria.

Un ejemplo de UPN es [email protected].

Nombre completo segn el LDAP

El nombre completo relativo segn el LDAP nicamente identifica el objeto en sucontenedor primario. Los usuarios nunca utilizan este nombre, pero losadministradores lo emplean para agregar usuarios a la red desde una lnea decomando o una secuencia de comandos. Todos los objetos utilizan la mismaconvencin de nomenclatura de LDAP, por lo que todos los nombres completosrelativos deben ser nicos en su unidad organizativa.

A continuacin se exponen ejemplos de nombres completos segn el LDAP:

CN=nicolasr,CN=users,dc=servidor1,dc=com

CN=pc1,CN=users,dc=servidor1,dc=com

CONVENCIN DE NOMENCLATURA DE CUENTAS DE USUARIO

Una convencin de nomenclatura establece cmo deben identificarse las cuentasde usuario de un dominio. Una convencin coherente facilita recordar los nombresde inicio de sesin de usuario y buscarlos en las listas. Por eso, es buenoacostumbrarse a cumplir la convencin de nomenclatura en uso de una red queadmite un gran nmero de usuarios.

Las siguientes directrices deben ser tomadas en cuenta a la hora de crear unaconvencin de nomenclatura:

Si hay un gran nmero de usuarios, la convencin para los nombres deinicio de sesin de usuario deber adaptarse a los empleados con nombresque se repitan. Un mtodo para seguir la nomenclatura en estos casos esutilizar el nombre y la inicial del apellido y, a continuacin, agregar letras delapellido para evitar nombres duplicados. Por ejemplo, para dos usuarioscon el nombre Nicols Reali, un nombre de usuario puede ser Nico1 y elotro, Nico2.

En algunas empresas, es til identificar a los empleados temporales consus cuentas de usuario. Para ello, agregue un prefijo al nombre de inicio desesin de usuario, por ejemplo una T y un guin (-). Por ejemplo, T-NicoR.

Los nombres de usuario para cuentas de dominio deben ser nicos enActive Directory. Los nombres de inicio de sesin de usuario deben sernicos en el bosque en el que se crea la cuenta de usuario.


30/244

435Clase terica 26

PRCTICAS RECOMENDADAS PAR A CREAR CUENTAS DE USUARIO

Hay varias cuestiones relativas a la creacin de cuentas de usuario que reducenlos riesgos para la seguridad en un entorno de red.

Prcticas recomendadas para crear cuentas de usuario locales

No habilite cuentas Invitado

Limite el nmero de personas que pueden iniciar la sesin de forma local

Prticas recomendadas para crear cuentas de usuario de dominio

Deshabilite cualquier cuenta que no vaya utilizarse inmediatamente

Exija que los usuarios cambien la contrasea de sus cuentas la primera

vez que inicien la sesin

Cuentas de usuario local

Tenga en cuenta las siguientes recomendaciones a la hora de crear cuentas deusuario locales:

No habilite cuentas de Invitado.

Cambie el nombre de la cuenta Administrador.

Limite el nmero de personas que pueden iniciar la sesin de forma local.

Utilice contraseas seguras.

Cuentas de usuario de dominio

Tenga en cuenta las siguientes recomendaciones a la hora de crear cuentas deusuario de dominio:

Deshabilite cualquier cuenta que no vaya a utilizarse inmediatamente.

Coloque 1 recomendacin para cuentas de usuario dedominio:

Coloque 1 recomendacin para cuentas de usuariolocales:

Activi

dad


31/244


Exija que los usuarios cambien la contrasea de sus cuentas la primeravez que inicien sesin.

Una medida de seguridad recomendable es que no inicie la sesin en suequipo con credenciales de administrador.Cuando inicie la sesin en su equipo sin credenciales de administrador, esrecomendable que utilice el comando Ejecutar como para realizar tareasde administracin.Cambie el nombre o deshabilite las cuentas de Invitado y Administrador encada dominio para evitar los ataques a la seguridad.De forma predeterminada, el trfico en las herramientas administrativasde Active Directory queda firmado y cifrado mientras se transmite por lared. No deshabilite esta funcin.

CUENTAS DE EQUIPO

Cualquier equipo en el que se ejecute Microsoft Windows NT, Windows 2000,Windows XP o Windows Server 2003, que pertenezca a un dominio tiene unacuenta de equipo. Igual que las cuentas de usuario, las de equipo proporcionanun medio para la autenticacin y auditora de acceso del equipo a la red y a losrecursos del dominio.

En Active Directory, los equipos son principios de seguridad, igual que losusuarios. Esto significa que los equipos deben disponer de cuentas y contraseas.

Para que Active Directory autentique completamente a un usuario, ste debetener una cuenta de usuario vlida e iniciar sesin en el dominio desde un equipoque disponga de una cuenta de equipo vlida.

Atencin

No se pueden crear cuentas para equipos en los que se ejecuta Microsoft W indows 95, MicrosoftW indows 98, Microsoft W indows Millennium Edition o W indows XP Home Edition, porque estos

sistemas operativos no cumplen los requisitos de seguridad de Active Directory.

Los equipos son responsables de realizar tareas clave, como autenticar el iniciode sesin de un usuario, distribuir las direcciones de Protocolo de Internet (IP,Internet Protocol), mantener la integridad de Active Directory y exigir elcumplimiento de las directivas de seguridad. Para obtener acceso total a estosrecursos de red, los equipos deben disponer de cuentas vlidas en ActiveDirectory. Las dos principales funciones de una cuenta de equipo son preservarla seguridad y realizar tareas de administracin.

Seguridad

Debe crearse una cuenta de equipo en Active Directory para que los usuarios

puedan beneficiarse de todas las funciones de Active Directory.Al crear unacuenta de equipo, ste podr utilizar procesos de autenticacin avanzados comola autenticacin Kerberos y la seguridad IP (IPSec, Internet Protocol Security)


32/244

437Clase terica 26

para cifrar el trfico IP. El equipo tambin necesita una cuenta de equipo paraespecificar cmo aplicar y guardar la auditora.

Administracin

Las cuentas de equipo facilitan al administrador la tarea de administrar laestructura de la red. El administrador se sirve de cuentas de equipo paraadministrar la funcionalidad del entorno de escritorio, automatizar el desarrollode software usando Active Directory y mantener el inventario de hardware ysoftware utilizando SMS. Las cuentas de equipo de un dominio tambin se utilizanpara controlar el acceso a los recursos.

Cuando el administrador crea una cuenta de equipo, elige la unidad organizativa

donde va a crearla. Si un equipo se une a un dominio, se crea la cuenta deequipo en el contenedor de equipos y el administrador puede trasladar la cuentaa la unidad organizativa correcta si es necesario.

De forma predeterminada, los usuarios de Active Directory pueden agregar hasta10 equipos al dominio utilizando los permisos de su cuenta de usuario.

Esta configuracin puede modificarse. Si el administrador agrega directamenteuna cuenta de equipo a Active Directory, un usuario puede agregar un equipo aldominio sin utilizar ninguna de las 10 cuentas de equipo asignadas.

BLOQUEO DE CUENTAS DE USUARIO

Una cuenta de usuario se bloquea cuando ha sobrepasado el umbral de bloqueode la cuenta para un dominio. Esto ocurre porque el usuario ha intentado muchasveces obtener acceso a la cuenta con una contrasea incorrecta o porque unapersona ajena a la red ha intentado descubrir las contraseas de usuario y haactivado la directiva de bloqueo de la cuenta.

Los usuarios autorizados pueden bloquear una cuenta al escribir mal la

contrasea, al olvidarla o al haber intentado cambiarla en un equipo despus deiniciar la sesin en otro. El equipo en el que se escribe una contrasea incorrectaintenta continuamente autenticar al usuario. Y puesto que la contrasea que seest utilizando es incorrecta, la cuenta finalmente se bloquea.

Definir que sistemas operativos no cumplen losrequisitos de seguridad de Active Directory:

Definir cuenta de equipo:

Activi

dad

Diccionario

S M S

System ManagementServer. Sistema deadministracin de

servidores.


33/244


La configuracin de seguridad de Active Directory determina el nmero de intentosfallidos de inicio de sesin que provoca el bloqueo de una cuenta. El usuario nopodr utilizar la cuenta bloqueada hasta que el administrador la restablezca ohasta que el tiempo de bloqueo finalice. Cuando una cuenta de usuario se bloquea,aparece un mensaje de error y no se permite al usuario que realice ms intentosde inicio de sesin.

Intento de sesin fallido

Un usuario puede bloquear una cuenta si intenta iniciar la sesin muchas vecescon una contrasea incorrecta.

Los intentos con contrasea incorrecta se producen cuando:

El usuario inicia la sesin en la pantalla correspondiente pero proporcionauna contrasea incorrecta.

El usuario inicia la sesin con una cuenta local y proporciona una cuentade usuario de dominio y una contrasea incorrectas cuando intenta obteneracceso a los recursos de la red.

El usuario inicia la sesin con una cuenta local y proporciona una cuentade usuario de dominio y una contrasea incorrectas cuando intenta obteneracceso a los recursos de la red con el comando runas.

Restablecimiento de la contrasea de una cuenta

Los administradores pueden restablecer la contrasea de usuario para que puedanvolver a obtener acceso. Antes de intentar restablecer la contrasea de dominioy la local, compruebe que tiene el nivel de permisos adecuado.Despus de restablecer la contrasea de usuario, hay informacin a la que yano se puede tener acceso, como la que se especifica a continuacin:

Correo electrnico cifrado con la clave pblica del usuario

Contraseas de Internet que se guardan en el equipoArchivos cifrados por el usuario

Cuando necesite

restablecer unacontrasea de usuario,

recuerde que losadministradores localesy los Administradores de

dominio,

Administradores deorganizacin,

Operadores de cuentas ytodos aquellos grupos alos que se les haya

otorgado la autoridadpara restablecercontraseas estn

autorizados a restablecerlas contraseas.

Nota

LOCALIZACIN DE OBJETOS EN ACTIVE DIRECTO RY

Debido a que todas las cuentas de usuario se encuentran en Active Directory, losadministradores pueden buscar las que administran.

Adems, tambin se pueden buscar otros objetos de Active Directory, comoequipos, impresoras y carpetas compartidas. Una vez encontrados estos objetos,pueden administrarse desde el cuadro Resultado de la bsqueda.


34/244

439Clase terica 26

Tambin es posible buscar otros objetos, como unidades organizativas especficaso plantillas de certificado. Es necesario utilizar Bsqueda personalizada paracrear consultas de bsqueda personalizada utilizando opciones de bsquedaavanzada o para crear consultas de bsqueda avanzada mediante LDAP, que esel protocolo de acceso principal para Active Directory.


35/244

Administracin de cuentas de Usuario y de Equipo440

Clase prctica 26

Administracin de Grupos

En el servidor 1 (MGP-SRV04)

Una vez iniciado el sistema se proceder a iniciar sesin como Administrador presionandosimultneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz de inicio de sesin.Introducir MgP393pDC (sin las comillas) como contrasea y presionar la tecla ENTERUna vez en el escritorio se proceder de la siguiente manera:

Men Inicio (clic) Herramientas administrativas (clic) Usuarios y equipos de Active Directory (clic) Ejecuta la consola de Administracin de

usuarios y equipos de Active Directory Megapack.com (doble clic) Megapack.com (clic con el botn derecho del Mouse) Nuevo (clic) Unidad organizativa (clic) Crear una nueva Unidad Organizativa

Colocar Servidores (sin las comillas) en el cuadro de texto Nombre: Botn Aceptar (clic) Crea la nueva unidad organizativa Servidores Megapack.com (clic con el botn derecho del Mouse) Nuevo (clic) Unidad organizativa (clic) Crear una nueva Unidad Organizativa Colocar Tecnologa (sin las comillas) en el cuadro de texto Nombre: Botn Aceptar (clic) Crea la nueva unidad organizativa Tecnologa Domain Controllers (doble clic) Tecnologa (clic con el botn derecho del mouse) Nuevo (clic) Grupo (clic) Crear un nuevo grupo de usuarios dentro de la unidad organizativa

tecnologa

Establecer la siguiente configuracin para el grupo: Nombre de grupo: Sistemas Nombre de grupo (anterior a Windows 2000): Sistemas mbito del grupo: Global Tipo de grupo: Seguridad

Botn Aceptar (clic) crea el grupo sistema como un grupo global y de seguridad Tecnologa (clic con el botn derecho del mouse) Nuevo (clic) Grupo (clic) Crear un nuevo grupo de usuarios dentro de la unidad organizativa

tecnologa Establecer la siguiente configuracin para el grupo:

Nombre de grupo: DBA Nombre de grupo (anterior a Windows 2000): DBA mbito del grupo: Global Tipo de grupo: Seguridad

Ejercicio 1:

Mediante la realizacin de esta prctica usted comprender la funcin y la correcta manerade implementacin de cuentas de usuario de un dominio adems de las correspondientescuentas de equipo.

Los siguientes ejercicios estn desarrollados para que usted pueda aplicarlosefectivamente en el mbito laboral, permitindole resolver problemas de manera eficaz yconcreta.


36/244


Botn Aceptar (clic) crea el grupo DBA como un grupo global y de seguridad Tecnologa (clic con el botn derecho del mouse) Nuevo (clic)

Grupo (clic) Crear un nuevo grupo de usuarios dentro de la unidad organizativaventas

Establecer la siguiente configuracin para el grupo: Nombre de grupo: Desarrollo Nombre de grupo (anterior a Windows 2000): Desarrollo mbito del grupo: Global Tipo de grupo: Seguridad

Botn Aceptar (clic) crea el grupo Desarrollo como un grupo global y de seguridad

Ejercicio 1:

Una vez iniciado el sistema se proceder a iniciar sesin como Administrador presionandosimultneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz de inicio de sesin.Introducir MgP393pDC (sin las comillas) como contrasea y presionar la tecla ENTERUna vez en el escritorio se proceder de la siguiente manera:

Icono Mis sitios de red (clic con el botn derecho del Mouse) Propiedades (clic) despliega la ventana de Conexiones de red y de acceso telefnico Icono Conexin de rea local (clic con el botn derecho del Mouse) Propiedades (clic) despliega la ventana de Propiedades de Conexin de rea local

Protocolo Internet (TCP/IP) (doble clic) despliega la ventana de Propiedades deProtocolo Internet (TCP/IP) Marcar la opcin Usar la siguiente direccin IP: Establecer la siguiente configuracin (dejar el resto de las opciones en blanco):

Direccin IP: 172.16.1.4 Mascara de subred: 255.255.0.0 Servidor DNS preferido: 172.16.1.3

Botn Avanzada (clic) despliega la ventana de configuracin avanzada Solapa DNS (clic) Acceder a la configuracin avanzada del cliente DNS Desmarcar la opcin Anexar sufijos primarios del sufijo DNS principal (haciendo un clic

en la casilla de verificacin) Botn Aceptar (clic) Guardar configuracin y salir Botn Aceptar (clic) Guardar configuracin y salir Botn Aceptar (clic) Activar la nueva configuracin y salir Cerrar la ventana de Conexiones de red y de acceso telefnico (haciendo clic en la X

que se encuentra en el ngulo superior derecho de la ventana.) Una vez en el escritorio se proceder de la siguiente manera para promover al servidor

a controlador de dominio: Men Inicio (clic) Ejecutar (clic) Ingresar dcpromo (sin las comillas) en el cuadro de texto y presionar la tecla ENTER

ejecutar el asistente de instalacin de Active Directory. Botn Siguiente (clic) Controlador de dominio adicional para un dominio existente (clic) Establecer la siguiente configuracin en la ventana Credenciales de red:

Nombre de usuario: Administrador Contrasea: MgP393pDC

En el Servidor 2 (MGP-SRV05):


37/244

Administracin de cuentas de Usuario y de Equipo442

Dominio: megapack0 Botn Siguiente (clic) Establece cuales son las credenciales que se utilizarn para

agregar el nuevo controlador al dominio Introducir megapack.com (sin las comillas) en el cuadro de texto Nombre de dominio

Indica a que dominio se desea agregar el nuevo controlador Botn Siguiente (clic) Botn Siguiente (clic) Establece la ruta por defecto para la ubicacin de la base

de datos y el registro de Active Directory (C:\WINNT\NTDS) Botn Siguiente (clic) Establece la ruta por defecto para la ubicacin de la

carpeta SYSVOL (C:\WINNT\SYSVOL) Botn Siguiente (clic) Establecer la siguiente configuracin para la Contrasea del Modo de restauracin de

servicios de directorio: Contrasea: MgP393pDC Confirmar contrasea: MgP393pDC

Botn Siguiente (clic)

Botn Siguiente (clic) comienza el proceso de replicacin Botn Finalizar (clic) Responder de manera afirmativa a la pregunta de si se desea reiniciar el equipo Al

reiniciar los cambios tendrn efecto Una vez el equipo reinicie, verificar que estn instaladas las herramientas de sistema

correspondientes y el estado de la base de datos de Active Directory (Grupos, unidadesorganizativas, etc.)


38/244



39/244

444 Administracin de Grupos

Administracin de Grupos

Clase terica 27

INTRODUCCIN

Los grupos pueden ser utilizados para administrar de forma eficaz el acceso alos recursos de un dominio y simplificar, de este modo, la administracin ymantenimiento de la red.

Tambin pueden utilizarse los grupos de forma independiente o incluir un grupodentro de otro para simplificar an mas la administracin.

Antes de poder utilizar grupos de forma eficaz, se debe conocer la funcin de losgrupos y los tipos de grupo que se pueden crear. El servicio de directorios ActiveDirectory admite diferentes tipos de grupos y ofrece tambin opciones paradeterminar el mbito del grupo, es decir, cmo puede utilizarse el grupo en variosdominios.

GRUPOS

Los grupos son un conjunto de cuentas de equipo y de usuario que se puedenadministrar como una sola unidad. Los grupos:

Simplifican la administracin al facilitar la concesin de permisos para

recursos a todo un grupo en lugar de a cada una de las cuentas de usuario

individualmente.

Pueden estar basados en Active Directory o ser locales, de un equipo

individual.

Se distinguen por su mbito y tipo.

Pueden anidarse, es decir, se puede agregar un grupo a otro.

mbitos de grupo

El mbito de un grupo determina si el grupo comprende varios dominios o selimita a uno solo. Los mbitos de grupo permiten utilizar grupos para la concesinde permisos. El mbito de grupo determina:

Los dominios desde los que puede agregar miembros al grupo.

Los dominios en los que puede utilizar el grupo para conceder permisos.

Los dominios en los que puede anidar el grupo en otros grupos.

El mbito de un grupo determina cules son los miembros del grupo. Las reglasde pertenencia controlan los miembros que puede contener un grupo y los grupos


40/244

445Clase terica 27

de los que puede ser miembro. Los miembros de un grupo estn formados porcuentas de usuario, cuentas de equipo y otros grupos.

Para asignar los miembros correctos a los grupos y para anidar un grupo, esimportante conocer las caractersticas del mbito de grupo. Existen los siguientesmbitos de grupo:

Global

Local de dominio

TIPOS DE GRUPO

Puede utilizar los grupos para organizar las cuentas de usuario, de equipo yotras cuentas de grupo en unidades administrables. Trabajar con grupos en lugarde con usuarios individuales, ayuda a simplificar la administracin y elmantenimiento de la red. Existen los siguientes grupos en Active Directory:

Distribucin

Se utiliza para asignar derechos y permisos de usuario. Se puede usar como una lista

de distribucin de correo electrnico.

Slo se puede usar con aplicaciones de correo electrnico. NO se puede utilizar para

asignar permisos

Los grupos simplifican la administracin, ya que permiten asignarpermisos para los recursos

G R U P O

Los grupos se distinguen por su mbito y tipo

El mbito de un grupo determina si el grupo comprende varios dominios o se limita a uno slo.

Los 3 mbitos de grupo son: global, local de dominio, universal y local.

Universal

Local

Definir mbito de grupo:Definir grupo:

Activi

dad

DESCRIPCINTIPO DE GRUPO

Seguridad


41/244


Grupos de seguridad

Puede utilizar los grupos de seguridad para asignar derechos y permisos de

usuario a grupos de usuarios y equipos. Los derechos especifican las accionesque pueden realizar los miembros de un grupo de seguridad en un dominio obosque, y los permisos especifican los recursos a los que puede obtener accesoun miembro de un grupo en la red.

Tambin puede utilizar grupos de seguridad para enviar mensajes de correoelectrnico a varios usuarios. Al enviar un mensaje de correo electrnico al grupo,el mensaje se enva a todos sus miembros. Por lo tanto, los grupos de seguridadtienen funciones de grupos de distribucin.

Grupos de distribucin

Puede utilizar los grupos de distribucin con aplicaciones de correo electrnico,como Microsoft Exchange, para enviar mensajes de correo electrnico a gruposde usuarios. La finalidad principal de este tipo de grupo es recopilar objetosrelacionados, no conceder permisos.

Los grupos de distribucin no tienen habilitada la seguridad, es decir, no puedenutilizarse para asignar permisos. Si necesita un grupo para controlar el acceso alos recursos compartidos, cree un grupo de seguridad. Aunque los grupos deseguridad tienen todas las funciones de los grupos de distribucin, estos ltimos

todava son necesarios, porque algunasaplicaciones slo pueden utilizar grupos de distribucin. Los grupos de distribuciny de seguridad admiten uno de los tres mbitos de grupo.

NIVELES FUNCIONALES DE DOMINIO

Las caractersticas de los grupos de Active Directory dependen del nivel funcionalde dominio. La funcionalidad de dominio activa funciones que afectan a todo undominio y slo a ese dominio.

Hay tres niveles funcionales de dominio disponibles:

Microsoft Windows 2000 mixto

Windows 2000 nativo

Microsoft Windows Server 2003.

Los dominios funcionan de forma predeterminada en el nivel funcional Windows2000 mixto.

Puede aumentar el nivel funcional de dominio a Windows 2000 nativo o WindowsServer 2003.


42/244

447Clase terica 27

Windows 2000

mixto

(predeterminado)

Windows NT Server 4.0,

Windows 2000,

Windows Server 2003

Global y local de

dominio

Controladores de

dominio admitidos

mbitos de grupo

admitidos

Windows 2000 nativo

Windows 2000,

Windows Server 2003

Global, local de dominio

y universal

Windows Server 2003

Windows Server 2003

Global, local de dominio

y universal

Puede convertir encualquier momento

un grupo deseguridad en un

grupo de distribuciny viceversa, peroslo si el nivel

funcional de dominiose encuentra

definido en W indows2000 nativo osuperior.

Nota

GRUPOS GLOBALES

Un grupo global es un grupo de distribucin o de seguridad que puede contenerusuarios, grupos y equipos procedentes del mismo dominio que el grupo global.Se pueden utilizar los grupos de seguridad globales para asignar derechos ypermisos de usuario a los recursos de cualquier dominio del bosque.

Caractersticas de los grupos globales:

Miembros

En un nivel funcional de dominio mixto, los grupos globales pueden

contener cuentas de usuario y equipo del mismo dominio que el grupoglobal.En un nivel funcional nativo, los grupos globales pueden contener cuentasde usuario, cuentas de equipo y grupos globales del mismo dominioque el grupo global.

Puede ser miembro de:

En el modo mixto, un grupo global slo puede ser miembro de gruposlocales de dominio.En el modo nativo, un grupo global puede ser miembro de grupos locales

de dominio y universales en cualquier dominio, y de grupos globales delmismo dominio que el grupo global.

Enumerar niveles de un dominio:Definir grupo de distribucin:

Activi

dad


43/244


mbito

Un grupo global es visible dentro de su dominio y de todos los dominios

de confianza, en los que se incluyen todos los dominios del bosque.

Permisos

Puede conceder permisos a un grupo global para todos los dominios delbosque.

Debido a que los grupos globales son visibles en todo el bosque, no deben crearsepara obtener acceso a recursos especficos del dominio. Se debe utilizar ungrupo global para organizar a los usuarios que comparten las mismas tareas detrabajo y necesitan requisitos de acceso a la red similares. Para controlar el

acceso a los recursos de un dominio, sera conveniente utilizar otro tipo de grupo.

GRUPOS UNIVERSALES

Un grupo universal es un grupo de distribucin o de seguridad que contieneusuarios, grupos y equipos de cualquier dominio del bosque. Se pueden utilizarlos grupos de seguridad universales para asignar derechos y permisos de usuarioa los recursos de cualquier dominio del bosque.

Caractersticas de los grupos universales:

Miembros

No puede crear grupos universales en el modo mixto.En el modo nativo, los grupos universales pueden contener cuentas deusuario, cuentas de equipo, grupos globales y otros grupos universalesde cualquier dominio del bosque.

Puede ser miembro de:

No se puede aplicar el grupo universal en el modo mixto.En el modo nativo, el grupo universal puede ser miembro de los gruposlocales de dominio y universales de cualquier dominio.

mbito

Los grupos universales son visibles en todos los dominios del bosque ydominios de confianza.

Permisos

Puede conceder permisos a grupos universales para todos los dominiosdel bosque.

Se deben utilizar los grupos universales para anidar grupos globales y poderasignar permisos a recursos relacionados de varios dominios. Un dominio de


44/244

449Clase terica 27

Windows Server 2003 R2 debe estar en el modo Windows 2000 nativo o superiorpara poder utilizar grupos universales.

GRUPOS LOCALES

Un grupo local es un conjunto de cuentas de usuario y grupos de dominio creadosen un servidor miembro o en un servidor independiente. Se pueden crear gruposlocales para conceder permisos para los recursos que residen en un equipolocal. Windows 2000 o Windows Server 2003 R2 crean grupos locales en unabase de datos de seguridad local. Los grupos locales pueden contener usuarios,equipos, grupos globales, grupos universales y otros grupos locales de dominio.

Debido a que los grupos con un mbito local de dominio reciben a menudo el

nombre de grupos locales, es importante distinguir entre un grupo local y ungrupo con mbito local de dominio. Los grupos locales a veces reciben el nombrede grupos locales de equipo para distinguirlos de los grupos locales de dominio.

Caractersticas de los grupos locales:

Los grupos locales pueden contener cuentas de usuario locales del equipoen el que se crea el grupo local.

Los grupos locales no pueden ser miembros de otro grupo.

Directrices para utilizar grupos locales:

Slo se pueden utilizar grupos locales en el equipo en el se crean los gruposlocales. Los permisos del grupo local ofrecen acceso slo a los recursos delequipo en el que se cre el grupo local.

Se pueden utilizar los grupos locales en los equipos que estn ejecutandoactualmente sistemas operativos clientes de Microsoft admitidos y enservidores miembros en los que se est ejecutando Windows Server 2003.No puede crear grupos locales en controladores de dominio, porque stosno pueden tener una base de datos de seguridad independiente de la basede datos de Active Directory.

Cree grupos locales para limitar la capacidad de acceso de los usuarios ygrupos locales a los recursos de la red cuando no desee crear grupos dedominio.

Definir grupo local:Definir grupo universal:

Activi

dad


45/244


ANIDAMIENTO DE GRUPOS

Mediante el anidamiento, se puede agregar un grupo como miembro de otro.

Se pueden anidar grupos para consolidar la administracin de grupos. Elanidamiento aumenta las cuentas de miembros que se ven afectadas por unanica accin y reduce el trfico provocado por la replicacin de los cambios enla pertenencia a grupos.

Las opciones de anidamiento varan en funcin de que el nivel funcional deldominio de Windows Server 2003 se haya establecido como Windows 2000nativo o Windows 2000 mixto. En los dominios en los que se ha establecido elnivel funcional de dominio en Windows 2000 nativo, la pertenencia a grupos vienedeterminada de la siguiente manera:

Los grupos universales pueden tener los siguientes miembros: cuentasde usuario, cuentas de equipo, grupos universales y grupos globales decualquier dominio.Los grupos globales pueden tener los siguientes miembros: cuentas deusuario, cuentas de equipo y grupos globales del mismo dominio.Los grupos locales de dominio pueden tener los siguientes miembros:cuentas de usuario, cuentas de equipo, grupos universales y gruposglobales de cualquier dominio. Pueden tener tambin como miembrosgrupos locales de dominio del mismo dominio.

No se pueden crear grupos de seguridad con mbito universal en dominios enlos que el nivel funcional de dominio se ha establecido en Windows 2000 mixto.

Slo admiten un mbito universal, los dominios en los que el nivel funcional dedominio se ha establecido en Windows 2000 nativo o Windows Server 2003.

Atencin

Se recomienda minimizar los niveles de anidamiento. Un nico nivel de anidamiento es el mtodo mseficaz, porque el seguimiento de los permisos se complica cuando hay varios niveles.

Adems, la solucin de problemas se dificulta si es necesario realizar un seguimiento de los permisos envarios niveles de anidamiento. Por lo tanto, documente la pertenencia a grupos para realizar un

seguimiento de los permisos.

MODIFICACIN DEL MBITO O TIPO DE UN GRUPO

Al crear un grupo nuevo, ste se configura de forma predeterminada como grupode seguridad con mbito global, independientemente del nivel funcional de dominioactual.

Aunque no se puede cambiar el mbito de grupo en dominios con un nivel funcional

de dominio definido en Windows 2000 mixto, se pueden realizar los siguientescambios de mbito en dominios con un nivel funcional de dominio definido enWindows 2000 nativo o Windows Server 2003:


46/244

451Clase terica 27

De global a universal. Slo se permite realizar este cambio si el grupo quedesea cambiar no es miembro de otro grupo global.

De local de dominio a universal. Slo se permite realizar este cambio si elgrupo que desea cambiar no tiene otro grupo local de dominio comomiembro.De universal a global. Slo se permite realizar este cambio si el grupo quedesea cambiar no tiene otro grupo universal como miembro.De universal a local de dominio. No existen restricciones para realizar estecambio.

No se puede cambiar unmbito de grupo de

global a local de dominio

directamente. Pararealizar esta accin, sedebe cambiar primero elmbito de grupo deglobal a universal y, acontinuacin, deuniversal a local de

dominio.

Nota

Cambio del tipo de grupo

Puede convertir en cualquier momento un grupo de seguridad en un grupo dedistribucin y viceversa, pero slo si el nivel funcional de dominio se encuentradefinido en Windows 2000 nativo o superior. No puede convertir un grupo si elnivel funcional de dominio se encuentra definido en Windows 2000 mixto.

Se pueden convertir grupos de un tipo a otro en las siguientes situaciones:

De seguridad a distribucin: Si una compaa se divide en dos. Los usuariosse migran de un dominio a otro, pero mantienen sus direcciones de correoelectrnico antiguas. Desea enviarles mensajes de correo electrnico,mediante los grupos de seguridad antiguos, pero prefiere eliminar elcontexto de seguridad del grupo.

De distribucin a seguridad: Un grupo de distribucin aumentaconsiderablemente y los usuarios desean utilizarlo para tareas relacionadascon la seguridad. Sin embargo, an desean utilizar el grupo para tareas decorreo electrnico.

Asignar un administrador a un grupo

Active Directory de Windows Server 2003 permite asignar un administrador a ungrupo como propiedad del grupo. Esto le permite:

Controlar quin es la persona responsable de los grupos.

Delegar en el administrador del grupo la autoridad para agregar y eliminar

usuarios del grupo.

Cuntos niveles de anidamiento se re

modulo 2 administracion de windows 2003 r2 server

Documents