Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CAPTULO 01
CAPTULO 02
CAPTULO 03
CAPTULO 04
Administracion de Discos
Administracin de Discos
Herramienta de Administracin de Discos
Tipos de Almacenamiento de Discos: Bsicos y Dinmicos
Actualizacin de disco Bsico a Dinmico
Manejo de Volmenes: Simple, Distribuido, Espejo, Seccionado,
con tolerancia R.A.I.D. 5
Montaje de un volumen
Cuotas de Discos
Administracin de Fragmentacin de Discos
Disco de Reparacin de Emergencia
CAPTULO 05
Sistema de Archivos
CAPTULO 06
CAPTULO 07
I3
CAPTULO 08
Servicios de Impresion
Administrando impresoras
Permisos y control de acceso
Configuracin de parmetros de la impresora
Instalacin de software
Publicando paquetes para los usuarios
Agregacin del paquete de publicacin al GPO
CAPTULO 09
CAPTULO 10
CAPTULO 11
Servidores de nombres
Servidores DNS
Registros y ficheros DNS
Creacin de Zonas: Zonas directas ,Zonas Inversas
Configuracin de un Servidor D.N.S. solo Cach
CAPTULO 12
Servidores de nombres
Servidores DNS
Registros y ficheros DNS
Creacin de Zonas: Zonas directas ,Zonas Inversas
Configuracin de un Servidor D.N.S. solo Cach
CAPTULO 13
CAPTULO 14
Monitoreo y Optimizacion
CAPTULO 15
I5
INTRODUCCION
Introduccion a Windows Server 2003
Servidor de correo.
Terminal Server.
I7
Seguro
Windows Server 2003 es el sistema operativo de servidor ms rpido y ms seguro
que ha existido. Windows Server 2003 ofrece fiabilidad al:
Productivo
Windows Server 2003 ofrece herramientas que le permiten implementar,
administrar y usar su infraestructura de red para obtener una productividad
mxima.
Windows Server 2003 realiza esto al:
Conectado
Windows Server 2003 puede ayudarle a crear una infraestructura de
soluciones de negocio para mejorar la conectividad con empleados, socios,
sistemas y clientes Windows Server 2003 realiza esto al:
Proporcionar un servidor Web integrado y un servidor de transmisin de
multimedia en tiempo
real para ayudarle a crear ms rpido, fcil y seguro una Intranet dinmica y sitios
de Internet.
Proporcionar un servidor de aplicaciones integrado que le ayude a desarrollar,
implementar y administrar servicios Web en XML ms fcilmente.
Brindar las herramientas que le permitan conectar servicios Web a
aplicaciones internas, proveedores y socios.
0
Mejor economa
Windows Server 2003, cuando est combinado con productos Microsoft como
hardware, software y servicios de los socios de negocios del canal brindan la
posibilidad de ayudarle a obtener el rendimiento ms alto de sus inversiones de
infraestructura.
Windows Server 2003 lleva a cabo esto al:
Seguro
Windows Server 2003 cuenta con la fiabilidad, disponibilidad, escalabilidad y
seguridad que lo hace una plataforma altamente segura.
fallos. Windows Server 2003 tambin soporta balanceo de carga de red, el cual
nivela el trfico de entrada dentro del Protocolo de Internet (IP), a travs de los
nodos en un cluster.
Fiabilidad Los negocios han hecho crecer la tradicional red de rea local (LAN) al
servidor Web, Internet Information Services (IIS) 6.0 est configurado para una
mxima seguridad la instalacin por defecto est "asegurada". Caractersticas de
seguridad avanzadas en IIS 6.0 incluyen: servicios de criptografa selectiva,
advanced digest authentication, y acceso configurable de control de procesos. Estas
son algunas de las muchas caractersticas de seguridad en IIS 6.0 que le permiten
llevar a cabo negocios con seguridad en la Web.
Productivo
En numerosas reas, Windows Server 2003 tiene capacidades que pueden hacer que su
organizacin y empleados sean ms productivos, como:
Conect ado
Windows Server 2003 incluye caractersticas y nuevas mejoras
Mejor economa
Microsoft dise Windows Server 2003 para ayudar a las compaas a darle valor aadido
a sus negocios al mantener costes bajos. La alta fiabilidad de Windows Server 2003
ayuda a controlar costes al reducir fallos y tiempo de inactividad. Windows Server 2003
tiene la flexibilidad de escalar segn la demanda.
Las herramientas poderosas de administracin y configuracin en Windows Server 2003
le permiten a los negocios implementar y administrar sistemas tan fcil y eficientemente
como sea posible. La compatibilidad con aplicaciones heredadas y productos de otras
compaas har que las organizaciones no pierdan su inversin de infraestructura
existente. Con la familia de Windows Server 2003, las organizaciones se benefician de
una plataforma poderosa y robusta que ayuda a darle a los negocios valor hoy en da y
en el futuro.
CAPTULO 1
Instalacin de Windows Server 2003
ACTUALIZACION DINAMICA
Ahora el asistente proporciona a los usuarios la opcion de descargar archivos de
instalacion y controladores actualizados de Microsoft. Esta opcion tambien se
puede incluir en una secuencia de comandos como parte de una instalacion
desatendida.
COMPROBACION DE COMPATIBILIDAD
El asistente permite a los usuarios realizar una prueba de compatibilidad detallada
en sus Pcs ,como parte del proceso de comprobacin de compatibilidad ,Usted
puede visitar el sitio web de Microsoft en busca de actualizaciones dinamicas
,Existe tambien una herramienta adicional que puede utilizar para comprobar
compatibilidad de aplicaciones Application Compatibilty Toolkit
I5
Seleccionar un sistema de archivos para la particin nueva. Tambin se puede elegir dar
formato a la particin nueva.
La instalacin copia archivos al disco y graba parmetros de configuracin. Luego se
reinicia la computadora y se inicia el Wizard de instalacin la locacin por defecto de los
archivos de la instalacin es la carpeta Windows.
La siguiente tabla describe algunas de las opciones que estn disponibles en el Wizard.
Certificate Services.
Fax Services.
Indexing Service.
Permite hacer bsquedas dinmicas con texto completo de los datos que se
almacenan en la computadora o la red.
Message Queuing
Remote Installation
Services
Remote Storage
Terminal Server
Terminal Server
Licensing
I9
Update Root
Certificates
Windows Media
Services
Una vez que Usted haya creado la particion donde planea instalar Windows Server 2003,
la instalacion permitira que seleccione el sistema de archivos para darle formato.
Windows Server 2003 soporta sistema de archivos NTFS y FAT16/FAT32.
NTFS
Utilizar NTFS para las particiones, requiere :
FAT y FAT32
Normalmente, Usted no utilizara FAT o FAT32 para dar formato a la particin del
sistema, a menos que requiera un dual boot entre Windows Server 2003 y otro sistema
operativo. FAT y FAT32 no ofrecen las caractersticas de seguridad que provee NTFS. Si
Usted requiere las caractersticas de NTFS, particularmente seguridad a nivel archivos y
carpetas, es recomendable que use sistema NTFS. Si elige dar formato a la particin
usando FAT, la instalacin automticamente dar formato a particiones que son mayores
de 2 GB en FAT32
.SELECCIONANDO
EL MODO DE LICENCIAMIENTO
I 11
DOMINIO
Durante la instalacin Usted puede agregar la computadora a un dominio existente como
member server, operacin que requiere lo siguiente:
Un nombre de Dominio. Un ejemplo de un nombre de dominio DNS vlido es
.microsoft.com.
Una cuenta de computadora. Antes de unir una computadora a un dominio, tiene que
existir una cuenta para esa computadora en el Dominio. Usted puede crear la cuenta
antes de la instalacin o, si tiene privilegios administrativos en el dominio, puede crear
esta cuenta durante la instalacin. Si la cuenta de la computadora se crea durante la
instalacin, el programa de instalacin le pedir que ingrese usuario y contrasea con
autoridad para agregar cuentas de computadoras al dominio.
Un domain controller disponible y un server corriendo el servicio DNS Server. Por lo
menos un domain controller y un DNS server deben estar online al momento de agregar
una computadora al dominio
WORKGROUP
Usted puede agregar la computadora a un workgroup, nicamente si est en una red
pequea sin un dominio o si se est preparando para agregar a un dominio ms adelante.
El nombre del workgroup que Usted asigne puede ser el nombre de un workgroup
existente o de un workgroup nuevo que cree durante la instalacin
FIN DE LA INSTALACION
Despus de instalar los componentes de networking, el programa de instalacin termina
de la siguiente manera:
Copia los archivos restantes, por ejemplo los accesorios y BITMAPS.
Aplica la configuracin que Usted especific anteriormente.
Guarda la configuracin al disco duro local.
Quita archivos temporales y reinicia la computadora.
I 13
Windows Server 2003 presenta cuatro versiones con diferentes funcionalidades que estan
descritas debajo:
El sistema operativo servidor fiable ideal para satisfacer las necesidades diarias de
empresas de todos los tamaos, proporcionando la solucin ptima para compartir
archivos e impresoras, conectividad segura a Internet, implementacin centralizada de
aplicaciones y un entorno de trabajo que conecta eficazmente a empleados, socios y
clientes. Soporta hasta 4 procesadores y 4 Gb de Memoria RAM.
La plataforma preferida tanto por las grandes compaas como por las de tamao medio
para implementar aplicaciones de forma segura, as como servicios Web. Integrndose en
infraestructuras aportando fiabilidad, mejores rendimientos y un elevado valor
empresarial, se presenta tanto en 32 como en 64 bit. Soporta hasta 8 procesadores,
hasta 64 Gb de memoria RAM y permite clustering de hasta 8 nodos.
14
Server
CPU / RAM
2 CPU
4 GB
Caracteristicas Nuevas
Caracteristicas:
NLBS
Personal Firewall
Web Server
Enterprise Server
Datacenter
2 CPU
2GB
8 CPU
32 GB (x86)
64 GB (64-Bit)
8-64 CPU
64GB (x86)
512 GB (64-Bit)
Puede c o r r e r :
IIS 6.0
.NLBS
DNS, DHCP,
WINS
All f e a t u r e s f r o m
Standard p l u s :
a8-node Clustering
&64-bit Version
All f e a t u r e s f r o m
Enterprise, plus:
Datacenter program
-Datacenter HCL
-Maintenance
Multi-instance support
Limitaciones:
, No DC Promo
,No Aplicaciones
No TS App
Mode
REQUERIMIENTOS
I 15
TTTt
Standard
133 MHz
Velocidad
del
CPU Minima
Enterprise
133 MHz para arquitectura x86
733 MHz para arquitectura
Itanium
Datacenter
Web
Velocidad del
CPU
RAM Minima
550 MHz
733 MHz
733 MHz
550 MHz
128 MB
128 MB
512 MB
128 MB
RAM
Recomenda
256 MB
256 MB
1 GB
256 MB
4 GB
RAM Maxima
Sopo r te
Multiprocesado
r SMP
Espacio Minimo
en Disco
16
Hasta 4
64 GB para arquitectura
x86
Hasta 8
Requerido 8 Minimo
2 GB
Hasta 2
M a x i m o 64
1.5 GB
1.5 GB
I 17
Solucin
Media errors
Non-supported
drive
CD-ROM
Failure of dependency
service to start
Inability to connect to
the domain controller
18
CAPTULO 02
Active Directory en Windows Server 2003c
Active
Directory
Para tomar ventaja de la potencia de Windows Server 2003 es necesario comprender
el funcionamiento del servicio de Directorio Activo (Active Directory) y como este
servicio nos proporciona la funcinabilidad que las empresas requieren para alcanzar
sus objetivos. Esta seccin pretende lograr un entendimiento del Active Directory
desde los siguientes enfoques:
Almacen El servicio de directorio activo almacena la informacin de los
objetos que conforman la red en una estructura jerrquica, permitiendo que
esta informacin este disponible para los administradores, usuarios y
aplicaciones.
Estructura El Active Directory permite organizar la red, es decir los recursos y
objetos que la componen a travs de componentes que los confinen tales como
unidades administrativas, dominios, rboles, bosques etc. Este capitulo describe
como la estructura y funcin de estos componentes y como esta arquitectura
permite a los administradores satisfacer las necesidades en un entorno empresarial.
Funcionalidad
Active Directory proporciona funcionalidad de servicio de directorio, como medio para
organizar, administrar y controlar centralmente el acceso a los recursos de red.
Asimismo hace que la topologa fsica de red y los protocolos pasen desapercibidos,
de manera que un usuario de una red pueda tener acceso a cualquier recurso sin
saber dnde est el mismo o cmo est conectado fsicamente a la red. Un ejemplo
de este tipo de recurso es una impresora.
Active Directory est organizado en secciones que permiten el almacenamiento de
una gran cantidad de objetos. Como resultado, es posible ampliar Active Directory a
medida que crece una organizacin, permitiendo que una organizacin que tenga un
nico servidor con unos cuantos centenares de objetos, crezca hasta tener miles de
servidores y millones de objetos.
Un servidor que ejecuta Windows Server 2003 almacena la configuracin del sistema,
la informacin de las aplicaciones y la informacin acerca de la ubicacin de los
perfiles de usuario en Active Directory. En combinacin con las directivas de grupo,
Active Directory permite a los administradores controlar escritorios distribuidos,
servicios de red y aplicaciones desde una ubicacin central, al tiempo que utiliza una
interfaz de administracin coherente.
Adems, Active Directory proporciona un control centralizado del acceso a los
recursos de red, al permitir que los usuarios slo inicien sesin una sola vez para
obtener pleno acceso a los recursos mediante Active Directory.
20
Clases de Objectos.
Unidades Organiza.
Dominios
Arboles
Bosque
22
Usted colocar los Operations Master Roles en un bosque cuando implemente una
estructura de bosque y dominio. Los Oerations Master Roles se transfieren,
24
Qu es el servicio de directorio
Qu es el Esquema?
El Esquema de Active Directory contiene las definiciones de todos los objetos, como
por ejemplo usuarios, computadoras e impresoras almacenados en Active Directory.
Sobre Domain Controllers corriendo Windows Server 2003, hay solamente un
Schema para todo el bosque. De esta manera, todos los objetos que se crean en
Active Directory cumplen con las mismas reglas.
El Schema tiene dos tipos de definiciones: Object Classes y atributos. Un ejemplo
de Object Classes son los usuarios, la computadora y la impresora, que describen
los objetos posibles que se pueden crear en el directorio. Cada Object Class es una
coleccin de atributos. Los atributos se definen separadamente de los Object
Classes. Cada atributo se define solamente una vez y puede ser utilizado en
mltiples Object Classes. Por ejemplo, el atributo de la descripcin se utiliza en
muchos Object Classes, pero se define solamente una vez en el Schema para
asegurar consistencia.
Asimismo Usted puede crear nuevos tipos de objetos en Active Directory
extendiendo el Schema. Por ejemplo, para un aplicacin E-mail Server, se podra
ampliar el User Class en Active Directory con nuevos atributos que contengan
informacin adicional, como la direccin y el e-mail de los usuarios.
Sobre Domain Controllers Windows Server 2003, Usted puede revertir cambios al
Schema desactivndolos y permitiendo a las organizaciones, de esta forma, mejorar
el uso de las caractersticas de extensibilidad de Active Directory.
Tambin se puede redefinir una clase o atributo del Schema, por ejemplo, cambiar
la sintaxis de la secuencia de Unicode del atributo llamado SalesManager a
Distinguished Name.
26
Qu es el Global Catalog?
pero solamente se harn rplicas parciales entre los servidores Global Catalog que
corran Windows Server 2003.
LDAP utiliza un nombre que representa objetos en Active Directory por una serie de
componentes que se relacionan con la estructura lgica. Esta representacin es
llamada Distinguished Name del objeto, e identifica el domain donde se localiza el
objeto y la trayectoria completa por la cual el objeto es alcanzado. El Distinguished
Name debe ser nico en el Active Directory forest.
El Relative Distinguished Name de un objeto identifica nicamente el objeto en
su container. Dos objetos en el mismo container no pueden tener el mismo nombre.
El Relative Distinguished Name siempre es el primer componente del Distinguished
Name, pero puede no ser siempre un Common Name.
Para un usuario llamado Suzan Fine de Sales Organizational Unit en Contoso.msft
domain, cada elemento de la estructura lgica se representa en el siguiente
Distinguished Name:
CN=Suzan Fine,OU=Sales,DC=contoso,DC=msft
CN es el Common Name del objeto en su container.
OU es la Organizational Unit que contiene el objeto. Puede haber ms de un valor
de OU si el objeto reside en una Organizational Unit anidada a ms niveles.
DC es el Domain Component, por ejemplo .com. o .msft.. Hay siempre al menos
dos Domain Components, pero posiblemente ms si el domain es un child domain.
Los domain components de los Distinguished Name estn basados en Domain Name
System (DNS).
Active Directory Snap-ins y Herramientas
Windows Server 2003 proporciona un nmero de snap-ins y herramientas
command-line para administrar Active Directory. Usted puede tambin administrar
Active Directory usando Active Directory Service Interfaces (ADSI). ADSI es una
interfaz simple de gran alcance para crear scripts reutilizables para administrar
Active Directory.
Nota: La herramienta ADSI Edit puede instalarse, desde el CD de Windows Server
2003. La misma se encuentra en la carpeta \Support\Tools.
28
snap-ins
administrativos
comunes
para
Snap-in
Descripcin
Active
Directory
Users and
Computers
Active
Directory
Domains
and Trusts
Active
Directory
Schema
Descripcin
Dsadd
Dsmod
Dsquery
Dsmove
Dsrm
Dsget
Csvde
Ldifde
Crea,
modifica
borra
objetos
Puede
tambin
I 29
Antes de instalar Active Directory, Usted debe asegurarse que la computadora est
configurada como Domain Controller, cumpliendo con los requisitos de hardware y
del sistema operativo. Adems, el Domain Controller deber tener acceso al DNS
Server, que deber cumplir con ciertos requisitos para soportar la integracin con
Active Directory.
La lista siguiente identifica los requisitos para la instalacin de Active
Directory:
Una computadora corriendo Windows Server 2003 Standard Edition, Enterprise
Edition o Datacenter Edition. Web Edition no soporta Active Directory.
Un mnimo de 250 megabytes (MB) de espacio en disco.200 MB para la base de
datos de Active Directory y 50 MB para logs de transacciones de Active Directory.
Los requisitos de tamao del archivo para la base de Active Directory y los archivos
log, dependen del nmero y el tipo de objetos en el domain. Se requerir el espacio
de disco adicional si el Domain Controller tambin es Global Catalog Server.
Una particin o un volumen con formato NTFS y con sistema de archivos. La
particin NTFS se requiere para la carpeta SYSVOL.
Los privilegios administrativos necesarios para crear un domain, si es que Usted
est creando uno en una red existente Windows Server 2003.
TCP/IP instalado y configurado para utilizar DNS.
Un DNS Server autoritativo para el DNS Domain y soporte para los requisitos
enumerados en la siguiente tabla.
SRV Resource Records (Mandatory) Service Locator Resource (SRV). Son
registros DNS que identifican los servicios especficos que ofrecen las computadoras
en una red Windows Server 2003. El DNS Server que soporta la instalacin de
Active Directory necesita soporte de SRV Resource Records. De lo contrario, Usted
deber configurar el DNS localmente durante la instalacin de Active Directory o
configurar el DNS manualmente despus de la instalacin de Active Directory.
Dynamic Updates (Opcional). Microsoft recomienda que los servidores DNS
tambin soporten actualizaciones dinmicas. El protocolo dinmico de actualizacin
permite a los servidores y a los clientes, en un ambiente DNS, agregar y actualizar
la base de datos del DNS automticamente, lo que reduce esfuerzos
30
administrativos. Si Usted utiliza software DNS que soporta SRV Resource Records
pero que no soporta el protocolo dinmico de actualizacin, deber ingresar los SRV
Resource Records manualmente en la base DNS.
Incremental Zone Transfers (Opcional). En una transferencia incremental de
zona, los cambios realizados en una zona en el Master DNS Server, deben ser
replicados a los DNS Servers secundarios de esa zona. Las transferencias
incrementales de la zona son opcionales, pero se recomiendan porque ahorran
ancho de banda de la red, replicando solamente los registros nuevos o modificados
entre los DNS Servers, en vez del archivo de base de datos entero de la zona.
32
Para crear el Forest Root Domain, deber realizar los siguientes pasos:
1. Hacer click en Inicio, despus en Ejecutar y escribir dcpromo. Luego
presionar Enter.
2. En la pgina Bienvenido, hacer click en Siguiente.
3. En la pgina Operating System Compatibility, hacer click en Next.
4. En la pgina Domain Controller Type, hacer click en Domain controller
for a new domain, y despus hacer click en Next.
5. En la pgina Create New Domain, hacer click en Domain in a new forest, y
despus en Next.
6. En la pgina New Domain Name, ingresar el DNS Name para el nuevo
domain (nwtraders.msft), y despus hacer click en Next.
7. En la pgina NetBIOS Domain Name, verificar NetBIOS Name
(NWTRADERS),
y
despus
hacer
click
en
Next.
El nombre NetBIOS identifica el domain a las computadoras de cliente
corriendo versiones anteriores de Windows y Windows NT. El wizard verifica
que le nombre NetBIOS sea nico. Si no lo es, le pedir cambiar el nombre.
8. En la pgina Database and Log Folders, especificar la localizacin en la
cual se desea instalar las carpetas de la base de datos y de los logs. Despus
hacer click en Next.
9. En la pgina Shared System Volume, especificar la locacin en la cual se
desea instalar la carpeta de SYSVOL, o hacer click en Browse para elegir
una locacin, y despus hacer click en Next.
10. En la pagina DNS Registration Diagnostics, verificar si un servidor
existente de DNS es autoritario para este forest o, en caso de necesidad,
hacer click en Install and configure the DNS server on this computer,
and set this computer to use this DNS server as its preferred DNS
server, y despus hacer click en Next.
11. En la pagina Permissions, especificar se si asignan los permisos por defecto
en los objetos usuario y grupo compatible con los servidores que funcionan
con versiones anteriores de Windows o Windows NT, o solamente con los
servidores Windows Server 2003.
12. Cuando se pregunte, especificar el password para Directory Services Restore
Mode. Los Domain Controllers Windows Server 2003 mantienen una versin
pequea de la base de datos de cuentas de Microsoft Windows NT 4.0. La
nica cuenta en esta base de datos es la cuenta del administrador y la
misma se requiere para la autentificacin al encender la computadora en
Directory Services Restore mode, porque Active Directory no se inicia de
este modo.
13. Repasar la pgina Summary, y despus hacer click en Next para comenzar
la instalacin.
14. Cuando se pregunte, reiniciar la computadora.
I 33
1. Over the network: Esto requiere, en el caso que Usted tenga gran cantidad
de objetos, un enlace con ancho de banda suficiente o bastante tiempo para
la replica inicial.
2. Replicate from Media: Esta nueva caracterstica de Windows Server 2003,
permite realizar la replica inicial por medio de un backup, de la siguiente
manera:
Primero debe realizar un backup del System State en el Domain
Controller existente.
Luego debe hacer llegar ese backup a la computadora destino.
En la computadora destino deber realizar la operacin de restore en
una locacin alternativa ( Elija una carpeta ej: C:\NTDSRestore)
Por ltimo corra el wizard dcpromo /adv
El wizard le permitir seleccionar la opcin From Media
34
I 35
36
Funcionalidad de Dominio
La funcionalidad del dominio habilita las caractersticas que afectarn el dominio
entero y solamente ese dominio. Cuatro niveles funcionales de dominio estn
disponibles:
Windows 2000 mixed. ste es el nivel funcional por defecto. Usted puede
levantar el nivel funcional del dominio a Windows 2000 native o Windows
Server 2003. Los dominios Mixed-mode pueden contener Windows NT 4.0
backup Domain Controllers, pero no pueden utilizar grupos de seguridad
universales, anidamiento de grupos o capacidades de Security Identifier (SID)
History.
Windows 2000 native. Usted puede utilizar este nivel funcional si el dominio
contiene solamente Domain Controllers Windows 2000 y Windows Server 2003.
Aunque los Domain Controllers funcionen en Windows 2000 Server, no estn
preparados para la funcionalidad de dominio. Caractersticas de Active
Directory, como grupos de seguridad universales, anidamiento de grupos y
capacidades de Security Identifier (SID) History, estn disponibles.
Windows 2003 Server. Este es el nivel funcional ms alto para un dominio.
Usted puede utilizarlo solamente si todos los Domain Controllers en el dominio
funcionan en Windows Server 2003. Todas las caractersticas de Active
Directory para el dominio estn disponibles para su uso.
Windows 2003 Interim. Este nivel es un nivel funcional especial que
soporta Domain Controllers Windows NT 4.0 y Windows server 2003.
Funcionalidad de forest
La funcionalidad de forest habilita caractersticas a travs de todos los dominios
dentro de su forest. Dos niveles funcionales de forest estn disponibles:
Windows 2000 y Windows Server 2003. Por defecto, los forests funcionan en
nivel funcional Windows 2000. Usted puede elevar el nivel funcional del forest a
Windows Server 2003, para que habilite las caractersticas que no estn
disponibles en el nivel funcional Windows 2000, incluyendo:
I 37
38
1.
En Active Directory Domains and Trusts, en la consola, hacer click derecho
en Active Directory Domains and Trusts, y despus click en Raise Forest
Functional Level.
2.
En el cuadro Select an available forest functional level, seleccionar
Windows Server 2003, y despus hacer click en Raise.
Windows Server 2003 soporta cross-forest trusts, el cual permite que los
usuarios en un bosque tengan acceso a recursos en otro bosque. Cuando un
usuario intente tener acceso a un recurso en un trusted bosque, Active Directory
primero localizar el recurso.
Despus de localizar el recurso, el usuario podr ser autenticado y tener acceso
al recurso. Entender cmo este proceso trabaja, le ayudar a localizar problemas
que pueden presentarse con cross-forest trusts.
trust TDO para el suffix de destino SPN. Despus de encontrar una igualdad, el
Global Catalog proporciona la informacin de routing sobre cmo localizar el
recurso al Domain Controller en vancouver.nwtraders.msft.
3. El Domain Controller en vancouver.nwtraders.msft enva una referencia para
su dominio Parent, nwtraders.msft, a la computadora del usuario.
4. La computadora del usuario contacta al Domain Controller en nwtraders.msft
por la referencia al Domain Controller del Forest Root Domain del forest
contoso.msft.
5. Usando la referencia del Domain Controller en nwtraders.msft, la
computadora contacta al Domain Controller en el forest contoso.msft para el
pedido de servicio al service ticket.
6. El recurso no est situado en el Forest Root Domain del forest contoso.msft, y
por eso el Domain Controller contacta a su Global Catalog para buscar el SPN. El
Global Catalog busca el SPN y lo enva al Domain Controller.
7. El Domain Controller enva la referencia seattle.contoso.msft a la computadora
del usuario.
8. La computadora del usuario contacta al KDC en el Domain Controller en
seattle.contoso.msft y negocia el ticket para el acceso del usuario al recurso en
el dominio seattle.contoso.msft.
9. La computadora enva el server service ticket a la computadora en la cual
est el recurso compartido, donde se leen las credenciales de seguridad del
usuario y se construye el access token, que da el acceso de usuario al recurso.
attributes
se
replican
vara,
Cuando el nivel funcional del forest es menor que Windows Server 2003,
cualquier cambio que fuera realizado a un atributo de miembros de grupo dispara
la rplica de la lista entera del atributo miembro. El multivalued member
attribute se considera un solo atributo con el fin de la rplica en este caso. Esta
rplica aumenta la probabilidad de sobreescribir un cambio del atributo miembro
que otro administrador realiz en otro domain controller, antes que el primer
cambo fuera replicado.
Cuando el nivel funcional del forest se cambia a Windows Server 2003, un valor
individual replica cambios a linked multivalued attributes. Esta funcionalidad
mejorada replica solamente cambios del atributo miembro de grupo y no a la
lista entera del atributo de miembro.
De esta forma se elimina la restriccin de 5000 usuarios mximo por grupo, esta
restriccin estaba dada en Windows 2000 por el valor mximo que puede tener
el atributo de miembros de un grupo.
Generacin automtica de la topologa de replicacin
I 41
Usted utiliza sites para controlar el trfico de replicacin, trfico de logon y las
queries del cliente al Global Catalog Server.
Qu son los sites
42
En Active Directory, los sites ayudan a definir la estructura fsica de una red. Una
o ms subnets TCP/IP en una rango definido de direcciones define un site, el cual
define alternadamente un grupo de Domain Controllers que tienen velocidad y
costo similares. Los Sites consisten en objetos server, que contienen objetos de
conexin que permiten la rplica.
Qu son objetos subnet
Los objetos subnet identifican las direcciones de red las cuales utilizan las
computadoras en los sites. Una subnet es un segmento de una red TCP/IP a la
cual se asigna un sistema de direcciones lgicas IP. Dado que objetos subnet
representan la red fsica, stos hacen sites. Por ejemplo, si tres subnets estn
situados en tres campus en una ciudad, y estos campus estn conectados con
high-speed, conexiones altamente disponibles, usted podra asociar cada una de
esas
subnets
a
un
site.
Un site puede consistir en una o ms subnets. Por ejemplo, en una red que tiene
tres subnets en Redmond y dos en Pars, usted puede crear un site en Redmond,
un site en Paris, y entonces agregar las subnets a los sites respectivos.
Qu son los Site Links
Los Site Links son conexiones que usted puede hacer entre sites para:
Habilitar la replicacin
Manejar los horarios en los cuales usted quiere replicar,
Mmanejar un costo de acuerdo al enlace que este utilizando, y el protocolo
de replicacin IP (RPC) o SMTP.
I 43
44
Usted puede utilizar uno de los tres mtodos para restaurar Active Directory de
medios de backup: primary restore, normal (nonauthoritative) restore, y
authoritative restore.
Primary restore. Este mtodo reconstruye el primer domain controller en el
dominio cuando no hay otra manera de reconstruir el dominio. Realizar un
primary restore solamente cuando todos los domain controllers en un domain se
perdieron, y usted desea reconstruir el dominio usando el backup.
Normal restore. Este mtodo reinstala los datos de Active Directory al estado
antes del backup, actualiza los datos con el proceso normal de rplica. Realizar
un normal restore solamente cuando usted desea restaurar un solo domain
controller a un buen estado previamente conocido.
Authoritative restore. Usted realiza este mtodo en tndem con un restore
normal. Un restore autoritativo marca datos especficos y evita que la rplica
sobreescriba esos datos. Los datos autoritativos entonces se replican a travs del
dominio.
I 45
46
C AP
PTULO 03
Creacion de Cuentas de Usuarios y GruposC
Una de sus funciones como administrador de red son administrar las cuentas de usuario
y de equipos. Estas cuentas son objetos del Directorio Activo y deben utilizarlas para
permitir que los usuarios inicien la sesin en la red y obtengan acceso a los recursos .
Como administrador de red, usted puede dar a los usuarios acceso a diferentes recursos
de la red. Por tanto,deben crear cuentas de usuario para identificar y autenticar a los
usuarios, de modo que obtengan acceso a la red.
La asignacin de permisos y derechos sobre los recursos de la red se controlan a travs
de las cuentas de usuario y grupo. en esta seccin se expondr la creacin de cuentas de
usuario y los procedimientos para la creacin de grupos en un grupo de trabajo y
dominios
Las cuentas de usuario que se manejan en Windows Server 2003 son las cuentas de
usuario local y la cuentas de usuario del dominio
I 47
Administrar el acceso de un usuario a los recursos, por ejemplo, los objetos del
Directorio Activo y sus propiedades, carpetas, archivos, directorios y colas de
impresin compartidos.
48
Nombre de inicio
de
sesin
en
versiones
anteriores a
Windows 2000
Nombre principal
de inicio de sesin
de usuario
Nombre de Completo
LDAP
ejem CN jayadams,CN=users,dc=nwtraders,dc=msft
.
I 49
Convencion de Nomenclatura
Una convencin de nomenclatura establece cmo deben identificarse las cuentas de usuario
de un dominio.
Una convencin coherente facilita recordar los nombres de inicio de sesin de usuario y
buscarlos en las listas. Por eso,es bueno acostumbrarse a cumplir la convencin de
nomenclatura en uso de una red que admite un gran nmero de usuarios.
Directrices
Tenga en cuenta las siguientes directrices a la hora de crear una convencin de
nomenclatura.
En algunas empresas, es til identificar a los empleados temporales con sus cuentas
de usuario. Para ello, agregue un prefijo al nombre de inicio de sesin de usuario,
por ejemplo una T y un guin (-). Por ejemplo, T-Judyl.
Los nombres de usuario para cuentas de dominio deben ser nicas en el Directorio
Activo. Los nombres de inicio de sesin de usuario deben ser nicos en el bosque en el
que se crea la cuenta de usuario.
50
Puede ubicar las cuentas de usuario en cualquier dominio del bosque y en cualquier unidad
organizativa del dominio. Normalmente, las jerarquias se basan en fronteras geopoliticas o
en modelos empresariales. Al estructurar la jerarquia del Directorio Activo y administrar los
permisos sobre sus objetos y propiedades,
puede especificar de forma precisa las cuentas que pueden obtener acceso a la informacin
del Directorio Activo y el nivel de permisos de cada una. Ubique las cuentas de usuario en
una jerarquia del Directorio Activo basada en la forma de administracin de las cuentas.
Diseo Geopolitico En un diseo geopolitico, se sita a los usuarios en dominios que
coincidan con su ubicacin fsica. Las estructuras de los dominios geopoliticos establecen
controladores de dominio que admiten usuarios del dominio cercano a los usuarios. Esto
reduce el tiempo de inicio de sesin para los usuarios y les permite iniciarla en caso de no
poder conectarse a la red de area extensa (WAN, wide area network).
Diseo Empresarial Cuando la jerarquia de los dominios se basa en modelos
empresariales,se ubica al personal de ventas en un dominio llamado ventas y al de fabricacin
en el dominio Fabricacin.
Como administrador de red tendra que administrar las opciones de contrasea de las cuentas
de usuario. Estas opciones pueden establecerse al crear la cuenta o bien a traves del cuadro
de dialogo Propiedades de la cuenta de usuario.
Opciones de contrasea
El administrador podra establecer las siguientes opciones para proteger el acceso al
dominio o a un equipo.
I 51
52
Practicas Recomendadas
Hay varias cuestiones relativas a la creacin de cuentas de usuario que reducen los riesgos
para la seguridad en un entorno de red.
Cuentas de Equipo
Cualquier equipo en el que se ejecute Windows NT 4 ,Windows 2000, Windows XP o Windows
Server 2003, que pertenezca a un dominio tiene una cuenta de equipo. Igual que las cuentas
de usuario, las de equipo proporcionan un medio para la autenticacin y auditoria de acceso
del equipo a la red y a los recursos del dominio.
En el Directorio Activo, los equipos son principios de seguridad, igual que los usuarios.
Esto significa que los equipos deben disponer de cuentas y contraseas. Para que el Directorio
Activo autentique completamente a un usuario, este debe tener una cuenta de usuario valida e
iniciar sesin en el dominio desde un equipo que disponga de una cuenta de equipo valida.
Nota No se pueden crear cuentas para equipos en los que se ejecuta Windows 95, Windows
98, Windows Milenium o Windows XP Home Edition, porque estos sistemas operativos no
cumplen los requisitos de seguridad del Directorio Activo.
54
Administracin
Los
administradores
designan
la
ubicacin de las
cuentas de
equipo
Cuentas de equipo
previamente
agregadas
Los
usuarios
designan
la
ubicacin de las
cuentas de equipo
autenticado tiene permiso para agregar estaciones de trabajo a un dominio y puede crear
hasta 10 cuentas de equipo en el dominio.
Existen dos caracteristicas opcionales que puede habilitar cuando crea una cuenta de
equipo. Puede asignar una cuenta como si fuera un equipo con un sistema operativo
anterior a Windows 2000 o como un controlador de dominio de reserva (BDC, Backup
Domain Controller).
Version anterior a
Windows 2000
Controlador de
Active la casilla de verificacin Asignar la cuenta de este equipo como un
Dominio de reserva controlador de dominio de reserva si pretende utilizarlo como tal.
Debera utilizar esta funcin si todavia esta en un entorno mixto con un
controlador de dominio de Windows Server 2003 y un controlador de
dominio de reserva (BDC) de Windows NT 4.0. Despues de crear la cuenta
en el Directorio Activo, puede unir el BDC al dominio durante la instalacin
de Windows NT 4.0.
56
Nota. Para realizar este procedimiento, debe ser miembro del grupo Operadores de cuentas,
del grupo Administradores de dominio, del grupo Administradores de organizacin de Active
Directory o que hayan delegado en usted la autoridad adecuada. Una prctica de seguridad
recomendada es que considere la idea de utilizar Ejecutar como para realizar este
procedimiento.
Utilizar una linea Para crear una cuenta de equipo mediante el comando dsadd de
computer
comando
1.
Abra un smbolo del sistema.
2. Escriba dsadd computer NombreDominioEquipo [-samid
NombreSAM] [-desc Descripcin] [-loc Ubicacin] [-memberof
NombreDominioGrupo ..] [{-s Servidor | -d Dominio}] [-u
NombreUsuario] [-p {Contrasea | *}] [-q] [{-uc | -uco | uci}]
I 57
Propiedades de
Para mantener las cuentas de
equipo debe encontrar la ubaci
Cuenta de equipo fsica del equipo. Las propiedades mas utilizadas para las cuentas de
equipo en el Directorio Activo son Ubicacin y Administrado por. La
propiedad Ubicacin es til porque documenta la ubicacin fsica del
equipo en la red. La ficha Administrado por enumera las personas
responsables del servidor.
58
Propiedades
General
Sistema operativo
Miembro de
Ubicacin
Administrado por
Objeto
Seguridad
Marcado
equipo.
y
de enrutamiento.
I 59
Plantilla de Usuario
Propiedades
Direccin
Cuenta
Perfil
particular
Organizacin
60
Miembro de
Para crear una cuenta que pueda utilizar como plantilla, deber crear una cuenta de
usuario, configurarla como desee, deshabilitarla y copiarla cuando necesite crear un
usuario nuevo.
para crear una plantilla de cuenta de usuario:
1.
4.
I 61
Despues de crear las cuentas de usuario, se suelen realizar tareas administrativas para
garantizar que la red sigue cumpliendo los requisitos de la empresa. Estas tareas incluyen
habilitar y deshabilitar cuentas de usuario y de equipo. Al habilitar o deshabilitar una cuenta,
concede o restringe el acceso a la misma.
Para que un entorno sea seguro, el administrador de sistemas debe deshabilitar las cuentas
de los usuarios cuando estos no vayan a utilizarlas durante un periodo de tiempo largo,
aunque las necesiten mas adelante. A continuacin se exponen algunos ejemplos en los que
sera necesario habilitar o deshabilitar una cuenta:
Cuando se agregan a la red cuentas que se van a utilizar en el futuro o por razones
de seguridad, se tendra que deshabilitar las cuentas hasta que sean necesarias.
Cuando no desee que se autentique a los usuarios desde un equipo compartido, se tendra
que deshabilitar la cuenta.
62
Cuando se deshabilita una cuenta, el usuario no puede iniciar la sesin con ella. La cuenta
aparece en el panel de detalles con una X sobre el icono de la cuenta.
Para habilitar y deshabilitar una cuenta de usuario o de equipo mediante Usuarios y
equipos del Directorio Activo :
1. En Usuarios y equipos de Active Directory, en el rbol de la consola, seleccione el
contenedor o el usuario que contiene la cuenta que desea habilitar o deshabilitar.
2. En el panel de detalles, haga clic con el botn secundario del mouse en la cuenta de
usuario.
3. Para deshabilitarla, haga clic en Deshabilitar cuenta.
4. Para habilitarla, haga clic en Habilitar cuenta.
Para deshabilitar o habilitar la cuenta de usuario local mediante Administracin de equipos:
1.
I 63
El usuario inicia la sesin con una cuenta local y proporciona una cuenta de usuario
de dominio y una contrasea incorrectas cuando intenta obtener acceso a los
recursos de la red.
El usuario inicia la sesin con una cuenta local y proporciona una cuenta de usuario
de dominio y una contrasea incorrectas cuando intenta obtener acceso a los
recursos de la red con el comando runas.
Tipos de busqueda
Puesto que todas las cuentas de usuario se encuentran en el Directorio Activo, los
administradores pueden buscar las que administran. Ademas, tambien puede buscar otros
objetos del Directorio Activo, como equipos, impresoras y carpetas compartidas. Una vez
haya encontrado estos objetos, puede administrarlos desde el cuadro
Resultado de la bsqueda.
Administrar
objetos desde
Resultado de la
64
Busqueda
cambiarles
Buscar usuarios,
la
Contactos y grupos
Buscar equipos
Buscar impresoras
Buscar carpetas
compartidas
para
Bsqueda
I 65
Consultas Comunes
La funcin de bsqueda es una de las caracteristicas clave del Directorio Activo. La bsqueda
permite encontrar objetos en el Directorio Activo basandose en unos criterios determinados
y recuperar propiedades especificas de los objetos encontrados.
Procedimiento
disponibles
l=Denver
66
(ObjectClass=user)(ObjectCategory=person)
UserAccountControl:1.2.840.113556.1.4.803:=2
Esto especifica los indicadores que controlan la contrasea, la opcin de bloqueo, la opcin
de habilitar o deshabilitar, la secuencia de comandos y el comportamiento de la direccin
principal del usuario. Esta propiedad tambien contiene un indicador que especifica el tipo de
cuenta del objeto. El indicador que se utiliza en el ejemplo es para las cuentas
deshabilitadas.
Usuarios y equipos del Directorio Activo cuenta con una carpeta Consultas guardadas en
la que puede crear, editar, guardar y organizar consultas guardadas. Antes de poder
utilizar consultas guardadas, los administradores necesitaban crear secuencias de
comandos de Interfaces de servicios del Directorio Activo (ADSI, Active Directory
Service Interface) personalizadas para realizar una consulta sobre objetos comunes. A
menudo se trataba un proceso largo que exiga saber cmo ADSI utiliza filtros de
bsqueda LDAP para resolver una consulta.
Las consultas guardadas utilizan cadenas LDAP predefinidas para buscar slo en las
particiones de dominio especificadas. Puede restringir las bsquedas a un nico objeto de
contenedor. Tambin puede crear consultas guardadas personalizadas que contengan un
filtro de bsqueda LDAP.
Todas las consultas se almacenan en la carpeta de consultas guardadas llamada dsa.msc,
que se almacena en Usuarios y equipos del Directorio Activo. Una vez que haya creado
correctamente un conjunto de consultas guardadas personalizadas, puede copiar el archivo
.msc en otros controladores de dominio de Windows Server 2003 que esten en el mismo
dominio y volver a utilizar el conjunto de consultas guardadas. Tambien puede exportarlas a
un archivo XML (Lenguaje marcado extensible). Entonces podra importarlas a otras consolas
de Usuarios y equipos del Directorio Activo ubicadas en controladores de dominio de
Windows Server 2003 que esten en el mismo dominio.
I 67
Antes de aplicar las estrategias para la administracin de grupos Windows Server 2003 a
nivel de grupos de trabajo o dominios es necesario entender su propsito bsico y como
estos funcionan.
68
Los dominios en los que puede utilizar el grupo para conceder permisos.
El ambito de un grupo determina cuales son los miembros del grupo. Las reglas de
pertenencia controlan los miembros que puede contener un grupo y los grupos de los que
puede ser miembro. Los miembros de un grupo estan formados por cuentas de usuario,
cuentas de equipo y otros grupos.
Para asignar los miembros correctos a los grupos y para anidar un grupo, es
importante conocer las caractersticas del ambito de grupo. Existen los siguientes
ambitos de grupo:
Global
Local de dominio
Universal
Local
Puede utilizar los grupos para organizar las cuentas de usuario, de equipo y otras cuentas
de grupo en unidades administrables. Trabajar con grupos en lugar de con usuarios
individuales, ayuda a simplificar la administracion y el mantenimiento de la red.
Existen los siguientes grupos en Active Directory:
Grupos de seguridad
Puede utilizar los grupos de seguridad para asignar derechos y permisos de usuario a
grupos de usuarios y equipos. Los derechos especifican las acciones que pueden realizar
los miembros de un grupo de seguridad en un dominio o bosque, y los permisos
especifican los recursos a los que puede obtener acceso un miembro de un grupo en la
red.
Tambien puede utilizar grupos de seguridad para enviar mensajes de correo electronico a
varios usuarios. Al enviar un mensaje de correo electronico al grupo, el mensaje se envia a
todos sus miembros. Por lo tanto, los grupos de seguridad tienen funciones de grupos de
distribucion.
Grupos de distribucion
Puede utilizar los grupos de distribucion con aplicaciones de correo electronico, como
Exchange, para enviar mensajes de correo electronico a grupos de usuarios. La finalidad
principal de este tipo de grupo es recopilar objetos relacionados, no conceder permisos.
Los grupos de distribucion no tienen habilitada la seguridad, es decir, no pueden utilizarse
para asignar permisos. Si necesita un grupo para controlar el acceso a los recursos
compartidos, cree un grupo de seguridad.
Aunque los grupos de seguridad tienen todas las funciones de los grupos de distribucion,
estos ltimos todavia son necesarios, porque algunas aplicaciones solo pueden utilizar
grupos de distribucion.
Los grupos de distribucion y de seguridad admiten uno de los tres ambitos de grupo.
I 69
Las caracteristicas de los grupos de Active Directory dependen del nivel funcional de
dominio. La funcionalidad de dominio activa funciones que afectan a todo un dominio y solo
a ese dominio. Hay tres niveles funcionales de dominio disponibles: Windows 2000 mixto,
Windows 2000 nativo y Windows Server 2003. Los dominios funcionan de forma
predeterminada en el nivel funcional Windows 2000 mixto. Puede aumentar
el nivel funcional de dominio a Windows 2000 nativo o Windows Server 2003.
Grupos globales
70
En un nivel funcional de dominio mixto, los grupos globales pueden contener cuentas
de usuario y equipo del mismo dominio que el grupo global.
Grupos universales
I 71
72
En el modo mixto, los grupos locales de dominio pueden contener cuentas de usuario,
cuentas de equipo y grupos globales de cualquier dominio. Los servidores miembros no
pueden utilizar grupos locales de dominio en el modo mixto.
Ambito
Un grupo local de dominio solo es visible en el dominio al que pertenece.
Permisos
Puede asignar permisos a un grupo local de dominio para el dominio al que pertenece el
grupo local de dominio.
Utilice un grupo local de dominio para asignar permisos a recursos ubicados
len el mismo dominio que el grupo local de dominio. Puede colocar todos los grupos globales
que necesiten compartir los mismos recursos en el grupo local de dominio adecuado.
Grupos locales
I 73
74
I 75
G Marketing Managers
Nombre de dominio
El nombre de dominio o su abreviatura se coloca al principio del nombre de grupo a
peticion del cliente. Por ejemplo:
G NWTraders Marketing
DL IT London OU Admins
Grupos de Distribucion
Como los grupos de seguridad se utilizan sobre todo para la administracion de la red, solo
el personal encargado de esta tarea debe utilizar la convencion de nomenclatura. Los
usuarios finales utilizan grupos de distribucion; por lo tanto, debe interesarles la
convencion de nomenclatura.
Al definir una convencion de nomenclatura para los grupos de distribucion, tenga en
cuenta los siguientes puntos:
Nombres de correo electronico
Longitud. Utilice un alias corto. Para respetar las normas actuales de datos
descendentes, la longitud minima de este campo es de tres caracteres y la longitud
maxima, de ocho.
76
I 77
78
Definicion de Miembros
Tom, Jo, y Kim son miembros del grupo global Administradores de Denver.
y Miembro de
El grupo global Administradores de Denver es un miembro del grupo local de dominio
administradores de UO de Denver.
Sam, Scott, y Amy son miembros del grupo global Administradores de Vancouver. El grupo
global Administradores de Vancouver es un miembro del grupo local de dominio
Administradores de UO de Denver.
La siguiente tabla resume la informacion de la Figura:
Usuario o grupo
Miembros
Miembro de
Tom, Jo, y
Administrado
res
de
Denver
Sam, Scott, y
Administradores de UO
de Denver de Denver
Administradores
de UO de Denver
Administrado
res
de
Vancouver
Administradores
de UO de Denver
Administradores
Administradores de Vancouver
Mediante las propiedades Miembros y Miembro de, puede determinar los grupos a los que
pertenece el usuario y los grupos a los que pertenece el grupo.
I 79
Mediante el anidamiento, puede agregar un grupo como miembro de otro. Puede anidar
grupos para consolidar la administracion de grupos. El anidamiento aumenta las cuentas
de miembros que se ven afectadas por una nica accion y reduce el trafico provocado por
la replicacion de los cambios en la pertenencia a grupos.
Las opciones de anidamiento varan en funcion de que el nivel funcional del dominio de
Windows Server 2003 se haya establecido como nativo o mixto. En los dominios en los que se
ha establecido el nivel funcional de dominio en Windows 2000 nativo, la pertenencia a grupos
viene determinada de la siguiente manera:
1. Los grupos universales pueden tener los siguientes miembros: cuentas de
usuario, cuentas de equipo, grupos universales y grupos globales de cualquier
dominio.
2. Los grupos globales pueden tener los siguientes miembros: cuentas de usuario,
cuentas de equipo y grupos globales del mismo dominio.
3. Los grupos locales de dominio pueden tener los siguientes miembros: cuentas de
usuario, cuentas de equipo, grupos universales y grupos globales de cualquier dominio.
Pueden tener tambin como miembros grupos locales de dominio del mismo dominio.
80
Estrategias de grupo
Si desea utilizar los grupos de manera eficaz, debe emplear estrategias para aplicar los
diferentes ambitos de grupo. La seleccion de la estrategia depende del entorno de red de la
organizacion. En un nico dominio, la practica habitual consiste en utilizar grupos globales
y locales de dominio para conceder permisos para los recursos de red. En una red con
varios dominios, puede incorporar grupos globales y universales a su estrategia.
En A G P, se colocan cuentas de usuario (A) en grupos globales (G)
y se conceden permisos (P) a los grupos globales. Esta estrategia presenta
la limitacion de complicar la administracion cuando se utilizan varios dominios. Si los grupos
globales de varios dominios necesitan los mismos permisos, debe conceder permisos a cada
uno de los grupos globales de forma individual.
Utilice A G P para bosques con un dominio, a los que no agregara nunca otros dominios, y con
muy pocos usuarios.
A G P tiene las siguientes ventajas:
1. No se anidan los grupos y, por lo tanto, la solucion de problemas puede
simplificarse.
2. Las cuentas pertenecen a un nico ambito de grupo.
A G P tiene las siguientes desventajas:
1. Cada vez que un usuario se autentica con un recurso, el servidor debe
comprobar la pertenencia al grupo global para determinar si el usuario es an
miembro del grupo.
2. Se degrada el rendimiento debido a que el grupo global no se almacena en cache.
I 81
82
usuarios
centralizada
una
I 83
84
Active Directory permite asignar un administrador a un grupo como propiedad del grupo.
Esto le permite:
1. Controlar quien es la persona responsable de los grupos.
2. Delegar en el administrador del grupo la autoridad para agregar y eliminar usuarios
del grupo.
Debido a que, en las grandes organizaciones, se suelen agregar y eliminar personas de los
grupos con bastante frecuencia, algunas organizaciones distribuyen la responsabilidad
administrativa de agregar usuarios a grupos entre las personas que solicitan el grupo.
Al documentar quien es el administrador del grupo, la informacion de contacto de esa cuenta
de usuario queda registrada. Si se necesita alguna vez migrar el grupo a otro dominio, o si
es necesario eliminarlo, el administrador de red tiene un registro que contiene informacion
sobre el propietario del grupo y su informacion de contacto. Por lo tanto, el administrador de
red puede llamar o enviar un mensaje al administrador del grupo para notificarle el cambio
que es necesario realizar en el grupo.
Para asignar un administrador a un grupo:
1.
2.
3.
4.
5.
I 85
86
grupo Operadores de copia tiene derecho a realizar copias de seguridad de todos los
controladores de dominio del dominio.
Algunos grupos predeterminados estan disponibles en los contenedores Users (Usuarios) y
Builtin (Integrado) de Active Directory. El contenedor Builtin contiene grupos locales de
dominio. El contenedor Users contiene grupos globales y grupos locales de dominio. Puede
mover grupos de los contenedores Users y Builtin a otro grupo o a carpetas de una unidad
organizativa del dominio, pero no puede moverlos a otros dominios.
La siguiente tabla describe cada grupo predeterminado del contenedor Builtin que se ha
agregado a los grupos predeterminados de un servidor miembro o independiente al instalar
Active Directory.
Operadores de cuentas
Los miembros pueden crear, modificar y eliminar cuentas de usuarios, grupos y
equipos ubicadas en los contenedores Users o Computers y las unidades organizativas
del dominio, excepto la unidad organizativa Domain Controllers.
Los miembros no tienen permiso para modificar los grupos Administradores o
Administradores del dominio o las cuentas de los miembros de esos grupos.
Los miembros pueden iniciar una sesion de forma local en los controladores de
dominio del dominio y tambien apagarlos.
Agregue usuarios con precaucion, ya que este grupo tiene bastante poder en el
dominio.
Creadores de confianza de bosque de entrada dominio raiz del bosque
Los miembros pueden crear confianzas de bosque entrada unidireccionales en el
dominio raiz del bosque , Este grupo no tiene miembros predeterminados.
Acceso compatible con versiones anteriores de Windows 2000
Los miembros tienen acceso de lectura en todos los usuarios y grupos del dominio.
Se proporciona este grupo para obtener compatibilidad con versiones anteriores en los
equipos que ejecutan Windows NT 4.0 o una version anterior. Agregue usuarios a este
grupo solo si se esta utilizando el Servicio de acceso remoto (RAS, Remote Access
Ser vice) en un equipo con Windows NT 4.0 o una version anterior.
Operadores de servidores
Los miembros pueden iniciar una sesion de forma interactiva, crear y eliminar
recursos compartidos, iniciar y detener algunos servicios, hacer copias de seguridad
de archivos y restaurarlos, formatear el disco duro y apagar el equipo. Este grupo
no tiene miembros predeterminados. Agregue usuarios con precaucin, ya que este
grupo tiene mucho poder en los controladores de dominio.
I 87
Grupos Predeterminados
Todos los permisos asignados a ese grupo para todos los recursos
compartidos asociados a ese grupo predeterminado.
88
I 89
CAPTULO 05
Administracion de Disco en Windows 2003
S
Introduccin
Administracion de discos, un complemento de Microsoft Management Console (MMC), es
una utilidad del sistema que consolida todas las tareas de administracion de discos para
la administracion tanto local como remota de Windows Server 2003. Al ser un
complemento de MMC, Administracion de discos utiliza la interfaz, la estructura de
mens y los mens contextuales que suelen utilizar todos los productos de Microsoft.
Puede lograr acceso a Administracion de discos en la consola de Administracion de
equipos, o puede crear una consola independiente para ello.
Puede utilizar Administracion de discos para configurar y administrar el espacio
de almacenamiento y para realizar todas las tareas de administracion de discos.
Tambien puede utilizar esta herramienta para convertir el tipo de almacenamiento de los
discos, crear y extender volmenes, y realizar otras tareas de administracion de discos,
como la administracion de rutas y letras de unidad, y el mantenimiento de Windows
Server 2003.
Si crea una consola independiente y agrega el complemento Administracion de
discos, puede establecer el foco del complemento en el equipo local o en otro equipo para
administrar de forma remota ese equipo. Como miembro de los grupos Administradores u
Operadores de servidor, puede administrar discos en equipos con Windows Server 2003 y
que sean miembros del dominio, o de un dominio en el que se confa, desde cualquier otro
equipo de la red con Windows Server 2003.
Por ejemplo, puede crear una consola, agregarle varios complementos Administracion de
discos y establecer el foco de cada uno de ellos en un equipo remoto diferente. A partir de
ese momento, puede administrar el almacenamiento en disco de todos los equipos desde
una sola consola.
90
I 91
Particiones primarias
Las particiones primarias se crean en los discos basicos. Un disco basico puede tener un
maximo de cuatro particiones primarias o tres particiones primarias y una extendida.
Las particiones primarias no se pueden subdividir. Las particiones extendidas pueden
dividirse en unidades logicas.
Unidades logicas
Las unidades logicas son similares a las particiones primarias; sin embargo, puede crear
hasta 23 unidades logicas por disco, si el sistema esta equipado con una unidad nica,
pero esta limitado a cuatro particiones primarias por disco. Puede formatear las
unidades logicas y asignarles una letra de unidad.
92
Particiones extendidas
Las particiones extendidas solo se pueden crear en los discos basicos.
A diferencia de las primarias, a las particiones extendidas no se les formatea con ningn
sistema de archivos. En su lugar, en la particion extendida se crean una o varias
unidades logicas y, a continuacion, se les formatea con un sistema de archivos.
Formatear discos
Antes de utilizar un disco, tiene que formatearlo. Al formatear un disco se configura la
particion con una tabla de asignacion de archivos. El formateado prepara el disco para la
lectura y la escritura. Si formatea un disco, el sistema operativo borra las tablas de
asignacion de archivos que tenga, lo prueba para comprobar que los sectores son
fiables, marca los sectores defectuosos y crea tablas internas de direcciones, que utiliza
posteriormente para encontrar la informacion.
Eliminar particiones
La eliminacion de una particion destruye todos los datos que contiene.
A continuacion, la particion se restaura en un espacio sin asignar. Para eliminar una
particion extendida, antes hay que eliminar del disco todas sus unidades logicas.
Administrar letras de A a la Z
Puede utilizar hasta un maximo de 24 letras de unidad, desde C hasta Z. Las
letras de unidad A y B estan reservadas para las unidades de disquete. Sin embargo, si
solo se dispone de una unidad de disquete, puede utilizar la letra B para una unidad de
red. Si agrega un disco duro nuevo al sistema del equipo, no afectara a las letras de
unidad ya asignadas.
I 93
94
FAT32
Tamao de
4 gigabytes (GB) 32 GB
particion max.
Tamao
dede 16 kilobytes
(KB) a 64 KB
NTFS
2 terabytes
Solamente 4 KB Solamente
Seguridad
Atributos de
archivo
Atributos de
archivo
Archivo,
cifrado
Compresion
Ninguna
Ninguna
Archivos,
y unidades
I 95
Para ver las propiedades del disco, las cuales nos ofrecen informacion sobre el disco fsico
y los volmenes que contiene, puede utilizar Administracion de discos o DiskPart.
Utilice la informacion de las propiedades del disco cuando sustituya un disco duro o para
comprobar si un disco especifico esta instalado en un servidor.
Las propiedades de los discos ofrecen la informacion mas reciente acerca del disco. Para
tener acceso a esta informacion, se utiliza DiskPart o Administracion de discos para
abrir el cuadro de dialogo Propiedades del disco. Las fichas siguientes del cuadro de
dialogo Propiedades muestran las propiedades de disco:
General. Indica el nmero y la ubicacion del disco.
Volmenes. Indica el nmero del disco, su tipo, estado, estilo de particin,
capacidad, espacio sin asignar y su espacio reservado.
Ademas de la informacion de Administracion de discos, DiskPart ofrece el Id. de disco y el
tipo de disco, como IDE (integrated device electronics, electronicas de dispositivos
integradas), ATA (Advanced Technology Attachment, Tecnologa Avanzada de
Conexion) o SCSI (small computer system interface, interfaz estndar de equipos
pequeos).
Por ejemplo, para solicitar la sustitucion de un disco duro con errores, el administrador
de sistemas debe conocer el modelo, el tipo y la capacidad del disco original. Tras instalar
el disco nuevo, el administrador lo configura con el nmero de disco, las particiones, el
espacio sin asignar y el tipo de volumen.
Tras mover discos duros entre equipos, debe reexaminar los discos. Cuando
Administracion de discos reexamina las propiedades de los discos, examina si hay
cambios en la configuracion de todos los discos conectados. Tambien actualiza la
informacion acerca de los medios extraibles, de las unidades de CD-ROM, de los
volmenes basicos, de los sistemas de archivos y de las letras de unidad.
96
Disco
Tipo
Estado
Estilo de particion
Capacidad
I 97
Las unidades montadas en NTFS son una forma comoda de agregar volmenes a un
equipo cuando no quedan letras de unidad disponibles. Tambien permiten agregar
espacio a un volumen montando otros discos como carpetas del volumen, en lugar de
volver a crear el volumen en un disco mayor.
Puede agregar volmenes nuevos al sistema sin tener que agregar letras de unidad
distintas para cada volumen. De esta forma resulta mas sencillo administrar las
letras de unidad.
98
Puede crear varias unidades montadas por volumen Por ejemplo, puede montar una
unidad en la carpeta C:\Archivos de programa. La unidad nueva se monta logicamente
bajo C:\, pero no necesita su propia letra de unidad.
Las unidades montadas facilitan la administracion del almacenamiento de datos que se
basa en el entorno de trabajo y en el uso del sistema. Por ejemplo, si queda poco
espacio en la unidad C, puede mover la carpeta Mis documentos a una unidad mayor y
montarla como C:\Mis documentos.
Aunque elimine una unidad montada, todos los archivos y carpetas permanecen en la
unidad que se monta. Por ejemplo, si monta la unidad F como C:\Temp, despues de
eliminarla, los archivos y carpetas que copia a C:\Temp siguen estando disponibles en la
unidad F.
Puede utilizar una unidad montada como puerta de enlace con un volumen.
Si crea un volumen como unidad montada, los usuarios y aplicaciones pueden hacer
referencia a la unidad montada a traves de la ruta de acceso de la unidad, como
C:\mnt\Ddrive, o a traves de una letra de unidad, como Por ejemplo, un servidor de
aplicaciones tiene una unidad C que esta a punto de quedarse sin espacio libre, una
unidad D que almacena datos y una unidad E que esta vaca. La aplicacion utiliza muy
a menudo la carpeta C:\Temp. Se puede montar la unidad E en C:\Temp para dejar
mas espacio para archivos temporales.
I 99
Los discos basicos son el tipo de discos predeterminados de Windows Server 2003 y
ofrecen caracteristicas limitadas para la configuracion de los discos.
Los discos dinamicos proporcionan mas flexibilidad que los basicos para configurar
discos duros. Por ejemplo, la tolerancia a errores solo se puede implementar en los
discos dinamicos.
La ventaja de los discos basicos es que proporcionan un espacio separado que
se puede utilizar para organizar los datos. Un disco basico se puede dividir en cuatro
particiones primarias o en tres particiones primarias y una extendida, que contiene una o
varias unidades logicas.
Las ventajas de los discos dinamicos son:
100
Convertir discos
La mayoria de las organizaciones utilizan discos dinamicos en sus servidores porque
proporcionan tolerancia a errores y porque el espacio de almacenamiento puede
extenderse si es necesario. El tipo de disco predeterminado es el basico, por lo que para
poder utilizar un disco dinamico hay que convertir un disco basico en dinamico.
I 101
3. Haga clic con el botn secundario del mouse en los volmenes del disco dinmico que
desea revertir a disco bsico y despus haga clic en la opcion Eliminar volumen de todos
los volmenes del disco.
4. Cuando haya eliminado todos los volmenes del disco, haga clic con el botn
secundario del mouse en el disco y, a continuacin, en Convertir en disco basico.
5.
Un volumen simple es un solo volumen que reside en un disco dinamico. Los volmenes
simples se pueden crear desde el espacio sin asignar de los discos dinamicos. Un volumen
simple es similar a una particion, excepto en que no tiene los limites de tamao de esta, ni
hay ninguna restriccion en el nmero de volmenes que se pueden crear en un solo disco.
Formatos de archivo de Los volmenes simples utilizan los formatos de los sistemas de
archivos NTFS, los volmenes simples FAT o FAT32. Sin embargo, los volmenes
simples solo se pueden extender si tienen el formato de la version de NTFS que se utiliza en
Windows 2000 o en la familia de sistemas operativos Windows Server 2003. Ademas,
incluso despues de crear un volumen simple es posible agregarle espacio o extenderlo.
Puede utilizar los volmenes simples para todo el almacenamiento de datos hasta que se
necesite mas espacio en los discos. Para lograr mas espacio se puede crear un volumen
extendido, distribuido o seccionado. No obstante, para cualquier tipo de volumen, que no
sea simple, se necesita mas de un disco.
102
Volumen Simple
Si tiene intencion de ampliar el volumen en el futuro, cree un solo volumen en un disco
dinamico
Para crear un volumen simple con Administracio de discos:
1. En Administracion de equipos, abra Administracion de discos.
2. Haga clic con el boton secundario del mouse en el espacio sin asignar del disco dinamico
en el que desea crear el volumen simple y despues haga clic en Nuevo volumen.
3. En el Asistente para volumen nuevo, haga clic en Simple y siga las instrucciones.
Para crear un volumen simple con DiskPart:
1. Abra Smbolo del sistema y escriba diskpart.
2.
En el smbolo del sistema de DISKPART, escriba list disk. Anote el nmero del
Volumen Extendido
Para aumentar el tamao de un volumen simple existente, extiendalo al espacio sin asignar del
mismo disco o de otro. Para extender un volumen simple, este no debe tener formato o tener el
formato de la versionde NTFS que se utiliza en Windows 2000 o en la familia de sistemas
operativos Windows Server 2003.
Para poder utilizar espacio adicional sin necesidad de volver a configurar los
discos duros, puede agregar espacio a los volmenes existentes en el disco duro. Las
excepciones son los volmenes que contienen alguna particion del sistema, la particion de
inicio o un archivo de paginacion activo.
Una organizacion ha aumentado el nmero de productos que vende y necesita
Mas espacio dedisco duro en la unidad D para almacenar sus nuevos folletos. En la
actualidad, el espacio de disco que se utiliza para dichos folletos es de
2 GB. El director de Marketing prevee que la unidad D se quedara sin espacio en seis meses.
Un examen de la unidad D del servidor revela que puede extenderse e incluir hasta 6 GB de
espacio sin asignar.
I 103
Volumen Distribuido
Un volumen distribuido es un volumen simple que permite crear un solo volumen logico en
funcion del espacio sin asignar que este disponible en los restantes discos dinamicos del
equipo. Con los volmenes distribuidos puede utilizar mas eficientemente el espacio de
almacenamiento. Una vez que se extiende un volumen, para eliminar una parte del mismo
hay que eliminar todo el volumen distribuido.
Los volmenes distribuidos solo pueden crearse con el sistema de archivos NTFS. Estos
volmenes no ofrecen tolerancia a errores. Si falla alguno de los discos que contiene un
volumen distribuido, falla todo el volumen y se pierden todos los datos.
Puede utilizar volmenes distribuidos para aumentar el tamao de almacenamiento cuando
hay que crear un volumen pero no se dispone de suficiente espacio sin asignar para el disco
en un solo disco. Mediante la combinacion de secciones de espacio sin asignar de varios discos,
puede crear un volumen distribuido.
Una organizacion contrata a cien becarios en practicas todos los veranos. Estos becarios
cuentan con un viejo servidor, que es el que utilizan para su trabajo. Los becarios calculan que
el proximo mes van a necesitar 10 GB de espacio de almacenamiento en su unidad D. En la
organizacion desean agregar el espacio de almacenamiento a la unidad asignada a los
becarios, pero sta solo tiene 240 MB de espacio sin utilizar. No obstante, se averigua que el
servidor de los becarios tiene 15 GB de espacio sin asignar en la unidad E. Puede distribuir la
unidad D para que incluya 10 GB de espacio de almacenamiento de la unidad E.
104
volumen seccionado
Los volmenes seccionados almacenan datos en dos o mas discos fisicos, para lo que se
combinan areas de espacio libre en un volumen logico de un disco dinamico. Los volmenes
seccionados, tambien conocidos como RAID 0, contienen datos que se esparcen por varios
discos dinamicos de unidades independientes. Los volmenes distribuidos no se pueden
seccionar.
Los datos que se escriben en el conjunto de bandas se dividen en bloques, que se llaman
secciones. Estas secciones se escriben simultaneamente en todas las unidades del conjunto
de bandas. La ventaja principal de la creacion de bandas es la velocidad. Para tener acceso a
I 105
datos de varios discos, se utilizan varios cabezales de unidad, lo que mejora el rendimiento
considerablemente.
Los volmenes seccionados ofrecen el mejor rendimiento de todas las
estrategias de discos, ya que los datos que se escriben en un volumen seccionado se
escriben simultaneamente en todos los discos al mismo tiempo, en lugar de
secuencialmente. En consecuencia, el rendimiento del disco es mayor en un volumen
seccionado que en cualquier otro tipo de configuracion de disco.
Los volmenes seccionados se utilizan cuando se:
106
I 107
Compresion de Archivos
108
y tambien
y carpetas
equipo, de
compresion
Atributo
Compresion de
archivos NTFS
Sistema de
Objetos que se
comprimir
NTFS
Archivos, carpetas y
unidades
Rendimiento
Se reduce
No se reduce
Proteccion
contrasea
No
Cifrado
No
No
Carpeta comprimida
I 109
2.
3.
4.
I 111
Una persona que desee realizar un ataque puede lograr acceso a un sistema
compartido iniciando otro sistema operativo. Tambien puede robar un equipo,
quitarle el disco duro, instalarlo en otro sistema y lograr acceso a los archivos
almacenados. Sin embargo, si la persona que realiza el ataque no tiene la clave para
descifrarlos, los archivos que se cifran con el Sistema de archivos de cifrado (EFS)
aparecen como caracteres ininteligibles.
EFS proporciona cifrado a nivel de archivo a los archivos creados en volmenes NTFS.
Con
EFS, puede garantizar que los datos confidenciales estn ms seguros y que ningn otro
usuario puede leerlos ni descifrarlos con facilidad.
El cifrado y descifrado son las tareas principales de EFS. La configuracion predeterminada de
EFS no requiere ningn esfuerzo administrativo (los usuarios pueden empezar a cifrar
archivos de inmediato). EFS genera automticamente un par de claves de cifrado para cada
usuario, siempre que no exista ninguna.
Los usuarios tienen a su disposicin varias opciones de cifrado y de descifrado.
Pueden cifrar y descifrar archivos con el Explorador de Windows, con el comando cipher o con
el men contextual que aparece al hacer clic con el botn secundario del mouse en un archivo
o en una carpeta.
Las carpetas marcadas para cifrar no estn realmente cifradas. Solo lo estan los archivos de
dichas carpetas, asi como los archivos que se creen o que se muevan a dichas carpetas.
Con EFS, los usuarios tienen el mismo acceso a los archivos cifrados que a los archivos sin
cifrar. Por consiguiente, si un usuario tiene acceso a un archivo cifrado que est almacenado
en disco, puede leer su contenido de forma normal. Si el usuario vuelve a guardar el archivo
en disco, EFS guarda los cambios de forma cifrada.
Todos los archivos y carpetas creados en una carpeta marcada para cifrado
se cifran automticamente. El desplazamiento o la copia de archivos y carpetas cifrados
pueden cambiar el estado de cifrado del archivo o de la carpeta, dependiendo de la
situacion.
Como muestra la seccion A de la ilustracion, si un archivo se mueve de una
carpeta no cifrada a otra cifrada, el archivo permanece cifrado.
112
Cuotas de Disco
Windows Server 2003 soportan cuotas de disco para volmenes formateados
NTFS. Usted puede utilizar las cuotas de disco para monitorear y limitar el uso del
espacio en el disco. Cuando habilita cuotas de disco para uno o ms usuarios,
puede establecer dos valores: el lmite de cuota de disco y la advertencia de
cuota de disco. El lmite especifica la cantidad de espacio en disco que un usuario
tiene permiso de utilizar. La advertencia especifica un nivel en el cual un evento
puede ser registrado en el sistema.
Por ejemplo, puede establecer un lmite de cuota de disco del usuario en 50 MB, y
el nivel de advertencia de cuota de disco en 45 MB. En este caso, el usuario no
puede almacenar ms de 50 MB de archivos en el volumen. Si el usuario
almacena ms de 45 MB de archivos en el volumen, puede hacer que el sistema
de cuotas de disco registre un evento del sistema.
Las Cuotas de disco se monitorean por usuario y por volumen, y a los usuarios se
les cargan slo los archivos que les pertenecen.
Por ejemplo, si cada usuario tiene una carpeta en \\Marketing\Public que esta
limitada a 5 MB de espacio en disco y ellos copian 5 MB de archivos a su carpeta
en \\Marketing\Public\, entonces no pueden copiar sus archivos a ninguna
otra carpeta en \\Marketing\Public. Pueden mover los archivos, ms no
copiarlos.
Las cuotas aplican a un volumen NTFS especfico. Por ejemplo, si usted comparte
dos volmenes diferentes como \\Production\QA y \\Production\Public, las
cuotas se monitorean independientemente para los dos volmenes, incluso si los
volmenes son dos particiones diferentes en la misma unidad fsica. Por ejemplo,
si \\Production\QA y \\Production\Public son componentes compartidos del
mismo volumen, el volumen F, las cuotas asignadas a ese volumen aplican a los
dos componentes compartidos colectivamente, y el uso que los usuarios hagan de
ambos no puede exceder la cuota asignada al volumen F.
Los administradores de sistemas pueden utilizar la opcin Cuota del cuadro de
dilogo Propiedades para:
1. Habilitar o inhabilitar cuotas de disco en un volumen de disco.
2. Evitar que los usuarios guarden nuevos datos cuando su lmite de cuota
de disco se ha excedido.
3. Establecer el nivel de advertencia de cuota de disco y el lmite de cuota de
disco predeterminados asignados a los nuevos usuarios de volumen.
4. Visualizar la informacin de cuota de disco para cada usuario del volumen
utilizando la vista Entradas de cuota.
Antes de iniciar, necesita tener por lo menos una cuenta habilitada que no sea la de
un administrador.
Para habilitar la administracin de cuotas de disco
1. Haga doble clic en Mi Computadora
2. Haga clic en el lado derecho del ratn en el volumen de disco para el
cual desea utilizar cuotas, y despus haga clic en Propiedades.
3. Aparece en pantalla la pgina Propiedades para el volumen de
disco especificado.
4. Haga clic en Cuota. Aparece en pantalla la pgina de propiedad Cuota.
114
2.
3.
4.
5.
6.
7.
116
CAPTULO 05
Sistemas de Archivos en Windows 2003S
Los permisos definen el tipo de acceso concedido a un usuario, grupo o equipo para un objeto.
Por ejemplo, puede permitir a un usuario leer el contenido de un archivo, dejar que otro
usuario realice cambios en el archivo e impedir a los demas usuarios el acceso al archivo.
Puede establecer permisos similares en impresoras para que determinados usuarios puedan
configurar una impresora y otros usuarios solo puedan imprimir en ella.
Los permisos se aplican a cualquier objeto protegido, como archivos, objetos del servicio de
directorios Active Directory y objetos del registro. Los permisos se pueden conceder a
cualquier usuario, grupo o equipo.
Puede conceder permisos para objetos a:
1. Grupos, usuarios e identidades especiales del dominio.
2. Grupos y usuarios de cualquier dominio de confianza.
3. Grupos y usuarios locales del equipo en el que reside el objeto.
I 117
Puede conceder permisos estandar y especiales para objetos. Los permisos estandar son los
que se asignan con mayor frecuencia. Los permisos especiales ofrecen un grado de control
mas preciso para asignar acceso a objetos.
El sistema tiene un nivel de configuracion de seguridad predeterminado para un determinado
objeto. Esta configuracion constituye el conjunto de permisos mas habituales que suele
utilizar diariamente un administrador de sistema. La lista de permisos estandar disponibles
vara en funcion del tipo de objeto para el que se esta modificando la seguridad.
Los permisos especiales conforman una lista mas detallada. Un permiso NFTS de lectura
estandar esta relacionado con los siguientes permisos especiales:
1. Mostrar lista de carpetas/leer datos
2. Leer atributos
3. Leer atributos extendidos
4. Leer permisos
Si el administrador del sistema elimina un permiso especial relacionado con un permiso
estandar, la casilla de verificacion del permiso estandar deja de estar activada. En su lugar,
se activa la casilla de verificacion del permiso especial incluido en la lista de permisos
estandar.
118
Carpetas Compartidas
Una carpeta compartida es aquella a la que pueden obtener acceso varios usuarios a traves
de la red. Una vez que se comparte una carpeta, los usuarios pueden obtener acceso a
todos sus archivos y subcarpetas, siempre que se les hayan concedido permisos.
Puede colocar carpetas compartidas en el servidor de archivos o en un equipo de la red.
Puede almacenar archivos en las carpetas compartidas segn sus categoras y funciones.
Por ejemplo, puede colocar archivos de datos compartidos en una carpeta y compartir
archivos de aplicacion en otra.
Puede ocultar una carpeta compartida si pone un signo de dolar ($) al final del
nombre de la carpeta. El usuario no puede ver la carpeta compartida en la
interfaz de usuario, pero puede obtener acceso a ella escribiendo el nombre
UNC (Universal Naming Convention, Convencion de nomenclatura
universal). Por ejemplo \\servidor\secretos$.
I 119
Windows Server 2003 comparte automaticamente carpetas que permiten realizar tareas
administrativas. Se caracterizan por incluir un signo de dolar ($) al final del nombre de
carpeta. El signo de dolar permite ocultar la carpeta compartida a los usuarios que examinan
el equipo en Mis sitios de red. Los administradores pueden administrar de forma rapida
archivos y carpetas en servidores remotos utilizando estas carpetas compartidas ocultas.
Los miembros del grupo Administradores tienen, de manera predeterminada, permiso de
control total en las carpetas compartidas administrativas. No se pueden modificar los
permisos de las carpetas compartidas administrativas.
La siguiente tabla describe la finalidad de las carpetas compartidas administrativas que ofrece
automaticamente Windows Server 2003.
Carpeta
d compartida
Finalida
C$, D$, E$
Admin$
Print$
120
En Windows Server 2003, los nicos grupos que pueden crear carpetas compartidas son
Administradores, Operadores de servidor y Usuarios avanzados. Son grupos integrados
ubicados en la carpeta Grupo de Administracion de equipos o en la carpeta integrada de
Usuarios y grupos de Active Directory.
I 121
Los recursos de publicacion y las carpetas compartidas de Active Directory permiten a los
usuarios buscar en Active Directory recursos de la red, incluso aunque cambie la ubicacin
fsica de los recursos.
Por ejemplo, si se mueve una carpeta compartida a otro equipo, todos los accesos directos
que sealan al objeto de Active Directory que representa a la carpeta compartida publicada
siguen funcionando, siempre que se actualice la referencia a la ubicacion fsica. No es
necesario que los usuarios actualicen las conexiones.
Puede publicar una carpeta compartida en Active Directory a la que se pueda obtener acceso
mediante un nombre UNC. Una vez publicada una carpeta compartida, el usuario del equipo
con Windows Server 2003 puede utilizar Active Directory para buscar el objeto que representa
a la carpeta compartida y conectarse a sta.
Al publicar la carpeta compartida en Active Directory, sta se convierte en un objeto
secundario de la cuenta de equipo. Para ver las carpetas compartidas como objetos, haga
clic en Usuarios, grupos y equipos como contenedores en el men Ver de Usuarios y
equipos de Active Directory. A continuacion, en el arbol de la consola, haga clic en la cuenta
de equipo. Vera en el panel de detalles, todas las carpetas compartidas publicadas que
estan asociadas a la cuenta de equipo.
122
La informacion de publicacion de los recursos de red de Active Directory facilita a los usuarios
la bsqueda de estos en la red. Puede publicar informacion sobre carpetas compartidas e
impresoras mediante Administracion de equipos o Usuarios y equipos de Active Directory.
Para publicar una carpeta compartida como objeto del servidor:
1. En Administracion de equipos, en el arbol de consola, expanda Carpetas compartidas
y, a continuacion, haga clic en Recursos compartidos.
2. Haga clic con el boton secundario del mouse en una carpeta compartida y, a continuacion,
haga clic en Propiedades.
3. En el cuadro de dialogo Propiedades, en la ficha Publicar, seleccione la casilla de
verificacion Publicar este recurso compartido en Active Directory y, a continuacion,
haga clic en Aceptar.
Para publicar una carpeta compartida en una unidad organizativa:
1. En Usuarios y equipos de Active Directory, en el arbol de consola, haga clic con el boton
secundario del mouse en la carpeta a la que desea agregar la carpeta compartida, seale
Nuevo y, a continuacion, haga clic en Carpeta compartida.
2. En el cuadro de dialogo Nuevo objeto Carpeta compartida, en el cuadro Nombre,
escriba el nombre de la carpeta que desea que utilicen los clientes.
3. En el cuadro Ruta de red, escriba el nombre UNC que desea publicar en Active
Directory y, a continuacion, haga clic en Aceptar.
Los permisos de las carpetas compartidas solo se aplican a los usuarios que se conectan a la
carpeta a traves de la red. No restringen el acceso de los usuarios a la carpeta del equipo en
el que esta almacenada. Puede conceder permisos de carpeta compartida a cuentas de
usuario, grupos y cuentas de equipo.
I 123
Control total El permiso de control total incluye todos los permisos de lectura y cambio y,
adems, le permite cambiar los permisos de los archivos y las carpetas NTFS.
En el panel de detalles, haga clic con el boton secundario del mouse en la carpeta
compartida para la que desea establecer los permisos y, a continuacion, haga clic en
Propiedades.
3.
4.
3.
124
Haga clic en Agregar para conceder un permiso de carpeta compartida a un grupo o usuario. En el c
dialogo Seleccionar Usuarios, Equipos o Grupos, seleccione o escriba el nombre del usuario o gru
continuacin, haga clic en Aceptar.
Haga clic en Quitar para revocar el acceso a un recurso compartido.
4. En el cuadro Permisos, seleccione las casillas de verificacion Permitir o Denegar para establece
permisos individuales para el usuario o grupo seleccionado.
Una vez creada una carpeta compartida, los usuarios pueden obtener acceso a ella a traves
de la red. Los usuarios pueden obtener acceso a una carpeta compartida en otro equipo
mediante Mis sitios de red, la funcion Conectar a unidad de red o el comando Ejecutar del
men Inicio.
Para conectarse a una carpeta compartida mediante Mis sitios de red:
1. Abra Mis sitios de red y haga doble clic en Agregar un sitio de red.
2. En el Asistente para agregar sitios de red, en la pagina este es el Asistente para
agregar sitios de red, haga clic en Siguiente.
3. En la pagina Donde desea crear este sitio de red, haga clic en Elija otra ubicacion de
red y, a continuacion, haga clic en Siguiente.
4. En la pgina Cual es la direccion de este sitio de red, escriba la ruta UNC de la
carpeta compartida o haga clic en Examinar.
a.
b.
c.
d.
Haga clic en la carpeta compartida que desea agregar y, a continuacion, haga clic en
Aceptar.
Que es NTFS?
NTFS es un sistema de archivos disponible en Windows Server 2003. NTFS ofrece un
rendimiento y unas funciones que no se encuentran en FAT (file allocation table, Tabla de
asignacion de archivos) o FAT32.
NTFS ofrece las siguientes ventajas:
Fiabilidad
NTFS utiliza el archivo de registro y la informacion de punto de comprobacion para restaurar la
integridad del sistema de archivos al reiniciar el equipo. Si se produce un error de sector
defectuoso, NTFS vuelve a asignar de forma dinamica el clster que contiene este sector
defectuoso y asigna un nuevo clster para los datos. NTFS tambien marca el clster como
inservible.
Seguridad a nivel de archivos y de carpetas
Los archivos NTFS utilizan el Sistema de archivos de cifrado (EFS, Encrypting File System)
para proteger los archivos y las carpetas. Si EFS esta activado, pueden cifrarse los archivos y
las carpetas para uno o varios usuarios. Este cifrado ofrece como ventaja la confidencialidad e
integridad de los datos. En otras palabras, los datos estan protegidos frente a una
modificacion accidental o no autorizada. NTFS tambien le permite establecer permisos de
acceso a un archivo o una carpeta. Se pueden establecer permisos de lectura, de lectura y
escritura, o permisos para denegar el acceso.
NTFS tambien almacena una lista de control de acceso (ACL, access control list) con todos
los archivos y carpetas de una particion NTFS. ACL contiene una lista de todas las cuentas de
usuarios, grupos y equipos a los que se les concede acceso al archivo o carpeta y el tipo de
acceso concedido. Para un usuario que desea obtener acceso a un archivo o carpeta, ACL debe
contener una entrada, denominada ACE, para la cuenta de usuario, grupo o equipo a la que
esta asociado el usuario. ACE debe permitir de forma especifica el tipo de acceso que solicita
el usuario para poder obtener acceso al archivo o carpeta. Si no existe una entrada ACE en
ACL, Windows Server 2003 deniega el acceso del usuario al recurso.
Administracion mejorada del aumento de almacenamiento
NTFS admite cuotas de disco, que permiten especificar la cantidad de espacio en disco
disponible para un usuario. Mediante las cuotas de disco, se puede realizar un seguimiento y
controlar el uso del espacio en disco y establecer si se permite a los usuarios superar un
nivel de advertencia o el lmite de cuota de almacenamiento.
NTFS admite archivos de mayor tamao y un mayor nmero de archivos por volumen que FAT
o FAT32. NTFS tambien administra el espacio en disco de forma eficaz utilizando tamaos de
clsteres reducidos. Por ejemplo, un volumen NTFS de 30 gigabytes (GB) utiliza clsteres de
cuatro kilobytes (KB). El mismo volumen con formato FAT32 utiliza clsteres de 16 KB. Al
utilizar clsteres de menor tamao, se reduce el desaprovechamiento de espacio en los discos
duros.
Permisos a varios usuarios
Si se conceden permisos NTFS a una cuenta de usuario individual y a un grupo al que
pertenezca el usuario, se le conceden tambien varios permisos al usuario. Existen reglas para
determinar como NTFS puede combinar estos permisos mltiples con el fin de producir los
permisos efectivos del usuario.
Los permisos NTFS se utilizan para especificar que usuarios, grupos y equipos pueden obtener
acceso a los archivos y las carpetas. Los permisos NTFS tambien establecen las acciones que
pueden realizar los usuarios, grupos y equipos con el contenido de los archivos o carpetas.
Los permisos NTFS proporcionan en general todo el control de acceso que necesita para
proteger sus recursos. Sin embargo, hay situaciones en las que los permisos NTFS
estndar no proporcionan el nivel especfico de acceso que quiz desee conceder a los
usuarios. Para crear el nivel especfico de acceso, puede conceder permisos de acceso
especiales.
La siguiente tabla enumera los permisos de archivo NTFS estandar que se pueden conceder y
el tipo de acceso que brinda cada permiso.
Permiso de archivo NTFS Permite al usuario:
Control Total
Modificar
Leer/Ejecutar
Escritura
Lectura
I 127
Al copiar o mover un archivo o una carpeta, los permisos pueden cambiar en funcion de la
ubicacion a la que se mueva. Es importante conocer los cambios que sufren los permisos al
copiarse o moverse.
Al copiar archivos o carpetas de una carpeta a otra, o de una particion a otra, los permisos de
los archivos o carpetas pueden cambiar. Al copiar un archivo o carpeta, se producen los
siguientes efectos en los permisos NTFS:
Al copiar una carpeta o archivo a una particion no NTFS, como, por ejemplo,
una particion FAT, la copia de la carpeta o archivo pierde los permisos NTFS
debido a que las particiones no NTFS no admiten este tipo de permisos.
Para copiar archivos y carpetas en una nica particion NTFS o entre particiones NTFS, debe
tener permiso de lectura para la carpeta de origen y permiso de escritura para la carpeta de
destino.
Al mover una carpeta o archivo en una particion NTFS, la carpeta o archivo conserva sus
permisos originales.
128
mover un archivo o carpeta, los permisos pueden cambiar en funcion de los permisos de la
carpeta de destino. Al mover un archivo o carpeta, se producen los siguientes efectos en los
permisos NTFS:
Al mover una carpeta o archivo en una particion NTFS, la carpeta o archivo conserva sus
permisos originales.
Para mover archivos y carpetas en una nica particion NTFS o entre particiones NTFS, debe
tener permiso de escritura para la carpeta de destino y permiso de modificacion para la
carpeta o archivo de origen. Es necesario tener permiso de modificacin para mover un
archivo o carpeta debido a que Windows Server 2003 elimina la carpeta o archivo de la
carpeta de origen tras copiarla en la carpeta de destino.
La siguiente tabla enumera las posibles opciones para las acciones Copiar y Mover y
describe el tratamiento del estado de compresin de un archivo o carpeta por parte de
Windows Server 2003.
Accion
Resultado
I 129
Los permisos que se conceden a una carpeta principal son heredados de forma
predeterminada por las subcarpetas y los archivos incluidos en ella. Al crear archivos y
carpetas, y al formatear una particion con NTFS, Windows Server 2003 asigna
automaticamente permisos NTFS predeterminados.
Puede evitar que los archivos y las subcarpetas hereden los permisos asignados a la carpeta
principal. Al impedir la herencia de permisos, puede:
130
En el Explorador de Windows, haga clic con el boton secundario del mouse en el archivo o
la carpeta en la que desee cambiar los permisos heredados, y, a continuacion, haga clic en
Propiedades.
2.
3.
4.
Haga clic en Copiar para copiar las entradas de permisos que se aplicaron
anteriormente del primario a este objeto.
Haga clic en Quitar para eliminar las entradas de permisos que se aplicaron
anteriormente desde el primario y mantener solo aquellos permisos asignados
explcitamente.
5.
6.
I 131
132
I 133
134
Aplicar permisos N T FS
En este ejercicio, se presenta una situacion de ejemplo en la que se le solicita que aplique
permisos NTFS. Usted y sus compaeros discutiran las posibles soluciones a la situacion.
El Usuario1 es miembro del grupo Usuarios y del grupo Ventas.
1.
2.
3. El grupo Usuarios tiene permiso de modificacion en la Carpeta1. Solo el grupo Ventas puede
obtener acceso al Archivo2, pero solo para leerlo. Qu debe hacer para garantizar que el
grupo Ventas slo tiene permiso de lectura en el Archivo2?
Impida la herencia de permisos para la Carpeta2 o el Archivo2. Elimine los
permisos de la Carpeta2 y el Archivo2 que la Carpeta2 ha heredado de la Carpeta1.
Conceda slo permiso de lectura al grupo Ventas en la Carpeta2 o el Archivo2.
I 135
2.
3.
4.
136
2.
3.
4.
5.
Las casillas de verificacion activadas indican los permisos NTFS maximos que un usuario o
grupo tiene en ese archivo o carpeta.
Para determinar los permisos maximos que tiene un usuario en una carpeta compartida:
1.
Abra el cuadro de dialogo Propiedades de la carpeta compartida.
2.
I 137
138
I 139
Un usuario puede configurar un archivo en una red para que este disponible sin conexion,
siempre que se encuentre activada la caracteristica Archivos sin conexion para la carpeta en la
que reside el archivo. Al configurar los archivos para que esten disponibles sin conexion, los
usuarios trabajan con la version de red de los archivos cuando estn conectados y, cuando no,
con una versin almacenada localmente en cache.
Cuando un usuario configura un archivo para que este disponible sin conexion, se producen los
siguientes eventos de sincronizacion al desconectarse de la red:
Cuando el usuario cierra una sesion en la red, el sistema operativo cliente Windows
sincroniza los archivos de red con una copia del archivo almacenada localmente en cache.
Mientras el equipo esta desconectado de la red, el usuario trabaja con la copia del
archivo almacenada localmente en cache.
Cuando el usuario inicia de nuevo una sesion en la red, el sistema operativo cliente
Windows sincroniza todos los archivos sin conexion que el usuario ha modificado con las
versiones de red de los mismos. Si el archivo se ha modificado en el equipo de red y del
usuario, el sistema operativo cliente Windows solicitar al usuario que seleccione que
version del archivo desea conservar.
El usuario tambien puede cambiar el nombre de uno de los archivos y conservar las dos
versiones.
140
La caracterstica Archivos sin conexion almacena en cache los archivos de una carpeta
compartida a los que se tiene acceso con frecuencia. Esta tarea es parecida al
almacenamiento en cache de los sitios Web visitados recientemente que realiza un explorador
Web. Al crear carpetas compartidas en la red, se pueden especificar las opciones de cache
para los archivos y programas de esa carpeta. Hay tres opciones diferentes de cach.
La cache manual de documentos ofrece acceso sin conexion a los archivos y programas
especificados por el usuario. Esta opcion de cache resulta idonea para una carpeta de red
compartida que contenga archivos que utilizaran y modificarn varios usuarios. Esta opcin se
selecciona de forma predeterminada al configurar una carpeta compartida para que est
disponible sin conexion.
Si se configura la cache automtica de documentos, todos los archivos y programas de la
carpeta compartida que abra el usuario estaran disponibles sin conexion. Los archivos que
no abra el usuario no estaran disponibles sin conexion. Las copias ms antiguas se
sobrescriben automticamente con las nuevas versiones de los archivos.
Si se selecciona la casilla de verificacion Rendimiento Optimo, se activa la cache automtica
de programas, que ofrece acceso sin conexion a las carpetas compartidas que contienen
archivos que no se van a modificar. La cache automatica de programas reduce el trfico de
red, al permitir abrir directamente los archivos sin conexion. No se puede obtener acceso de
ninguna forma a las versiones de red. Si bien, el inicio y la ejecucion de los archivos sin
conexion es normalmente mas rapido que el de las versiones de red.
Cuando utilice la cache automatica de programas, asegrese de restringir los permisos de los
archivos incluidos en las carpetas compartidas a acceso de solo lectura.
I 141
La auditoria es el proceso de seguir las acciones del usuario o las actividades del sistema
operativo (Llamados eventos) en una computadora. Cuando un evento de auditoria ocurre,
Windows Server 2003 escribe un registro del evento en el registro de seguridad.
Una auditoria de entrada es un registro de seguridad que contiene la siguiente
informacin:
1. La accin realizada.
2. El usuario que realizo la accin.
3. El xito o error del evento y cuando ocurri.
4. Informacin adicional, como la computadora desde la cual la accin fue intentada.
Polticas de auditoria
Una poltica de auditoria define la clase de eventos de seguridad que Windows Server
2003 registra en el registro de seguridad de cada computadora. Windows Server 2003
registra un evento en el registro de seguridad de cada equipo donde el evento ocurrio.
Establezca una politica de auditoria por equipo para:
142
Para seguir el xito o fracaso de un evento, tales como intentos de logeo, intentos
de un usuario especfico de leer cierto archive especfico, cambio de cuenta de
usuario o membresa de grupo y cambios en las configuraciones de seguridad.
Minimice el uso desautorizado de recursos.
Mantener un registro de las actividades del usuario y del administrador.
El primer paso para implementar una poltica de auditoria es escoger que tipo de
evento se desea auditoriar en Windows Server 2003.
La siguiente tabla muestra los eventos que se pueden auditoriar :
Evento
Account Logon
Ejemplo
Una cuenta es autentificada por la base de datos de seguridad.
Cuando un usuario se conecta en un equipo, el equipo registra un
evento de AccountLogon. Cuando un usuario se logea al dominio
se registra un evento de AccountLogon.
Account
Management
Directory
Service Access
Logon
Object Access
I 143
Policy Change
Privilege Use
Process Tracking
System
144
I 145
146
CAPTULO 07
Politicas de Grupo (GPO) en Windows 2003P
Use las politicas de seguridad para reforzar la seguridad de una red . Estas politicas de
seguridad definen las expectativas de la empresa respecto al correcto uso de las
computadoras y los procesos para prevenir y responder a incidentes de seguridad. Ademas
de esto es importante que el administrador de red asegure los escritorios y servicios en las
estaciones de trabajo. Al aplicar politicas de seguridad, uno puede prevenir que los
usuarios daen las configuraciones del sistema y puedes proteger areas sensibles de la
red. La manera mas efectiva de aplicar politicas de seguridad es usando las plantillas de
seguridad (security templates). Un security template es un archivo de texto que contiene
todas la politicas de seguridad ya configuradas, para que uno las aplique inmediatamente.
Windows Server 2003 provee adema herramientas de configuracin de seguridad para
analizar y configurar configuraciones de seguridad para las computadoras y usuarios.
I 147
Qu es Group Policy?
Group Policy le otorga control de administracin sobre los usuarios y las computadoras de
su red, y por lo tanto le permite definir el estado del ambiente de trabajo de los usuarios
una sola vez, confiando en Microsoft Windows Server 2003 para hacer cumplir
continuamente la configuracin de Group Policy que defini. Tambin podr aplicar
configuraciones de Group Policy a travs de una organizacin entera o a grupos especficos
de usuarios y de computadoras.
148
User Configuration
en el editor de Group Policy Object.
I 149
Las Group Policy Settings que modifican el ambiente para requisitos particulares de
escritorio y para todos los usuarios de una computadora, o que hacen cumplir las polticas
de seguridad en las computadoras de una red, se contienen debajo de Computer
Configuration en el editor de Group Policy Object.
Debajo de Computer Configuration, tambin se encuentran:
La carpeta Software Settings: contiene las configuraciones de software que se aplican a
todos los usuarios que inicien sesin en la computadora. Esta carpeta posee configuracin
de instalacin de software y puede contener otras configuraciones que se coloquen all de
ISVs.
La carpeta Windows Settings: contiene configuraciones Windows que se aplican a todos
los usuarios que inicien sesin en la computadora. Esta carpeta tambin contiene los
siguientes puntos: Security Settings y Scripts.
Security Settings est disponible debajo de la carpeta Windows Settings que se
encuentra debajo de Computer Configuration y User Configuration en el editor de Group
Policy Object. Security Settings o Security Policies son las reglas que Usted configura en
una computadora o las computadoras mltiples que protegen recursos en una
computadora o una red. Con Security Settings, Usted puede especificar Security Policy de
una organizational unit, domain o site.
150
Group Policy Management tambin proporciona las siguientes capacidades extendidas que
no estaban disponibles en herramientas anteriores de Group Policy. Con Group Policy
Management, Usted puede:
Hacer Back up y restore de GPOs.
Copiar e importar GPOs.
Usar filtros Windows Management Instrumentation (WMI).
Generar reportes de GPO y RSoP.
Bscar para GPOs.
Group Policy Management vs. default Group Policy tools
Antes de Group Policy Management, Usted administraba Group Policy usando una variedad
de herramientas Windows, incluyendo Active Directory Users and
Computers, Active Directory Sites and Services y RSoP. Pero ahora, Group Policy
Management consolida la administracin de todas las tareas base de Group Policy en una
sola herramienta. Gracias a esta administracin consolidada, la funcionalidad de Group
Policy ya no es requerida en las otras herramientas.
I 151
Despus de instalar Group Policy Management, Usted an utiliza cada una de las
herramientas de Active Directory para sus propsitos previstos de administracin de
directorio, por ejemplo, crear un usuario, computadora y grupo. Sin embargo, usted puede
utilizar Group Policy Management para realizar todas las tareas relacionadas con Group
Policy. La funcionalidad de Group Policy ya no estar disponible con las herramientas de
Active Directory cuando instale Group Policy Management.
Group Policy Management no sustituye al editor de Group Policy Object. Usted todava
debe editar GPOs, usando el editor de Group Policy Object. Group Policy Management
integra la funcionalidad de edicin proporcionando acceso directo al editor de Group Policy
Object.
Qu es un GPO Link?
152
Todas las GPOs se almacenan en un contenedor de Active Directory llamado Group Policy
Objects. Cuando una GPO es utilizada por un site, dominio u organizational unit, la GPO es
linkeada al contenedor Group Policy Objects. Consecuentemente, Usted puede centralizar
la administracin y el deploy de GPOs a muchos dominios u organizational units.
Cuando Usted crea un GPO link a un site, dominio u organizational unit, podr realizar dos
operaciones separadas: crear la GPO nueva y linkearla al site, dominio u organizational
unit. Al delegar permisos para linkear una GPO al dominio, organizational unit o site, Usted
tendr que modificar los permisos para el dominio, organizational unit o site que desee
delegar.
Por defecto, solamente miembros de los grupos Domain Admins y Enterprise Admins
tienen los permisos necesarios para linkear GPOs a domains y organizational units.
nicamente los miembros del grupo Enterprise Admins tienen los permisos para linkear
GPOs a sites. Miembros del grupo Group Policy Creator Owners pueden crear GPOs, pero
no pueden linkear.
Cuando Usted crea una GPO en el contenedor Group Policy Objects, la GPO no se aplica a
ningn usuario o computadora hasta que el GPO link sea creado. Usted puede crear una
unlinked GPO usando Group Policy Management y tambin puede llegar a crear unlinked
GPOs en una organizacin grande, donde un grupo cree GPOs y otro grupo cree links de
GPOs al site, dominio u organizational unit.
I 153
2. En el cuadro New GPO, ingresar el nombre para la GPO nueva y despus hacer click en
OK.
Para linkear una GPO existente al site, dominio u organizational unit:
1. En Group Policy Management de la consola, expandir el forest conteniendo el
dominio en el cual Usted desea linkear una GPO existente. Expandir Domains y el
dominio.
2. Hacer click derecho en el dominio, site u organizational unit. Despus hacer click en
Link an Existing GPO.
3. En el cuadro Select GPO, hacer click en la GPO que Usted desea linkear y despus
hacer click en OK.
Las GPOs son acumulativas, implicando que estn heredadas. La herencia de Group Policy
es el orden en el cual Windows Server 2003 aplica GPOs. Este orden y la herencia de GPOs
determinan, en ltima instancia, qu configuraciones afectan a usuarios y computadoras.
Si hay GPOs mltiples que se fijan en el mismo valor, por defecto la GPO que se aplic
ltima, tomar precedencia.
Usted puede tambin tener GPOs mltiples linkeadas al los mismos contenedores. Por
ejemplo, puede tener tres GPOs linkeadas a un solo dominio. El orden en el cual se aplican
las GPOs puede afectar el resultado de la configuracin de Group Policy. Hay tambin un
orden o prioridad de Group Policy y de GPOs para cada contenedor.
Qu sucede cuando hay conflicto de GPOs?
154
I 155
156
Por defecto, todos los Group Policy Settings contenidos en las GPOs, afectan al contenedor
y se aplican a todos los usuarios y computadoras de ese contenedor, el cual no puede
producir los resultados que Usted desea. Usando la caracterstica de filtrado, se puede
determinar qu configuraciones se aplican a los usuarios y a las computadoras en el
contenedor especfico.
Usted puede filtrar el deployment de GPO fijando permisos en el GPO Link para determinar
el acceso de lectura o negar el permiso en la GPO. Para que los Group Policy Settings se
apliquen a una cuenta de usuario o de computadora, la cuenta debe tener por lo menos el
permiso de lectura para una GPO. Los permisos por defecto para una GPO nueva tienen el
siguiente Access Control Entries (ACEs):
Authenticated Users. Permitir read y permitir apply Group Policy
Domain Admins, Enterprise Admins and SYSTEM. Permitir read, Permitir Write, Permitir
Create All Child objects, Permitir Delete All Child objects
Usted puede utilizar los siguientes mtodos de filtrado:
Explicitly deny
Este mtodo se utiliza al negar el acceso a la Group Policy. Por ejemplo, Usted podra
negar explcitamente el permiso al grupo de seguridad de los administradores, lo cual
prevendra a los administradores en la organizational unit de la recepcin de GPO Settings.
Remove Authenticated Users
I 157
Usted puede omitir a los administradores de la organizational unit del grupo de seguridad,
lo cual significa que no tienen ningn permiso explcito para la GPO.
Si Usted inhabilita un policy setting, est inhabilitando la accin del policy setting. Por
ejemplo, los usuarios por defecto pueden tener acceso al Control Panel. Para ello, Usted no
necesita inhabilitar el policy setting Prohibit access to the Control Panel, a menos que
previamente haya aplicado un policy setting habilitndolo. En esta situacin, Usted habr
fijado otro policy setting para deshabilitar el aplicado previamente.
158
Esto es provechoso cuando se heredan policy settings y no se desea usar filtrado para
aplicar policy settings a un grupo y a otro no. Usted puede aplicar una GPO que permita
un policy setting en la parent organizational unit y otro policy setting que deshabilite la
GPO en la child organizational unit.
Si Usted permite un policy setting, estar consintiendo la accin del policy setting. Por
ejemplo, para revocar a alguien acceso al Control Panel, Usted puede permitir el policy
setting Prohibit access to the Control Panel.
Un GPO lleva a cabo los valores que cambian registry para los usuarios y las
computadoras que estn conformes al GPO. La configuracin por defecto para un policy
setting es Not Configured. Si Usted desea fijar a una computadora o a un usuario un
policy setting, de nuevo al valor prefijado o de nuevo a la local policy, deber seleccionar
la opcin Not Configured. Por ejemplo, Usted puede permitir un policy setting para
algunos clientes, y al usar la opcin Not Configured, la policy invertir a la policy por
defecto, o local policy setting.
Algunas GPOs requieren proporcionar una cierta informacin adicional despus de permitir
el objeto. Ciertas veces Usted puede necesitar seleccionar un grupo o una computadora si
el policy setting necesita volver a dirigir al usuario a una cierta informacin. Otras veces,
para permitir proxy settings, Usted deber proporcionar el nombre o la direccin Internet
Protocol (IP) del proxy server y el nmero de puerto. Si el policy setting es multi-valued y
los settings estn en conflicto con otro policy setting, el conflicto de multi-valued settings
se substituyen por el ltimo policy setting que fue aplicado.
I 159
Correr scripts pre-existentes, fijados para manejar los ambientes de usuario hasta que se
configure con otro Group Policy settings que remplace esos scripts
Nota: Desde Active Directory Users and Computers, Usted puede asignar scripts de logon
individualmente a las cuentas del usuario en el cuadro Properties de cada uno de ellos.
Sin embargo, Group Policy es el mtodo preferido para correr scripts porque se pueden
manejar
estos
scripts
centralizados
junto
con
startup,
shutdown,
y logoff scripts.
Qu es Folder Redirection
Cuando Usted redirecciona folders, cambia la locacin de las carpetas del disco duro local
de la computadora del usuario, a una carpeta compartida en un servidor de la red.
Despus de redireccionar una carpeta a un servidor, sta seguir apareciendo como local
para el usuario. Cuatro son las carpetas que forman parte del user profile y que se pueden
redireccionar: My Documents, Application Data, Desktop y Start Menu.
Almacenando datos en la red, los beneficios de los usuarios son la disponibilidad creciente
y los backup frecuentes de sus datos. Redireccionar carpetas tiene los siguientes
beneficios:
Los datos en las carpetas estn disponibles para el usuario, sin importar la computadora
cliente desde la que el usuario inicie sesin.
Los datos en las carpetas se almacenan centralizados, y por esto es ms fcil la
administracin y el backup para su resguardo.
160
Los archivos que se localizan adentro de carpetas redireccionadas, como los archivos de
un roaming user profile, no se copian y no se guardan en la computadora del usuario que
inicia sesin. Esto significa que cuando el usuario inicia sesin en la computadora cliente,
no se utilizar espacio de almacenamiento para esos archivos y los datos que puedan ser
confidenciales no quedan en dicha computadora.
Los datos se almacenan en una carpeta compartida de red que puede ser parte de las
reas rutinarias de backup. Esto es ms seguro porque no requiere ninguna accin de
parte del usuario.
Como administrador, Usted puede utilizar Group Policy para configurar disk quotas,
limitando la cantidad de espacio que es tomado por los usuarios.
Carpetas que pueden ser redireccionadas
Usted puede redireccionar las carpetas My Documents, Application Data, Desktop y Start
Menu. Una organizacin debe redireccionar estas carpetas para preservar datos y
configuraciones importantes del usuario. Hay varias ventajas al redireccionar cada una de
estas carpetas, que varan segn las necesidades de la organizacin.
Usted puede utilizar redireccin para cualquiera de las siguientes carpetas en el user
profile:
My Documents
La redireccin de My Documents es particularmente ventajosa porque la carpeta
tiende a realizarla en un plazo grande.
La tecnologa Offline Files da el acceso a usuarios a My Documents, incluso cuando
los usuarios no estn conectados a la red. Esto es particularmente til para gente que
utiliza las computadoras porttiles.
Application Data
Los Group Policy setting controlan el comportamiento de los Application Data cuando el
caching del lado del cliente est habilitado. Esta configuracin sincroniza los datos de
aplicaciones centralizados en un servidor de la red con la computadora local.
Consecuentemente, el usuario puede trabajar en lnea o fuera de lnea. Si algunos cambios
se realizan a los datos de aplicacin, la sincronizacin actualiza los datos del aplicativo
sobre el cliente y el servidor.
Desktop
Usted puede redireccionar el escritorio y todos los archivos, shortcuts y carpetas a un
servidor centralizado.
Start Menu
Cuando se redirecciona el Start Menu, sus subfolders tambin se redireccionan.
Configuraciones requeridas para configurar Folder Redirection
Hay tres configuraciones disponibles para Folder Redirection: none, basic y advanced.
Basic Folder Redirection es para los usuarios que deben redirigir sus carpetas a un rea
comn o para los usuarios que necesitan que sus datos sean privados.
Usted tiene las siguientes opciones bsicas para Folder Redirection:
Redirect folder to the following location
Todos los usuarios redireccionan sus carpetas a un rea comn donde pueden ver o
I 161
utilizar otros datos en carpetas redirecionadas. Para hacer esto, elija la configuracin
Basic y configure la Target folder location to Redirect folder to the following
location. Es aconsejable utilizar esta opcin para todas las carpetas que contengan los
datos que no son privados.
Create a folder for each user under the root path
Para los usuarios que necesitan sus carpetas redireccionadas con datos privados, elija
configuracin Basic y configure Target folder location to Create a folder for each
user under the root path. Es aconsejable utilizar esta opcin para los usuarios que
necesitan sus datos privados, como los gerentes que guardan datos personales sobre
empleados.
Cuando Usted selecciona Advanced . specify locations for various user groups,
las carpetas son redireccionadas a diferentes locaciones, basadas en grupos de seguridad
de los usuarios.
162
Qu es Gpupdate
Gpupdate es una herramienta command-line que actualiza los local Group Policy settings
y Group Policy settings almacenados en Active Directory, incluidas las configuraciones de
seguridad. Por defecto, las configuraciones de seguridad se actualizan cada 90 minutos en
un puesto de trabajo o un servidor, y cada cinco minutos en un Domain Controller. Usted
puede correr gpupdate para probar una Group Policy setting o aplicar inmediatamente un
Group Policy setting
Gpupdate tiene los siguientes parmetros.
/Target:{Computer | User} Especifica la actualizacin solamente de usuario o
computadora para sus policy settings. Por defecto, la policy de usuario y computadora son
actualizadas.
/Force Reaplica todos los policy settings. Por defecto, solamente los policy
settings que han cambiado se reaplican.
/Wait:{Value} Fija el nmero de segundos para esperar el procesamiento de policy.
Por defecto, es de 600 segundos. El valor ' 0 ' significa no esperar. El valor ' - 1 ' significa
esperar indefinidamente.
/Logoff Causa un logoff despus de actualizar la configuracin de Group Policy settings.
/Boot Provoca que la computadora se reinicie despus de la actualizacin de Group
Policy settings.
/Sync Provoca que la prxima configuracin de policy setting se aplique
sincrnicamente.
Qu es Gpresult
Debido a que Usted puede aplicar niveles traslapados de policy settings a cualquier
computadora o usuario, Group Policy genera un reporte que resulta de aplicar policies al
logon. Gpresult exhibe el reporte que resulta de aplicar policies que se hacen cumplir en
la computadora para el usuario especificado al logon.
I 163
El comando gpresult exhibe los Group Policy settings y el Resultant Set of Policy (RSoP)
para un usuario o una computadora. Usted puede utilizar gpresult para ver qu
configuraciones de la GPO son efectivas y localizar problemas en la aplicacin.
Gpresult tiene los siguientes parmetros.
/s Computer Especifica el nombre o direccin IP de una computadora remota. Por
defecto es la computadora local.
/u Domain/User El comando funciona con los permisos de la cuenta del
usuario que se especifica User o Domain/User. El defecto son los permisos del usuario que
se encuentre autenticado en la computadora y que ejecute el comando.
/p Password Especifica el password de la cuenta del usuario que se especifica en el
parmetro /u.
/user TargetUserName Especifica el nombre del usuario del que se exhiben los datos
RSoP.
/scope {user|computer} Exhibe los policy settings del usuario o computadora. Los
valores vlidos para el parmetro /scope son user o computer. Si se omite el parmetro
/scope, gpresult exhibe a ambos, usuario y computadora.
/v Especifica que la salida exhibir informacin verbose de la policy.
/z Especifica que la salida exhibir toda la informacin disponible acerca de Group Policy.
Usted puede utilizar Group Policy para manejar el proceso de instalacin de software
centralizado a partir de una localizacin. Adems, Group Policy settings puede aplicarse a
los usuarios o computadoras en un site, dominio u organizational unit para instalar
automticamente, actualizar o quitar software. Aplicando Group Policy settings al
164
software, Usted puede manejar varias fases de la instalacin del software sin instalar
software en cada computadora individualmente.
La lista siguiente describe cada fase en la instalacin del software y proceso de
mantenimiento:
1. Preparation. Primero hay que instalar el software usanado la estructura corriente de
Group Policy object (GPO), y tambin identificar los riesgos al usar la infraestructura
actual para instalar software. Para preparar los archivos que permitan a un programa ser
instalado con Group Policy, Usted debe copiar los archivos Windows Installer package para
un programa a un software distribution point, el cual puede ser una carpeta compartida en
un servidor. Asimismo puede adquirir el archivo Windows Installer package del vendedor
del programa o crear el archivo package usando una utilidad de terceras partes.
2. Deployment. Aqu hay que crear una GPO que instala el software en la computadora y
linkea la GPO a un contenedor apropiado de Active Directory. El software estar instalado
cuando la computadora se encienda o cuando un usuario inicie el programa.
3. Maintenance. El software se actualiza con una nueva versin o reinstalando el
software con un service pack o un software update. De esta maner, estar
automticamente actualizado o reinstalado cuando la computadora se encienda o cuando
el usuario inicie el programa.
4. Removal. Para eliminar el software que no es requerido, se necesita quitar el software
package setting de la GPO que originalmente instal el software. El software entonces se
quitar automticamente cuando la computadora se encienda o cuando un usuario inicie
sesion.
Qu es Windows Installer
Para habilitar Group Policy para instalacin y administracin de software, Windows Server
2003 usa Windows Installer. Este componente automatiza la instalacin y el retiro de
programas, aplicando un sistema de reglas centralmente definidas durante el proceso de
la instalacin, Windows Installer contiene dos componentes:
Windows Installer service. Este servicio del lado del cliente automatiza completamente
la instalacin del software y proceso de la configuracin. El servicio Windows Installer
puede tambin modificar o reparar un programa instalado existente. Para instalar un
programa lo hace directamente del Cd-ROM o usando Group Policy. Para ello, el servicio
Windows Installer requiere un Windows Installer package.
Windows Installer package. Este archivo package contiene toda la informacin que el
Windows Installer service requiere para instalar o quitar software. El Archivo contiene:
Un archivo Windows Installer con una extencin .msi.
Archivos fuente externos, que son requeridos para instalar o quitar el software.
Informacin estndar sobre el software y el package.
Archivos del producto o una referencia a un punto de instalacin donde residen los
archivos del producto.
Las ventajas de usar tecnologia Windows Installer incluye:
Custom installations. Caractersticas opcionales de un aplicativo. Por ejemplo, clip art o
un diccionario, puede ser visible en un programa sin que la caracterstica sea instalada.
Aunque los comandos de men son accesibles, la caracterstica no est instalada hasta
que el usuario acceda al men de comandos. Este mtodo de instalacin ayuda a reducir
la complejidad y la cantidad de espacio de disco duro que el programa utiliza.
Resilient applications. Si un archivo crtico se borra o se corrompe, el programa
adquiere automticamente una nueva copia del archivo de la fuente de la instalacin, sin
requerir la intervencin del usuario.
I 165
Clean removal. Windows Installer quita aplicaciones sin dejar archivos hurfanos o
inadvertidamente romper otro aplicativo, por ejemplo, cuando un usuario borra un archivo
compartido que otro aplicativo requiera. Tambin, Windows Installer quita todas las
configuraciones de registry relacionadas y almacena las transacciones de instalacin en
una base de datos y archivos de log subsecuentes.
Descripcin del proceso de Software Deployment
Cuando Usted instala software, est especificando cmo se instalan los aplicativos y cmo
se mantienen los mismos en su organizacin.
Para instalar nuevo Software, utilizando Group Policy, deber:
1. Crear un software distribution point. Esta carpeta compartida en su servidor
contiene el package y los archivos del software para instalar. Cuando el software se
instala en una computadora local, el Windows Installer copia archivos a la
computadora.
2. Utilizar la GPO para instalar software. Usted debe crear o realizar cambios
necesarios a la GPO para el contenedor en donde desea instalar el aplicativo. Al
mismo tiempo puede configurar la GPO para instalar software para una cuenta de
usuario o de computadora. Esta tarea tambin incluye seleccionar el tipo de
instalacin que se requiere.
3. Cambiar las caractersticas de la instalacin del software. Dependiendo de
sus requisitos, Usted puede cambiar las caractersticas que fueron fijadas durante
la instalacin inicial del software.
166
Mtodo 1
Mtodo 2
Asignacin
Configurando
al
usuario.
Cuando
Usted
asigne
software a un usuario, el
software se anunciar en el
escritorio del mismo cuando
inicie sesin. La instalacin
no comenzar hasta que el
usuario haga doble-click al
inicio de la aplicacin o a un
archivo asociado con la
aplicacin. Este es un mtodo
llamado
activacin
de
documento. Si el usuario no
I 167
activa
el
aplicativo,
el
software no es instalado. De
esta forma, se ahorra espacio
en el disco duro y tiempo.
Usando Add or Remove
Programs. Un usuario puede
abrir el Control Panel y hacer
doble-click en Add or Remove
Publicacin Programs para exhibir los
aplicativos disponibles. El
usuario puede seleccionar un
aplicativo y entonces hacer
click en Add.
168
software. Por ejemplo, Usted puede prevenir a usuarios la instalacin del software package
usando la activacin de documento.
Para configurar las opciones implcitas para la instalacin del software, deber realizar los
siguientes pasos:
1. Crear o editar la GPO.
2. Bajo User Configuration o Computer Configuration, expandir Software
Settings, hacer click derecho en Software Installation y despus en
Properties.
3. En la lengeta General, configurar las opciones siguientes de la instalacin de
software:
Default package location
When adding new packages to user settings
Installation user interface options
4. En la lengeta Advanced, seleccionar la opcin Uninstall the application when
they fall out of the scope of management.
Para cambiar las caractersticas de la instalacin de software, deber:
1. En Software Installation, hacer click derecho en el package instalado, y despus
hacer click en Properties.
2. En el cuadro Properties de la lengeta Deployment, cambiar las siguientes
opciones:
Deployment type
Deployment options
Installation user interface options
Qu es la modificacin de Software
Las modificaciones se asocian a un Windows Installer package en la instalacin anterior que utilice
ese Windows Installer package para instalar o modificar el aplicativo.
I 169
Las tareas en una organizacin son dinmicas y variadas. Usted puede utilizar Group
Policy para instalar y administrar software upgrades que cumplan con requisitos
departamentales en su organizacin. Las actualizaciones implican tpicamente cambios
importantes al software y tienen nuevos nmeros de versin. Generalmente, un nmero
substancial de archivos cambia para una actualizacin.
Varios acontecimientos en el ciclo de vida de un aplicativo pueden accionar la
necesidad de una actualizacin, incluyendo lo siguiente:
Una nueva versin del software se lanza y contiene nuevas y mejoradas caractersticas.
Parches y seguridad o realces funcionales se han hecho al software desde el lanzamiento
pasado.
Una organizacin decide utilizar un software de diversos vendedores.
170
I 171
172
Puede ser necesario quitar el software si una versin no es soportada en adelante o si los
usuarios no requieren ms el software. Usted puede forzar el retiro del software o dar a
los usuarios la opcin de continuar, usando el viejo software.
I 173
La Group Policy Management Console (GPMC) es una herramienta nueva para manejar
Group Policy en Windows Server 2003.
La GPMC:
Permite que usted maneje Group Policy para mltiples forests, dominios y organizational
units a partir de una interfaz constante.
Exhibe los links, herencia y delegacin de Group Policy
Muestra los contenedores a los cuales se aplican policy.
Proporciona reportes HTML de las configuraciones.
Proporciona las herramientas para mostrar el Resultant Set of Policies (RSoP) y
experimentar con combinaciones propuestas de policies.
GPMC Requisitos del Sistema
GPMC ayuda a manejar dominios Windows Server 2003 con Active Directory service.
En cualquier caso, la computadora en la cual corre GPMC debe funcionar con uno de los
sistemas operativos siguientes:
Windows Server 2003.
Windows XP Professional con Service Pack 1 (SP1) y Microsoft .NET Framework. Adems,
es requerido un hotfix post-SP1 (QFE Q326469). Este QFE actualiza su versin de
gpedit.dll a version 5.1.2600.1186, la cual se requiere para GPMC. Este QFE se incluye con
GPMC y la instalacin de GPMC le pregunta sobre su instalacin. Sin embargo, si el
lenguaje de GPMC no concuerda con el lenguaje de su sistema operativo, GPMC no
instalar el QFE y se necesitar obtener e instalar por separado este QFE, que ser
incluido en Windows XP Service Pack 2.
174
Instalacin de GPMC
La instalacin de GPMC es un proceso simple que implica la ejecucin de un Windows
Installer (.MSI) package. Los archivos necesarios sern instalados en la carpeta
\Program Files\GPMC. Para ello:
1. Hacer Doble-click en gpmc.msi package y en Next.
2. Aceptar el End User License Agreement (EULA), y hacer click en Next.
3. Hacer Click en Close para terminar la instalacin.
Sobre la terminacin de la instalacin, la lengeta Group Policy que apareca en las
pginas de propiedades de sites, dominios y organizational units (OUs) en el Active
Directory snap-ins, es actualizada para proporcionar un acceso directo a la GPMC. La
funcionalidad que existi previamente en la lengeta original de Group Policy no estar
ms disponible; toda la funcionalidad para manejar Group Policy estar disponible a travs
de la GPMC.
Para abrir el GPMC snap-in directamente, utilizar alguno de los mtodos siguientes:
Hacer Click en Start, click Run, ingresar GPMC.msc, y despus hacer click en OK.
Hacer Click en el acceso Group Policy Management en la carpeta Administrative
Tools del Start Menu o en el Control Panel.
Crear una consola custom MMC
1. Hacer Click en Start, click Run, ingresar MMC, y despus hacer click en OK.
2. En el menu File, hacer click en Add/Remove Snap-in, hacer click en Add,
seleccionar Group Policy Management, hacer click en Add, hacer click en Close,
y despus hacer click en OK.
Para reparar o quitar GPMC, usar Add or Remove Programs en Control Panel.
Alternativamente, correr el gpmc.msi package, seleccionr la opcin apropiada, y hacer
click en Finish.
I 175
Windows Server 2003 tiene una nueva caracterstica de gran alcance: Group Policy
Management. Esta permite que el usuario simule la aplicacin de policy que sera aplicada
a los usuarios y a las computadoras antes aplicar realmente policies. Esta caracterstica,
es conocida como Resultant Set of Policy (RSoP). El Modo de planeamiento en Windows
Server 2003, se integra en GPMC como Group Policy Modeling. Esto requiere un domain
controller Windows Server 2003 en el forest porque la simulacin es realizada por un
servicio que est solamente presente en domain controllers Windows Server 2003.
Sin embargo, usando esta caracterstica, Usted puede simular el resultant set of policy
para cualquier computadora en el forest, incluyendo las que funcionan con Microsoft
Windows 2000.
Esta caracterstica permite que los administradores determinen el resultant set of policy
que fue aplicada a una computadora especfica y (opcionalmente) el usuario que inici
sesin en esa computadora. Los datos que se presentan son similares a los datos de
Group Policy Modeling. Sin embargo, son diferentes a Group Policy Modeling puesto que no
son una simulacin. Es el resultado real de resultant set of policy obtenido de la
computadora destino. Tambin difiere Group Policy Modeling, con los datos de Group
Policy Results que se obtienen del cliente, y no se simula en el domain controller. El cliente
debe correr Windows XP, Windows Server 2003 o superior.
Administrando mltiples Forests
Mltiples forests pueden ser agregados fcilmente a la consola. Para ello deber:
1.
Hacer click derecho al nodo de la raz Group Policy Management, y
seleccionar Add Forest
2.
Especificar el nombre DNS o NetBIOS del dominio deseado en el forest que no se
haya cargado en GPMC, y hacer click en OK.
El forest especificado aparecer como nodo secundario en la consola y ser cargado en la
consola con el dominio que fue incorporado en el cuadro Add Forest.
Para quitar un nodo de forest, simplemente haga click derecho en el nodo, y seleccione
Remove. Por defecto usted puede agregar solamente forest a la GPMC si hay 2-way trust
con el forest del usuario que corre la GPMC.
176
Contenido de Dominios
Dentro de cada dominio, GPMC proporciona una vista basada en policy de Active Directory
y los componentes asociados a las Group Policy, por ejemplo, GPOs, WMI filters y GPO
links. La visin en GPMC es similar a la visin en Active Directory Users and Computers
MMC snap-in, que muestra la jerarqua de OU. Sin embargo, GPMC difiere de este snap-in
porque en vez de mostrar usuarios, computadoras y grupos en OUs, exhibe las GPOs que
estn linkeadas a cada contnedor.
Cada nodo de dominio en GPMC exhibe los puntos siguientes:
Todas las GPOs linkeadas al dominio.
Todas las top-level OUs y una vista del rbol de OUs y GPOs linkeadas a cada una de las
OUs.
Los contenedores de Group Policy Objects muestran todas las GPOs en el dominio.
El contenedor WMI Filters muestra todos los WMI Filters en el dominio.
I 177
178
Backup
El Backup de GPO pone una copia de todos los datos relevantes de GPO en una
localizacin especificada del sistema de archivos. Los datos relevantes incluyen:
El GPO GUID y dominio.
Configuraciones GPO.
La Discretionary Access Control List (DACL) de la GPO.
Los WMI filter link.
La operacin de backup solamente hace backup de componentes de la GPO que estn en
Active Directory y en la estructura de archivo de GPO en SYSVOL. La operacin no captura
los datos almacenados fuera del GPO, por ejemplo WMI filters e IP Security policies. stos
son objetos separados con su propio sistema de permisos y es posible que un
administrador cualquiera que realiza el backup o el restore, pueda no tener los permisos
requeridos en esos otros objetos.
I 179
Los administradores pueden hacer backup de una o ms GPOs usando los mtodos
siguientes:
Hacer click derecho en la GPO bajo el nodo Group Policy objects y elegir Back up
del men de contexto.
Hacer click derecho en una o ms GPOs en la lengeta Contents del nodo Group Policy
objects y elegir Back up del men de contexto. Esto hace backup de las GPO(s)
seleccionadas.
En el nodo Group Policy Objects, hacer click derecho y elegir la opcin Back Up All
Esto hace backup de todas las GPOs en el dominio.
Use los GPO backup scripts. Usted puede escribir sus el propios scripts o puede utilizar la
muestra de scripts incluida con GPMC en la carpeta GPMC\scripts . Hay dos scripts
BackupGPO.wsf y BackupAllGPOs.wsf que se incluyen con GPMC, los cuales usted
pueden utilizar para hacer backup de GPOs.
Restore
La operacin de Restore de GPO restaura la GPO a un estado anterior y puede ser utilizada
en los casos siguientes: se realiza backup a la GPO perose ha removido desde entonces, o
la GPO est viva y se desea volverla a un estado anterior.
La operacin de restore substituye los componentes siguientes de una GPO:
Configuraciones de GPO.
ACLs en la GPO.
Los WMI filter links.
Usted puede realizar un restore de GPOs usando cualquiera de los mtodos siguientes:
Para hacer restore una GPO existente, hacer click derecho a la GPO en el contenedor
Group Policy objects y seleccionar Restore from Backup Esto abre el Restore
Group Policy Object Wizard.
Usar los GPO restore scripts. Usted puede escribir sus propios scripts o utilizar las
muestras de scripts includas con GPMC en la carpeta GPMC\scripts
Hay dos scripts RestoreGPO.wsf y RestoreAllGPOs.wsf.
180
Import
La operacin de importacin transfiere configuracin en una GPO existente de Active
Directory, usando un backup de GPO en la localizacin del sistema de archivos como su
fuente. Las operaciones de importacin se pueden utilizar para transferir configuraciones a
travs de GPOs dentro del mismo dominio, a travs de dominios en el mismo forest o en
forest separados.
Las operaciones de importacin son ideales para emigrar Group Policy a travs de
ambientes donde no hay confianza.
Las operaciones de importacin se pueden realizar usando cualquiera de los mtodos
siguientes:
Hacer click derecho en la GPO bajo el nodo Group Policy Objects y hacer click en Import
Settings. Esto iniciar un wizard que lo guiar en el proceso de seleccionar el backup y
opcionalmente especificando una tabla de migracin si es apropiado.
Usar cualquiera de los scripts ImportGPO.wsf o ImportAllGPOs.wsf que se incluyen
con GPMC.
I 181
CAPTULO 08
Servicios de Impresin en windows 2003 P
Funcionamiento de la impresin
Si agrega una impresora que esta conectada a una red a traves de un adaptador de red,
puede implementar la impresion de las siguientes formas:
Agregue una impresora directamente al equipo de cada usuario sin utilizar ningn equipo
servidor de impresion.
Agregue la impresora una vez a un equipo servidor de impresion y conecte todos los usuarios
a la impresora a traves del equipo servidor de impresion.
Imagine un grupo de trabajo pequeo que tiene pocos equipos y una impresora que esta
conectada directamente a la red. Cada usuario de la red agrega la impresora a su carpeta
Impresoras y faxes sin compartir la impresora y define su propia configuracin de los
controladores.
Esta configuracion tiene los siguientes inconvenientes:
Los usuarios no conocen el estado real de la impresora.
Cada equipo tiene su propia cola de impresion que muestra solamente los trabajos de
impresion enviados desde ese equipo.
182
No puede determinar donde esta su trabajo de impresion en relacion con los trabajos de
impresion de los restantes equipos.
Los mensajes de error, como los atascos de papel o las bandejas de papel vacas, slo
aparecen en la cola de impresin del trabajo de impresion activo.
Todos los procesos de un documento enviado a imprimir se realizan en dicho equipos
Los equipos con Windows Server 2003 funcionan como servidores de impresin. El equipo
agrega la impresora y la comparte con los restantes usuarios. Los equipos con Microsoft
Windows XP Profesional tambin pueden funcionar como servidores de impresin. Sin
embargo, no admiten los servicios de Macintosh ni de NetWare, y estn limitados a 10
conexiones en una sola red de rea local (LAN, Local Area Network).
La impresion con servidor de impresion tiene las siguientes ventajas:
El servidor de impresion administra la configuracion del controlador de la impresora.
Aparece una sola cola de impresion en todos los equipos conectados a la impresora, lo que
permite que todos los usuarios vean donde estan sus trabajos de impresion en relacion con los
restantes que estan esperando para imprimirse.
Dado que aparecen mensajes de error en todos los equipos, todo el mundo conoce el
estado real de la impresora.
Una parte del procesamiento pasa del equipo cliente al servidor de impresion.
Se puede tener un solo registro para los administradores que deseen auditar los sucesos de
la impresora.
I 183
A los administradores de sistemas se les pide que creen dos tipos de impresoras: locales y de
red. Para compartirlas y que puedan utilizarlas otros usuarios, antes hay que crear ambos tipos
de impresoras.
Las impresoras locales se crean para imprimir en un dispositivo de impresion conectado
localmente a traves de un puerto paralelo (LPT, Line Printer Terminal), bus serie universal
(USB, Universal Serial Bus) o de infrarrojos (IR, Infra-Red). Tambin imprimen en dispositivos
de impresion de red que utilizan el protocolo de Internet (IP, Internet Protocol) o IPX. Adems,
tambin admiten Plug and Play.
Las impresoras de red imprimen en una impresora de red con los protocolos
IP, IPX o AppleTalk. Tambin imprimen en impresoras que redirigen el trabajo a un dispositivo
de impresin.
La siguiente tabla presenta las ventajas e inconvenientes de utilizar una impresora
local o una impresora de red.
Ventajas
Inconvenie
ntes
Impresora local
Impresora de red
El
dispositivo
de
impresin est
muy prximo al equipo
del
usuario
Muchos usuarios
pueden
tener
acceso
a los dispositivos
de impresin
impresora
local
La seguridad se
limita
a
la
seguridad
fsica del
dispositivo de
impresin
184
Las
impresoras
de red
admiten
la
distribucin
de controladores
de
impresora
actualizados
i
li
I 185
Si no puede instalar la impresora con Plug and Play o si la impresora esta conectada al
equipo con un puerto serie (COM):
1. En el Panel de control, en la carpeta Impresoras y faxes, haga clic en Agregar
una impresora.
2. En el Asistente para agregar impresoras, en la pgina Este es el Asistente para
agregar impresoras, haga clic en Siguiente.
3. En la pagina Impresora local o de red, haga clic en Impresora local conectada
a este equipo.
4. Desactive la casilla de verificacion Detectar e instalar mi impresora Plug and Play
automaticamente para no tener que esperar a que finalice la bsqueda de otra
impresora y haga clic en Siguiente.
5. Siga las instrucciones que aparecen en pantalla para terminar de instalar la impresora,
para lo que tiene que seleccionar el puerto de la impresora, el fabricante y el modelo de
la misma y escribir el nombre de la impresora.
186
I 187
las de gran capacidad que se utilizan para trabajos de impresion de calidad fotografica o
folletos encuadernados. La seguridad
de las impresoras debe configurarse de tal forma que las personas adecuadas puedan
utilizarlas con el nivel de acceso que necesitan para realizar su trabajo.
188
Administrar documentos
El usuario puede pausar, reanudar, reiniciar, cancelar y reorganizar el orden de los
documentos que envian los restantes usuarios. Sin embargo, el usuario no puede enviar
documentos a la impresora ni controlar el estado de esta. De forma predeterminada, el
permiso Administrar documentos se concede a los miembros del grupo Creator /Owner.
Si se concede a un usuario el permiso de Administrar documentos, este no puede tener
acceso a los documentos existentes que estan esperando para imprimirse. Solo puede tener
acceso a los documentos enviados a la impresora despues de que le hayan concedido el
permiso.
Windows asigna permisos de impresoras a seis grupos de usuarios. Dichos grupos son:
Administradores, Creator /Owner, Todos, Usuarios avanzados, Operadores de impresion y
Operadores de servidores. De forma predeterminada, a cada grupo se le concede una
combinacion de permisos
de Imprimir, Administrar documentos y Administrar impresoras, como muestra la tabla
siguiente.
Grupo
Imprimir
Administrar
documentos
Administradores
Creator /Owner
Administrar
impresoras
X
Todos
Usuarios
Operadores de
impresin
Operadores de
servidores
En la carpeta Impresoras y faxes, haga clic con el boton secundario del mouse en
la impresora en la que desea establecer permisos y haga clic en Propiedades.
2.
3.
190
Controlador de impresora
Archivo de datos
Este archivo puede tener las extensiones .dll, .pcd, .gpd o .ppd.
I 191
impresora consulta en el archivo de configuracin las selecciones, con el fin de poder crear
los comandos adecuados para la impresora.
Es recomendable que utilice solamente controladores de dispositivo con los logotipos
Diseado para Microsoft Windows XP o Diseado para Microsoft Windows 2003
Server. La instalacion de controladores de dispositivo que no tienen el certificado digital de
Microsoft puede deshabilitar el sistema, permitir que entren virus en su equipo o perjudicar de
cualquier otra forma el funcionamiento correcto del equipo en la actualidad o en el futuro.
Instalar controladores de impresora
192
Si comparte una impresora con usuarios que utilicen Windows 95, Windows 98 o Windows NT
4.0, puede instalar controladores de impresora adicionales en su equipo, con el fin de que
dichos usuarios se puedan conectar a su impresora sin que tengan que instalar los
controladores que faltan en sus sistemas. Los controladores se encuentran en el disco
compacto de soporte de Windows Server 2003. No se incluyen los controladores de impresora
para Windows NT 3.1 3.5, pero stos se pueden obtener del fabricante del dispositivo de
impresion.
Para agregar controladores de impresora para otras versiones de Windows:
1.
En la carpeta Impresoras y faxes, haga clic con el boton secundario del mouse en la
impresora en la que desea instalar controladores adicionales y haga clic en
Propiedades.
2.
3.
Permite a los usuarios utilizar una jerarqua para buscar impresoras en otras
ubicaciones haciendo clic en Examinar.
Cuando se implementan ubicaciones de impresora, una bsqueda de impresoras publicadas
en Active Directory devuelve una lista de las impresoras que se encuentran en la misma
ubicacion fsica (por ejemplo, en el mismo edificio o en la misma planta) que el equipo cliente
que utiliza el usuario para realizar la bsqueda.
I 193
Usa el valor del atributo Ubicacion del objeto subred como cadena de texto
para buscar todas las impresoras publicadas que tienen el mismo valor que el
atributo Ubicacion.
Ademas, los usuarios tambien pueden buscar impresoras en cualquier ubicacion. Esto
resulta til si necesitan buscar y conectarse a una impresora de una ubicacion fsica
diferente de aquella en la que trabajan normalmente.
Ubicaciones de impresoras
I 195
Para configurar inicialmente las ubicaciones de las impresoras, hay que tener acceso de
lectura y escritura a los objetos sitio y subred de Active Directory, con el fin de poder crear
objetos subred, asignar una ubicacion al objeto subred y asociar el objeto subred con un sitio.
Al asignar ubicaciones a una impresora, debe hacer coincidir la ubicacion de la impresora con
la del objeto subred.
Una vez que un ingeniero de sistemas garantiza que la red cumple los requisitos
para implementar ubicaciones de impresora y se crea una convencion de nomenclatura, el
ingeniero de sistemas realiza las siguientes tareas para configurar las ubicaciones de las
impresoras:
1. Activar el seguimiento de ubicacin de impresora mediante el uso de Directiva de grupo.
196
Antes de definir el atributo Ubicacion de una impresora, hay que determinar lo siguiente:
La direccin IP de la impresora para determinar el atributo Ubicacin del objeto subred
Tras determinar el nombre correcto de la ubicacion, puede agregarlo al atributo Ubicacion de
la impresora. Si va a configurar una impresora nueva, el ingeniero de sistemas le dara una
copia impresa del dispositivo de impresion que contiene la direccin IP y el control que debe
utilizarse. Si va a agregar el nombre de la ubicacion a una impresora existente, puede
determinar la direccin IP del dispositivo de impresion mirando el puerto TCP/IP en que esta
imprimiendo la impresora.
La ubicacion de la subred
Para determinar la direccion IP de una impresora existente:
1. En la carpeta Impresoras y faxes, haga clic con el boton secundario del
impresora cuyo atributo Ubicacion desea definir y haga clic en Propiedades.
mouse en la
Encontrar impresoras
El seguimiento de ubicacion se utiliza cuando algn usuario consulta Active Directory. Para
iniciar la consulta, el usuario hace clic en Inicio, Buscar, Otras opciones de bsqueda,
Impresoras, equipos o personas y Una impresora en la red. Los usuarios tambin
pueden hacer clic en la opcion Buscar una impresora en el directorio del Asistente para
agregar impresoras para iniciar el cuadro de dialogo Buscar Impresoras.
Si esta habilitado el seguimiento de ubicacion, en primer lugar el sistema determina en qu
lugar fsico de la organizacion se encuentra el equipo cliente. Mientras esto sucede, el cuadro
Ubicacion del cuadro de dialogo Buscar Impresoras muestra Comprobando. Una vez
que se determina la ubicacion, se escribe en el cuadro Ubicacion. Si no se puede
determinar la ubicacion, el cuadro Ubicacion se deja en blanco.
Cuando el usuario hace clic en Buscar ahora, Active Directory muestra todas las impresoras
que coinciden con la consulta del usuario y que se encuentran en la ubicacin del usuario.
Los usuarios pueden cambiar el valor del cuadro Ubicacion haciendo clic en Examinar.
Por ejemplo, imagine que una organizacion se encuentra en un edificio con varias plantas y
que cada una de estas plantas est configurada como una subred. Si un usuario que se
encuentra en la primera planta no logra encontrar ninguna impresora a color en su planta,
Floor 1, puede cambiar la ubicacin a Organization 1/Floor 2, o incluso a Organization 1,
para aumentar el alcance de la bsqueda.
198
2.
3.
4.
i.
iii.
i.
ii.
i.
ii.
I 199
200
I 201
Si se configuran los trabajos de impresion para que no se eliminen despus de imprimirse, es conveniente
situarlos en un disco o volumen diferente, para que la carpeta de colas de impresion no herede los cambios en
la seguridad de ninguna de sus carpetas principales. Tambien es conveniente trasladar la carpeta de colas de
impresion de las impresoras que imprimen datos confidenciales, como las nominas (salarios) o informes
financieros, con el fin de poder auditar todas las transacciones del disco que contiene la carpeta.
Administrar las cuotas de disco
En los discos que contienen el sistema operativo, las cuotas no se suelen configurar para aumentar el
rendimiento. Sin embargo, puede resultar conveniente limitar el nmero de trabajos de impresion que los
usuarios o grupos envian al servidor de impresion, para que ningn usuario ocupe todo el espacio en disco
disponible en un servidor. Si esto ocurre, los dems usuarios no podrn imprimir hasta que la cola de impresion
libere algunos documentos.
Mejorar la confiabilidad
Normalmente, la particin de inicio de un equipo se encuentra en una unidad de disco reflejada (RAID 1). Para
un mayor rendimiento y capacidad de recuperacin, puede ser conveniente mover la carpeta de colas de
impresin a un volumen con RAID 5, con el fin de reducir la posibilidad de que haya un nico punto de posibles
errores de un subsistema de disco
2.
3.
202
Establezca las prioridades entre impresoras para asignar prioridades a los documentos
que se imprimen en un mismo dispositivo de impresion. Para ello, cree varias impresoras
que sealen al mismo dispositivo de impresion. Los usuarios podran entonces enviar
sus documentos mas importantes a una impresora de alta prioridad y sus documentos
de menor importancia a otra de baja prioridad. Los documentos enviados a la impresora
de mayor prioridad se imprimiran en primer lugar.
Para establecer las prioridades entre impresoras, realice las tareas siguientes:
Haga que dos o mas impresoras sealen al mismo dispositivo de impresion (el mismo
puerto). El puerto puede ser un puerto fisico del servidor de impresion o un puerto que
seale a un dispositivo de impresion conectado a una interfaz de red.
Establezca una prioridad diferente para cada una de las impresoras conectadas al
dispositivo de impresion y a continuacion haga que diferentes grupos de usuarios
impriman en diferentes impresoras. Tambin puede hacer que los usuarios enven sus
documentos de alta prioridad a la impresora de mayor prioridad, y sus documentos de
baja prioridad a la impresora de menor prioridad.
En la ilustracion de la diapositiva, el Usuario1 enva sus documentos
a la impresora con la menor prioridad, 1, y el Usuario2 enva sus documentos a la
impresora con la prioridad mas alta, 99. En este ejemplo, los documentos del Usuario2
se imprimiran antes que los del Usuario1.
Se puede acelerar la impresion de aquellos documentos que deban imprimirse
inmediatamente. Los documentos enviados por los usuarios con niveles de prioridad
mayores pueden ubicarse delante de una cola de documentos
de menor prioridad en espera para imprimirse. Si dos impresoras logicas estan
asociadas al mismo dispositivo de impresion, Windows Server 2003 enruta en primer
lugar los documentos con la mayor prioridad a la impresora.
Para utilizar las prioridades de impresora, cree varias impresoras logicas para un mismo
dispositivo de impresion fsico. Asigne a cada una de ellas un nivel de prioridad distinto y
despus cree un grupo de usuarios que corresponda a cada impresora. Por ejemplo, los
usuarios del grupo 1 pueden tener derechos de acceso a la impresora de prioridad 1, los
usuarios del grupo 2 a la impresora de prioridad 2, etc.
I 203
204
I 205
impresion fuera del horario de oficina, debera disponer de espacio en disco suficiente para ello.
Si esto supone un problema y no dispone de espacio en disco adicional, establezca cuotas de
disco en el volumen que contiene la cola de impresin.
2.
3.
En los dos cuadros situados a la derecha de Disponible desde, escriba una hora de
inicio y fin, como 18:00 y 6:00, y haga clic en Aceptar.
I 207
CAPTULO 09
TCP/IP en Windows Server 2003T
Introduccin
Windows Server 2003 esta preparado para integrase a mltiple plataformas posee
caractersticas que permiten su integracin en entornos multiplataforma. Windows
server 2003 incorpora clientes para las principales plataformas del mercado entre las
que podemos destacar los clientes para Mac y Novell Netware as mismo se incluye
como parte del sistema protocolos que cubren
las principales necesidades de
interconexin. As mismo se incluyen Tecnologas mejoradas como NDIS 5 que al
igual que su versin previa permite el enlace simultaneo de varios protocolos a un
adaptador de red tanto como la aplicacin de tecnologas para el control del servicio
QoS, En esta seccin se har una revisin de las propiedades TCP-IP como una de las
tecnologas de interconexin mas importante de momento.
Windows XP Professional
I 209
210
nivel del servidor Web de Microsoft IIS (Internet Information Server) el cual podr
albergar Web Sites asociados a direcciones IP independientes.
Para configurar mltiples direcciones IP a un equipo haga click en el botn Advanced
y luego en la ficha IP Settings desde el cuadro de dialogo Internet Protocol
(TCP/IP) Properties. Desde esta ficha se puede tambin definir los valores para el
default gateway indicandose adicionalmente el valor de la mtrica asociada a cada
valor de gateway definido, la mtrica permite indicar cual ser el valor utilizado por
default ya que el sistema usar el gateway con menor mtrica de no responder
intentara con el siguiente de su lista. La siguiente figura muestra el cuadro de dialogo
para definir los valores de mltiples direcciones IP y gateways para un adaptador de
red.
212
websrv01.mkt.pe.corp.amazing.com
websrv01.pe.corp.amazing.com
websrv01.corp.amazing.com
websrv01.amazing.com
Append These DNS Suffixes (in order) Especifica los unicos sufijos
de dominio a anexar a los nombres de dominio no calificados durante
un proceso de resolucin de nombres. Si se especifican sufijos de
dominio en esta lista, los sufijos principal (primary) y de conexiones
especificas (connection-specific) no se utilizan.
Para sobre escribir el nombre DNS primario del dominio especificado para el
equipo en la ficha identificacin de red de la herramienta propiedades del sistema
del panel de control hay que escribir el nombre DNS que desea utilizar en el
cuadro de texto DNS Suffix for this Connection.
I 213
Para habilitar el uso del archivo LMHOSTS para resolver nombres NetBIOS a
direcciones IP, seleccione la casilla de verificacin LMHOSTS Lookup, y haga click en
el botn Import LMHOSTS para importar un archivo LMHOSTS. No se recomienda el
uso de LMHOSTS debido al costo administrativo de mantenerlo actualizado no
compensa la mnima reduccin de trafico en la red.
214
En la probabilidad, de que
usted necesite comunicarse con equipos clientes
ejecutando versiones de sistemas operativos Microsoft anteriores a Windows 2000,
asegrese que la casilla de verificacin para Enable NetBIOS Over TCP/IP se
encuentre seleccionada. Slo desactive esta casilla de verificacin
si usted se
comunica exclusivamente con otras computadoras ejecutando Windows 2000 o
computadoras que se basan nicamente en el servidor DNS para la resolucin de
nombres (por ejemplo, UNIX). Tambin, note que cualquier aplicacin que usa
NetBIOS no trabajar si usted desactiva NetBIOS Over TCP/IP.
I 215
Configurando el FQDN
La configuracin del Fully Qualified Domain Name (FQDN) permite definir el nombre
completamente calificado de dominio. Un nombre de dominio completamente
calificado incluye los nombres de todos los dominios de la red retrocediendo hacia a la
raz para indicar claramente la ubicacin en el rbol namespace del dominio. Un
ejemplo de un FQDN es mkt.acorp.com.pe o london.uk.europe.bcorp.com.
Para configurar el nombre FQDN del equipo siga los siguientes pasos:
1. Desde el cuadro de dialogo System properties haga click sobre la ficha
network Identification
2. Haga click sobre el botn properties lo que le mostrara el cuadro de dialogo
Identification Changes
3. Ingrese el nombre del equipo (Computer name) recuerde que este nombre
debes ser unico en la red y el nombre del grupo o dominio al que desea asociar
a su equipo.
4. Haga click sobre el botn more el que le mostrara el cuadro de dialogo DNS
Suffix and NetBIOS Computer Name.
5. Ingresar el sufijo DNS principal para su equip (Primary DNS Suffix of this
computer) y verifique el nombre NetBIOS asociado a su equipo el cual debe
coincidir con el nombre del equipo (Computer name) como se muestra en la
siguiente figura.
6. Para finalizar cierre cada ventana pulsando sobre el botn OK.
El nombre FQDN del equipo estara formado por el nombre del equipo (Computer
name) y el sufijo DNS principal (Pimary DNS suffix).
216
CAPTULO 10
DHCP Dynamic Host Configuration Protoc.nD
Cada vez que un cliente de DHCP que no posee una direccin IP se inicia solicita una
direccin IP de un servidor de DHCP. Cuando el servidor DHCP recibe la solicitud,
selecciona una direccin IP de un rango de direcciones definido en su base de datos.
El servidor DHCP ofrece esta direccin al cliente DHCP.
Si el cliente acepta la oferta, el servidor de DHCP otorga la direccin IP al cliente por
un perodo definido de tiempo. La duracin predefinida de un otorgamiento (lease) de
direccin IP es de ocho das, pero esta duracin es configurable. El cliente usa la
direccin IP para acceder la red.
La informacin de DIRECCIN IP enviada por el servidor de DHCP al cliente de DHCP
puede contener varios elementos que pueden incluir:
1. Una direccin IP.
2. Una mscara de subred.
3. Valores opcionales, como:
I 217
218
IP
IP
IP
IP
lease
lease
lease
lease
request (Solicitud)
offer (Oferta)
selection (Seleccin)
acknowledgement (reconocimiento)
2.
222
3.
4.
I 223
224
Active Directory se requiere para autorizar un DHCP Server. Con Active Directory,
los DHCP Servers no autorizados no pueden responder a los pedidos de clientes. El
servicio DHCP Server, en un servidor miembro de Active Directory, verifica su
registracin con un Domain Controller de Active Directory. Si el DHCP Server no
est registrado, el servicio no se iniciar y consecuentemente el DHCP Server no
asignar direcciones a clientes.
I 225
Reservaciones
Otra opcion disponible es la posibilidad de configurar determinadas direcciones
para que el servidor DHCP siempre proporcione la misma direccin 1P a una
computadora en particular. Por ejemplo, usted puede reservar una direccin de IP
para una computadora que requiere una IP que no cambie tal, como un servidor
IIS o DNS, debido a que las dems computadoras requieren de una direccin fija
que usan una su direccin IP para conectar a con los computadores que brindan
estos servicios. Estos direcciones IP permanentes asignaciones se les conoce como
las reservaciones del cliente.
Propiedades de Scope
Network ID: El Network ID para el rango de direcciones IP
Subnet mask: La subnet mask para el Network ID
Network IP address range: El rango de direcciones IP disponibles para los clientes
Lease duration: El perodo de tiempo que el DHCP Server asigna a la direccin del
cliente
Cada subred puede tener un DHCP scope que contenga un solo y continuo rango
de direcciones IP. Direcciones especficas o grupos de direcciones se pueden
excluir del rango del DHCP scope. En general, solamente un scope puede ser
asignado a una subnet. Si ms de un scope se requiere en una subnet, los scopes
debern crearse
226
Activando un rango
Despus de que usted crea el rango, usted debe activarlo es decir hacerlo
disponible para las asignaciones del arriendo, para activar un scope en DHCP.
haga click derecho en la entrada para el scope y luego haga click en la opcin
Activar scope que usted requiere.
Descripcin
Router
Domain Name El nombre del DNS domain al cual la equipo cliente pertenece
DNS y WINS
Server
I 227
228
I 229
Nivel Servidor
Se aplican a todas las clientes de DHCP que obtienen una direccin IP del servidor
DHCP. Usted debe configurar las opciones al nivel servidor si todos los clientes en
todas las subredes requieren la misma informacin de configuracin. Por ejemplo,
usted podra configurar a todos los clientes para usar el mismo servidor de DNS o
servidor WINS. Para configurar las opciones al nivel servidor, en la consola de
administracin DHCP, expanda el servidor que usted desea configurar, haga click
derecho sobre las Opciones de Servidor y luego haga click en Configure Options.
Nivel Rango
Slo estn disponibles para clientes que obtienen una direccin de ese rango. Por
ejemplo, cada subred requiere un rango diferente, y usted puede definir una nica
direccin IP para la puerta de enlace predeterminada para cada rango. Las opciones
que usted configura a nivel rango prevalecen sobre las opciones que estan
configuradas al nivel del servidor. Para configurar las opciones a nivel rango, en la
consola de administracin del DHCP, expanda el rango que usted desea configurar.
Haga click derecho sobre Las opciones del rango y luego haga click en configurar las
opciones (Configure Options).
Nivel Clase
Slo estn disponibles a clientes que se identifican al servidor de DHCP como
pertenecientes a una clase en particular. Por ejemplo, computadoras cliente puede
recibir opciones diferentes que todos los otros clientes en la red. Las opciones que
usted configura a nivel de clase prevalecen sobre de opciones que usted configura a
nivel rango o servidor. Para configurar las opciones al nivel clase, en el cuadro de
dialogo de las Opciones del Servidor o Rango, en la ficha Avanzada (Advanced),
seleccione la clase del vendedor (Vendor Class) o la clase usuario(User Class), y luego
bajo las Opciones Disponibles (Available Options), configure las opciones apropiadas.
230
I 231
232
CAPTULO 11
DNS Domain Name System
Introduccin
El Sistema de nombres de dominio (DNS, Domain Name System) forma parte
integral de las comunicaciones cliente-servidor en las redes que utilizan el Protocolo
de control de transmisin/Protocolo Internet (TCP/IP, Transmission Control
Protocol/Internet Protocol). Windows Server 2003 utiliza DNS como mtodo principal
para la resolucin de nombres.
Domain Name System (DNS) es una base de datos jerrquica distribuida, que
contiene mapeos de nombres de host DNS a direcciones IP. DNS habilita la
localizacin de computadoras y servicios usando nombres alfanumricos, ms fciles
de recordar. DNS tambin habilita la localizacin de servicios de red, como E-mail
Servers y Domain Controllers en Active Directory.
Con DNS, los nombres de host residen en una base de datos distribuida en mltiples
servers, disminuyendo la carga en un servidor y la capacidad para administrar este
sistema de nombres. Asimismo, dado que se distribuye la base de datos de DNS, su
tamao es ilimitado y el funcionamiento no se degrada cuanto ms servidores se
agregan. InterNIC es responsable de delegar la responsabilidad administrativa de
porciones del Namespace de dominio, y tambin de registrar nombres de dominio.
Estos ltimos son administrados a travs del uso de la base de datos distribuida y
almacenada en Name Servers, localizados en toda la red. Cada Name Server contiene
archivos de base de datos que poseen informacin para una regin, dominio etc.,
creando as la jerarqua.
234
DNS:
\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\DNS
4.
La carpeta DNS contiene los archivos de base de datos DNS que se describen en la
siguiente tabla:
Tipo de archivo
Descripcin
z.y.x.w.in-addr.arpa
Cache.dns
Boot
Configuracin de zonas
Una zona es una parte del espacio de nombres de dominio definida por los registros
de recursos que estn almacenados en un archivo de base de datos de zona. Un
archivo de base de datos de zona almacena informacin que se utiliza para convertir
nombres de host en direcciones IP y direcciones IP en nombres de host. Con Windows
Server 2003, puede crear zonas principales estndar y zonas secundarias estndar.
La transferencia de zona es el proceso de replicar un archivo de base de datos de
zona hacia mltiples servidores DNS. Windows Server 2003 admite transferencias de
zona incrementales adems de transferencias de zona completas.
Despus de instalar Active Directory, tambin puede crear zonas integradas de Active
Directory. Las zonas integradas de Active Directory son zonas principales
almacenadas en Active Directory y replicadas durante la replicacin de Active
Directory en lugar de mediante transferencias de zona.
Tambin puede configurar las zonas para aprovechar mejor los recursos de red. Por
ejemplo, puede configurar zonas para actualizaciones dinmicas. Puede utilizarse el
protocolo de actualizacin dinmica de DNS para actualizar automticamente el
archivo de base de datos de zona sin la intervencin del administrador.
236
En las zonas integradas en el Active Directory, los datos de zona se almacenan como
un objeto de Active Directory y se replican como parte de la replicacin del dominio
en lugar de mediante transferencias de zona.
Nota: Las zonas integradas de Active Directory slo se pueden crear en servidores
DNS que estn configurados para ejecutar el protocolo de actualizacin dinmica .
I 237
238
Transferencia de zona
La transferencia de zona es el proceso en el que un archivo de zona se replica en otro
servidor DNS. Las transferencias de zona se producen cuando las asignaciones de
nombres y direcciones IP cambian en el dominio. Cuando esto ocurre, los archivos de
zona modificados se copian desde un Master Server a sus servidores secundarios.
El proceso de transferencia de zona se inicia cuando se produce una de las
siguientes situaciones:
Un servidor maestro enva al servidor o servidores secundarios una
notificacin anunciando que se ha producido un cambio en la zona. Cuando el servidor
secundario recibe la notificacin, consulta los cambios en el Master Server.
Cada servidor secundario consulta peridicamente un servidor maestro para
comprobar si hubo cambios en el archivo de zona, incluso si no se le ha notificado
ningn cambio. Esto ocurre cuando se inicia el servicio Servidor DNS en el servidor
secundario o cuando transcurre el intervalo de actualizacin en el servidor secundario.
I 239
Los dos mtodos para replicar informacin de zona son los siguientes:
Transferencia de zona completa (AXFR). Replica el archivo de base de datos de
zona completo.La mayor parte de las implementaciones de DNS utilizan y admiten
AXFR. Cuando caduca el intervalo de actualizacin en un servidor secundario, ste
consulta al servidor maestro mediante una consulta AXFR. El servidor secundario
detecta si su copia local de una zona es la misma que la copia del servidor maestro
mediante la comparacin de los nmeros de serie de la zona.
Transferencia de zona incremental (IXFR). Replica nicamente los cambios
realizados en el archivo de base de datos de zona. IXFR es una implementacin
reciente de DNS, definida en un documento RFC, que se incluye en Windows Server
2003 y puede reducir la cantidad de datos de zona que se transfieren durante la
replicacin. IXFR utiliza tambin nmeros de serie para determinar si se han
producido cambios en un archivo de base de datos de zona. No obstante, si ha
habido cambios, slo se transfieren los registros de recursos que han cambiado, no
todo el archivo de base de datos de zona. Los cambios y las adiciones se mantienen
en la memoria cach hasta que el servidor secundario haya recibido toda la
informacin actualizada. En Windows Server 2003, la informacin de una zona se
actualiza mediante transferencias de zona incrementales (IXFR), que slo
replican los cambios realizados en el archivo de zona, en lugar de replicar todo el
archivo. Los servidores DNS que no admiten IXFR solicitan el contenido entero de
un archivo de zona cuando inician una transferencia de zona. Esto se conoce como
AXFR o transferencia de zona completa.
Un servidor que responde a la solicitud de transferencia de zona registra la versin
ms reciente de la zona y las diferencias entre esa copia y otras versiones antiguas.
Cuando el servidor reciba una solicitud con un nmero de serie antiguo, enviar slo
los cambios necesarios para actualizar la versin del cliente. No obstante, el servidor
puede responder con una transferencia de zona completa si se produce alguna de las
siguientes situaciones:
1. La suma de los cambios es mayor que la zona completa.
2. El nmero de serie del cliente es inferior al nmero de serie de la versin ms
antigua de la zona que existe en el servidor. Slo se mantiene un nmero
limitado de versiones anteriores de la zona en el servidor por razones de
rendimiento.
3. El servidor que responde a la solicitud IXFR no reconoce el tipo de consulta. Si el
servidor no reconoce la consulta, el cliente iniciar automticamente una consulta
AXFR en su lugar.
240
I 241
242
La opcin Slo con seguridad aparece nicamente cuando se trata del tipo de zona
integrada de Active Directory. Con las actualizaciones dinmicas seguras, el servidor
DNS con autoridad slo acepta actualizaciones de equipos cliente y servidores que
estn autorizados para enviar actualizaciones dinmicas. Las actualizaciones
dinmicas seguras proporcionan las siguientes ventajas:
1. Protegen las zonas y los registros de recursos de la modificacin por
parte de usuarios sin autorizacin.
2. Le permiten especificar exactamente qu usuarios y grupos pueden
modificar zonas y registros de recursos.
Los clientes interactan directamente con el servidor DNS para actualizar el registro
de recursos (A) directo. Cuando el servidor DHCP est configurado para realizar
actualizaciones dinmicas, actualiza el registro de recursos (PTR) inverso para los
clientes y los registros de recursos A y PTR para equipos cliente que ejecuten un
sistema operativo distinto de Windows Server 2003.
I 243
244
Qu es un Query DNS?
Una Query es una solicitud de resolucin de nombre enviado a un DNS Server. Hay
dos tipos de Query: Recursiva e Iterativa.
Una Query Rrecursiva es una solicitud de resolucin al DNS Server, en el caso que
el cliente realice la Query directamente al DNS Server. La nica respuesta aceptable a
una Query Recursiva es la respuesta completa o la respuesta en donde el nombre no
puede ser resuelto. Una Query Recursiva nunca se redirecciona a otro DNS Server. Si
el DNS consultado no obtiene la respuesta de su propia base o del cache, la respuesta
es un error, indicando que no puede resolver el nombre.
I 245
246
Una zona es una parte contigua del espacio de nombres de dominio en el que un
servidor DNS tiene autoridad para resolver consultas DNS. El espacio de nombres
DNS se puede dividir en diferentes zonas, que almacenan informacin de nombres
acerca de uno o varios dominios DNS, o partes de ellos. Para cada nombre de dominio
DNS incluido en una zona, sta se convierte en el origen autorizado de la informacin
acerca de ese dominio.
I 247
Tipos de zonas. Los servidores DNS pueden alojar varios tipos de zona. Para
limitar el nmero de servidores DNS en la red, puede configurar uno solo que admita
o aloje varias zonas. Tambin puede configurar varios servidores para alojar una o
varias zonas con el fin de proporcionar tolerancia a errores y distribuir la carga de
trabajo administrativa y de resolucin de nombres.
Archivo de zona. Los registros de recursos que se almacenan en un archivo de
zona definen a sta. El archivo de zona almacena informacin que se utiliza para
convertir nombres de host en direcciones IP y viceversa.
En la tabla siguiente se describen los cuatro tipos de zonas que se pueden configurar.
Estndar Principal: Contiene una versin de lectura y escritura del archivo de zona
que se almacena en un archivo de texto estndar. Los cambios realizados en la zona
se registran en dicho archivo.
Estndar Secundario: Contiene una versin de slo lectura del archivo de zona que
se almacena en otro archivo de texto estndar. Los cambios efectuados en la zona se
registran en el archivo de zona principal y se replican en el archivo de zona
secundaria. Cree una zona secundaria estndar para crear una copia de una zona
existente y de su archivo de zona. De esta forma se puede distribuir la carga de
trabajo de la resolucin de nombres entre varios servidores DNS.
Integrada de Active Directory: En lugar de almacenar la informacin de zona en
un archivo de texto, se almacena en Active Directory. Las actualizaciones de la zona
se producen automticamente durante la replicacin de Active Directory. Cree una
zona integrada de Active Directory para simplificar el planeamiento y la configuracin
de un espacio de nombres DNS. No es necesario configurar servidores DNS para
especificar cmo y cundo se producen las actualizaciones, ya que Active Directory
mantiene la informacin de zona.
Zona Stub: La zona Stub son las copias de una zona que contienen solamente los
registros que son necesarios identificar en el servidor autoritativo DNS para esa zona.
Una zona stub contiene un subconjunto de datos de la zona que consisten en registros
SOA, NS, y A. Las zona Stub puede ser utilizada donde un servidor interno DNS
representa al Root en lugar de los Root Servers de Internet.
248
I 249
I 251
En la mayora de las bsquedas de DNS los clientes suelen realizar una bsqueda
directa, que es una solicitud para asignar un nombre de equipo a una direccin IP.
DNS proporciona tambin un proceso de bsqueda inversa, que permite a los clientes
solicitar un nombre de equipo en funcin de la direccin IP del equipo.
252
Para cada zona, el servidor que mantiene los archivos de zona principal estndar se
llama servidor principal, y los servidores que alojan los archivos de zona secundaria
estndar se llaman servidores secundarios. Un servidor DNS puede alojar el
archivo de zona principal estndar (como servidor principal) de una zona y el archivo
de zona secundaria estndar (como servidor secundario) de otra zona.
I 253
Consulta simple. Este tipo de consulta realiza una prueba local mediante
el uso del cliente DNS para consultar a un servidor DNS.
254
Uso de Nslookup
Nslookup es la utilidad de diagnstico principal del servicio Servidor DNS y se
instala con TCP/IP. Puede utilizar Nslookup para ver los registros de recursos y las
consultas directas a cualquier servidor DNS, incluidas las implementaciones de DNS
en UNIX. Nslookup tiene dos modos:
Descripcin
-opcin
equipo -
-servidor
256
CAPTULO 11
WINS Windows Internet Name Service W
I 257
Una vez que se ha configurado con WINS como mtodo de resolucin de nombres, el
cliente tambin lo usar para llevar a cabo consultas de nombres NetBIOS. Para ello
debe realizar las acciones siguientes:
1. Si el cliente no puede resolver el nombre en su cach, enva una consulta de
nombre a su servidor WINS principal. Si ste no responde, el cliente enviar la
solicitud dos veces ms.
2. Si el cliente no recibe una respuesta del servidor WINS principal, vuelve a
enviar la solicitud a todos los servidores WINS adicionales, configurados en el
cliente. Si un servidor WINS resuelve el nombre, responder al cliente con la
direccin IP del nombre NetBIOS solicitado.
3. En caso que no se reciba ninguna respuesta, el servidor WINS enviar un
mensaje indicando que el nombre no se encuentra, y el cliente pasar al
siguiente mtodo de resolucin de nombres configurado.
Instalacin de WINS
Para crear un servidor WINS, instale WINS en un equipo donde se ejecute Windows
Server 2003.
Para instalar WINS deber:
1.
Hacer doble click en Add / remove programs del Panel de control.
2.
Hacer click en Add / remove Windows components.
3.
Hacer click en Network Services y en Details de la pgina Windows
components del Asistente para componentes de Windows, en Components.
4.
Activar la casilla de verificacin WINS Service En el cuadro de dilogo
Network Services, en Subcomponents, y hacer click en Ok.
5.
Hacer click en Next.
4.2. Estudio de los registros de la base de datos WINS
Estado. El estado de la entrada de la base de datos, que puede ser Activo, Liberado
o Desechado. Si el estado de la entrada es Desechado, sta ya no estar activa y se
quitar de la base de datos.
Propietario. El servidor WINS desde que se origina la entrada. Debido a la
replicacin, no es necesariamente el mismo servidor desde el que se est viendo la
base de datos.
Versin. Nmero hexadecimal nico, asignado por el servidor WINS durante el
registro de nombres. Los asociados del servidor lo utilizan para identificar nuevos
registros durante la replicacin.
Caducidad. Muestra la fecha de caducidad de la entrada. Cuando un replicado se
almacena en la base de datos, los datos de caducidad correspondientes se establecen
de acuerdo con la hora del servidor WINS de recepcin, adems del intervalo de
renovacin establecido en el cliente.
4.3. Replicacin de WINS
Definicin
La replicacin Push es el proceso de copia de los registros actualizados desde un
WINS Server a otros, siempre que el WINS Server que contenga datos actualizados,
alcance un valor especificado de cambios.
El proceso de replicacin Push funciona de la siguiente forma:
1.
El Push Partner notifica a sus Replication Partners, siempre que el nmero de
cambios a su base de datos del WINS pase un valor especfico configurable. Por
ejemplo, Usted puede configurar el Push Partner para notificar a los Replication
Partners cuando ocurran 50 cambios en la base.
2.
Cuando los Replication Partners respondan a la notificacin con un pedido de
rplica, el Push Partner enva la rplica de las entradas nuevas en la base.
Cmo funciona una replicacin Pull?
260
262
I 263
El integrar WINS con DNS habilita a los clientes a usar exclusivamente DNS para la
resolucin de nombres. Los clientes podrn acceder a los datos de WINS a travs del
DNS server. Sin embargo, el DNS Server no puede localizar recursos sin realizar una
query a WINS. En Windows Server 2003, Usted puede configurar integracin entre
WINS y DNS para habilitar a clientes no-WINS para resolver nombres NetBIOS,
usando un DNS Server.
Usted puede configurar DNS integrado con WINS Servers.
Para configurar una zona DNS para uso de WINS lookup deber:
1.
Abrir DNS en el men Administrative Tools.
2.
Expandir, en la consola DNS, el server donde est la zona a configurar,
expandir Forward Lookup Zones, y luego hacer click en la zona.
3.
Hacer click derecho en la zona, y luego en Properties.
4.
Seleccionar el cuadro Use WINS forward lookup, del cuadro Properties, en
WINS.
5.
Ingresar la direccin IP del WINS Server, del cuadro IP address, y luego hacer
click en Add.
264
CAPTULO 12
IIS Internet Information Server 6.0TER
Microsoft Internet Information Server 6.0 es un servidor Web al que se le han aadido
las caractersticas de servidor de archivos y aplicaciones, diseado para el sistema
operativo Windows Server 2003. El IIS 6.0 es el componente bsico para la
implementacin de una solucin Intranet o Internet.
Servidor de Aplicaciones
El IIS le permite a los diseadores de software que organicen un nueva generacin de
Contenido dinmico y atractivo para el WEB. IIS soporta completamente sistemas de
programacin como visual basic, VBScripts, Microsoft Java Scripts y componentes
java. Adicionalmente da soporte para CGI (Common Gateway Interfase), y winCGI
para programas basados en la web e Internet Server Aplication Programming
I 265
Servicios Internet
IIS proporciona soporte a estndares Internet tales como los servicios de WWW World
Wide Web, File Transfer Propotocol (FTP), Simple Mail Transfer Protocol (SMTP) y
Network News Transfer Protocol (NNTP).
Servicio WWW
Microsoft World Wide Web (WWW) soporta HTTP, permitiendo a usuarios publicar
contenido en Internet. La Web es el servicio mas grafico en la Internet y tiene las mas
sofisticadas capacidades de enlace. Sin importar si su Site esta en una Intranet o en
Internet. Los principios para la publicacin son los mismos
Servicio FTP
Microsoft File Transfer Protocol service proporciona la transferencia de archivos entre
computadores usando FTP uno de los principales protocolos de la pila TCP-IP. Los FTP
Sites permite que Ud.
Servicio SMTP
El servicio SMTP permite que el IIS se convierta en un cliente del correo SMTP esto
permite que una aplicacin web sea capaz de enviar y recibir mensajes. Adems el
administrador puede recibir correo en funcin de cientos sucesos en el Web Server.
Servicio NNTP
El Network News Transfer Protocol es un estndar comercial diseado para soportar
grupos de discusin de solo lectura, moderados o privados. Proporcionar a los
clientes acceso a discusiones
Servidores Virtuales
Mltiples nombres de dominio pueden ser almacenados en un servidor web.
Existen tres mtodos para el almacenamiento de servidores virtuales en el IIS.
1. Otener una nica direccin IP para cada nombre de dominio
2. Host Headers (Encabezado de anfitrin). permite a varios servidores virtuales
se almacenen en un nico IIS con una nica direccin IP.
3. Es asignar un nico puerto a cada servidor virtual.
266
Ventajas
Los servidores virtuales permiten almacenar mltiples servidores WWW o FTP en un
solo Equipo, reduciendo la necesidad de ubicar un equipo y software para cada Site.
Los servidores Virtuales usando Host Headers o puerto usan una nica direccin IP
para ser usada por mltiples Sites. Adicionalmente se tiene la ventaja de una
administracin centralizada.
Desventajas
Almacenar varios servidores virtuales en la misma computadora puede reducir el
rendimiento general del servidor. Los servidores virtuales que usan host headers
requieren de browsers que cumplan con la versin 1.1 del protocolo HTTP.
Directorios Virtuales
Un directorio virtual es una carpeta que para los usuarios aparenta esta en la raiz
Wwwroot (Directorio hogar). Sin embargo un directorio virtual puede esta ubicado en
realidad en cualquier en cualquier computadora del dominio Windows 2000, los
directorios virtuales pueden ser creados en carpetas o directorios ubicados en :
Ventajas
Los directorios virtuales ofrecen al administrador la flexibilidad para decidir donde
ubicar los archivos para facilitar el mantenimiento y administracin de los contenidos
de los servidores FTP y WWW.
Desventajas
La implementacin de un directorio virtual puede significar una degradacin en el
rendimiento del sistema cuando se accesan a directorios almacenados en otro equipo.
Esta degradacin del rendimiento esta relacionado con la velocidad de transferencia
de data a travs de la red.
Local virtual directory
Los directorios virtuales ubicados en el mismo equipo en el que se esta ejecutando el
IIS.
Cuando ud configura un local virtual directory ud podr asignarle un alias al directorio,
este alias puede ser el nombre del directorio o cualquier otro nombre que lo
identifique asi como la ruta del directorio virtual.
Remote virtual directory
Los Directorios virtuales pueden esta creados en otros equipos o computadores que
no ejecutan el IIS.
Cuando ud configura un remote virtual directory ud podr asignarle un alias al
directorio, este alias puede ser el nombre del directorio o cualquier otro nombre que
lo identifique as como la ruta del directorio virtual. En formato UNC adicionalmente
tambien deberan ingresar el nombre de un usuario y su contrasea validos, todos los
visitantes que accedan al directorio virtual usarn automticamente esta cuenta de
usuario.
I 267
Es un punto central para configurar roles en Windows Server 2003, y ahora incluye el
rol de servidor de aplicaciones. Para tener acceso al Asistente para configurar su
servidor, haga click en Aade o Remueve Roles del Asistente Administre su servidor.
Este rol sustituye el rol existente del servidor Web. Despus de instalar este nuevo
rol, la pgina Administre su servidor, tambin incluir una entrada para el nuevo rol.
Para instalar IIS 6.0 en Windows Server 2003, deber:
1.
Desde el control panel, hacer doble-click en Aadir/Remover Programas.
2.
Hacer click en Componentes de Windows.
3.
Seleccionar Servidor de Aplicaciones y hacer click en Detalles.
4.
Seleccionar el cuadro Internet Information Services.
5.
Introducir el CD de Windows Server 2003, una vez que se le pida.
6.
Realizar la comprobacin, una vez finalizado el proceso de instalacin.
268
7.
8.
Internet Information Server 6.0 se instala con una serie de servicios adicionales como
Extensiones de servidor Front Page 2002, Impresin de Internet , Servicio de
Protocolo de transferencia de archivos FTP , Servicios NNTP, Servicios SMTP y
servicios World Wide Web.
I 269
Puerto TCP .- Este campo determina el Puerto con el cual este servicio sera
asociado
Conexiones
Seleccione esta opcin para permitir el tiempo de espera de la conexin por defecto
son 120 sg.
270
Habilitar Registro
Selecina esta opcin para habilitar las caractersticas con las que se registraran los
eventos relacitivos al sitio web.
Si Ud., habilita la bitcora podr seleccionar una de estas opciones:
ODBC Logging
Rendimiento
Esta pantalla permite definir los parmetros de rendimiento para el Sitio Web.
Ajustar el rendimiento consiste en indicar cuantas conexiones por da uno espera
atender. Si el numero de definido es ligeramente superior al numero de conexiones
reales. Lo conexiones sern atendidas rpidamente mejorando el rendimiento. Si el
numero seleccionado es muy grande en relacin al numero real de conexiones
atendidas la memoria del servidor es desperdiciada reduciendo el rendimiento general
del equipo
I 271
Filtros ISAPI
Usar esta ficha de propiedades para configurar las opciones de los filtros ISAPI. Los
ISAPI pueden ser usados para ejecutar aplicaciones remotas. La tabla muestra los
filtros cargados o deshabilitados.
272
Directorio Particular
Use esta ficha de propiedades para cambiar la ubicacin y propiedades del directorio
raz.
Ud puede cambiar la ubicacin del directorio raz a una de las siguientes ubicaciones:
1. Un directorio de este equipo
2. Un recurso compartido de otro equipo
3. Una redireccion a una direccion URL
I 273
Permisos de acceso
Los permisos de acceso estn disponibles cuando se esta trabajando con directorios
locales o un directorio compartido. Use estas casillas de verificacin para determinar
el tipo de acceso permitido sobre el directorio.
Control de contenido
El control de contenido aparece cuando Ud. Esta trabajando con un directorio local o
un directorio compartido.
274
Front page web seleccione esta casilla de verificacin para crear una Front
page para este directorio.
Configuracin de aplicaciones
Una aplicacin esta definida como todos los directorio y archivos contenidos en un
directorio marcado como un punto de inicio de aplicacin hasta otro punto de inicio. Si
Ud. Hace su de su home directory un punto de inicio de aplicacin todos los
directorios fsicos y virtuales contenidos en su Site pueden participar en la aplicacin.
Para hacer este directorio un punto de inicio de aplicacin. Haga click en el botn
Create. Para desvincular este home Directory de la aplicacin haga click en el botn
Remove. Escriba el nombre de la aplicacin en el campo de texto Name. El nombre
apararecera en la hoja o ficha de propiedades para cualquier directorio contenido
dentro de los limites de la aplicacin.
Permisos Script
Configuracin
Para configurar las propiedades de la aplicacin haga click en el botn configuration.
Ud. puede seleccionar las siguientes hojas de propiedades:
Aplication Mappings use esta hoja o ficha de propiedades para sealar las
extensiones de nombres de archivos a las aplicaciones que procesen estos
archivos.
Active Service Pages (ASP) use esta hoja de propiedades par definir las
opciones de control de ejecucin de las ASP
Other Use esta ficha de propiedades para cambiar los valores de Time-out
de los CGI Scripts.
Documentos
E sta casilla de verificacin permite definir las extensiones de los documentos que
sern mostrados cuando la solicitud de bsqueda no contenga un nombre especifico
de archivo HTML. Los documentos por omisin pueden ser el home page del directorio
o in documento ndice que contenga links al contenido del Site.
I 275
Ud. puede indicar mas de documento por omisin. Para indicar mas de un documento
haga click en agregar y escriba el nombre del documento. Cuando el browser solicita
el contenido de un Sitio sin especificar un documento el servidor web busca en el
directorio el documento por omisin en el orden en que se muestra en la lista.
Seguridad de directorios
Use la seguridad de directorio para configurar las caractersticas de identificacin de
los usuarios.
276
Comunicaciones Seguras
La comunicacin segura usa llaves para crear un certificado digital el cual es usado
para establecer una conexin segura que utiliza una seal encriptada. Use el botn
Key Manager para iniciar el proceso de recepcin de un certificado digital para este
recurso.
I 277
E ncabezados HTTP
Use esta hoja de propiedades para configurar los valores devueltos por el browser in
la cabecera de las paginas HTML.
278
Clasificacion de Contenido
Ud. puede configurar su web Server content raiting para insertar etiquetas
descriptivas en sus paginas http. Algunos browsers tales como Microsoft Internet
Explorer 3.0 pueden detectar el contenido de estas etiquetas.
Tipos MIME
Selecione el boton File Types para configurar Multipurpose Internet Mail Extensions
(MIME) . Esta opcin configura los tipos de archivos que el servicio web retornara a
los browsers.
Errores Personalizados
Permite responder al browser con mensajes personalizados ante un determinado
error. Los administradores pueden usar los errores por defecto de la versin http 1.1
o personalizarlos con su propio contenido.
I 279
280
Autenticacion de usuarios
La necesidad de verificar la identidad de los usuarios ha llevado al desarrollo de
mtodos de auteticacion que permitan asegurar la identidad del usuario antes de
darle acceso a los recursos.
Comunicacin encriptada
Otro de los mtodos que garantizan la integridad de la data es la encriptacin que se
puede usar a nivel de las empresas para asegurar o verificar sus identidades
(certificados digitales)
Auditoria
La auditoria es otra de las caractersticas que se pueden implementar para mejorar la
seguridad de la red y permite tener un registro de los eventos que podran ser el
indicio de una conexin no autorizada.
Acceso IP
Ud. Puede definir que direcciones IP tiene permitido el acceso al web y a que
direcciones IP se les ha denegado el acceso.
Autenticacion de Usuario
Ud. Puede definir que tipo de verificacin se aplica a los usuarios para acceder a los
recursos.
Permisos Web
Ud. puede definir que permisos tiene sobre el contenido en la web sobre cada site
especifico Ud. puede aplicar un conjunto de permisos independientes que se aplicaran
a los usuarios que acceden a este recurso.
Seguridad de Archivo
Esta opcin descansa sobre la seguridad proporcionada por el sistema de archivos
NTFS y que a diferencia de los permisos Web que se aplican a todos los usuarios estos
se pueden asignar a cada usuario.
I 281
Comunicacin encriptada
La comunicacin encriptada pretende dar privacidad a las comunicaciones en la que
se intercambia informacin sensible. La necesidad de privacidad y autenticacin sobre
redes no seguras como es el caso de Internet.
Los procesos de encriptacin o protocolos de encriptacin emplean certificados
digitales que han sido diseados para satisfacer esta necesidad.
Firmas digitales
Las firmas digital son usadas para verificar la autora o identidad no para enviar
mensajes, el que enva usa su llave privada para generar una firna digital que es
enviada junto con el mensaje, el receptor una vez recibido el mensaje usa la llave
publica del que enva para validar la firma. Ya que la llave publica es la nica que
puede validar la firma, la firma digital es prueba de identidad del que enva.
282
Sobres Digitales
Los sobres digitales son usados para enviar mensajes privados que solo pueden ser
entendidos por un determinado destinatario. Para crear un sobre digital el remitente
encripta el mensaje usando la clave publica del destinario. El mensaje solo puede ser
desencriptado por el destinatario haciendo uso de su llave privada por lo tanto el
destinatario es el nico capaz de descifrar el mensaje.
I 283
Contenido dinamico
Usando ASP permitimos a los desarrolladores lograr con un esfuerzo relativamente
pequeo contenido dinmico que se personaliza en funcin de las preferencias del
usuario ubicacin geogrfica etc.
284
El Servicio FTP
El Protocolo de Transferencia de archivos FTP es el protocolo usado para transferir
archivos entre dos computadoras en una red TCP-IP. FTP fue uno de los primeros
protocolos ms usado en las redes TCP/IP y el Internet. Aunque La World Wide Web
(WWW) ha reemplazado la mayora de las funciones de [FTP], todava se usa para
copiar archivos entre los clientes y servidores en la Internet.
Se usa FTP para transferir archivos entre computadoras, ambas computadoras deben
soportar sus respectivos papeles FTP. (Servidor / cliente). Por ejemplo, uno necesita
ser un cliente de FTP y el otro un servidor de FTP. El cliente de FTP puede emitir los
rdenes al servidor para descargar y cargar archivos y crear y cambiar los directorios
en el servidor.
FTP usa TCP como su transporte para todas las comunicaciones e intercambio de
datos entre el cliente y el servidor. TCP es un protocolo orientado a la conexin. lo
que significa que las sesiones de comunicaciones se establece entre el cliente y el
servidor antes de que el datos se transmitan. La conexin permanece activa durante
toda la sesin de FTP. Las sesiones orientadas a la conexin son conocidas por su
fiabilidad y caractersticas de recuperacin de error. Estos rasgos incluyen lo
siguiente:
Flow control Debido a que tanto el cliente como el servidor participan en la
transmisin de los paquetes. se elimina cualquier problema potencial de sobre carga y
elimina virtualmente la perdida de paquetes.
Acknowledgment La computadora que enva los paquetes de los datos espera un
reconocimiento (ACK) de la computadora del destino. este reconocimiento verifica que
el paquete se recibi con xito en el host destino.
Retransmission Si la computadora que transmite no recibe un ACK en un periodo
especificado de tiempo. asume que el paquete se perdi o se ha corrompido y
retransmite el paquete.
Sequencing Todos los paquetes se numeran y envan en secuencia para que la
computadora receptora pueda reorganizar los datos.
Mltiples dominios de nombres Internet pueden estar alojados en una nica
computadora ejecutando Microsoft Internet Information Server 6.0 (IIS) mediante el
uso de los servidores virtuales. Para organizar los servidores virtuales para el servicio
FTP en el IIS, usted debe obtener un nico identificador IP el cual ser asociado con
los nmeros de puerto para cada dominio de nombre Internet. Usted no puede usar
Host Headers para crear un nico servidor virtual FTP.
Ventajas
Los servidores virtuales le permiten organizar los mltiples sitios FTP en una
computadora, reduciendo la necesidad de asignar una computadora y software para
cada sitio. Los servidores virtuales hacen posible la administracin centralizada y la
actualizacin de manera simple de software del servidor.
Desventajas
Los servidores virtuales mltiples alojados en la misma computadora pueden reducir
el rendimiento general del servidor.
I 285
FTP Site
Use esta hoja de propiedad para configurar la identificacin del site FTP, especifique el
nmero de conexiones permitidas, y habilite la bitacora para el site FTP.
Identificacion de sitio FTP
286
Puerto TCP . Esta caja del dilogo determina el puerto en que cada servicio
correr
Habilitar Registro
Seleccione esta opcin para habilitar la caracterstica de registro de sucesos que
puede grabar su Web Site. los detalles sobre la actividad del usuario son creados y
almacenados en el formato de su eleccin.
El botn de Propiedades permite acceder a la pantalla Microsoft Loggibg
Properties En el formato apropiado del registro que usted ha escogido. Por ejemplo,
pulsando el botn WC3 se mostraran las propiedades del Formato extendido de
Archivo que le permitira escoger con que frecuencia crear los nuevos registros,
especificar el directorio del archivo para el registro , y seleccione las propiedades
extendidas adicionales para la bitacora.
I 287
C uentas de Seguridad
Use esta ficha para controlar. qu usuarios pueden acceder su servidor y para
especificar qu cuenta usara para las demandas de logon de clientes annimos.
Anonymous Connections
Seleccione el casillero de verificacin Permitir conexiones anonimas para permitir
conectarse a su servidor FTP
Mensajes
Use esta ficha de propiedades para crear los mensajes que se desplegarn en los
navegadores que visiten su site. Todos los campos del mensaje estn por defecto en
blanco.
Bienvenida. Esta caja de dilogo almacena el mensaje que se desplegar a los
clientes cuando ellos se conectan al servidor de FTP.
Salida. Esta caja de dilogo almacena el mensaje que se desplegar a los clientes
cuando ellos abandonan el servidor FTP.
N umero Maximo de Conexiones. Esta de caja de dilogo almacena el mensaje
que se mostrara a los clientes que intentan conectar cuando el servicio de FTP ha
alcanzado el numero mximo de conexiones permitido.
288
I 289
Seguridad de Directorio
Use la ficha de propiedad the Directory para configurar los privilegios de acceso por
direccin de IP especfica. Esto le permite bloquear o conceder individualmente o
grupalmente acceso a su servidor.
Restricciones de Acceso TCP/IP
De forma predeterminada a todos los equipos se les :
Concedera el Acceso. Seleccione este botn para conceder el acceso por defecto a
todas las computadoras. Pulse el botn Add para listar las computadoras que se
negarn el acceso.
Denegara el Acceso. Seleccione este botn para negar el acceso por defecto a
todas las computadoras. Pulse el botn Add para listar las computadoras que se
concedern el acc
290
I 291
294
Mejoras SSL
Hay tres mejoras principales en Secure Sockets Layer (SSL) de IIS 6.0. Estas son:
Performance. IIS 5.0 ya proporcionaba el ms rpido software de implementacin
para SSL del mercado. Consecuentemente, el 50% de todos los sitios Web SSL corren
en IIS 5.0. IIS 6.0 SSL es incluso ms rpido. Microsoft ha mejorado la
implementacin de SSL para proveer ms performance y escalabilidad.
Remotable Certification Object. En IIS 5.0, los administradores no podan
manejar certificados SSL remotamente porque el cryptographic service provider y
certificate store no era remoto. Dado que los clientes manejan centenares o an
millares de servidores IIS con certificados SSL, necesitan una manera de manejar
certificados remotamente. Es por eso que el CertObject ahora permite que los clientes
realicen esto.
Selectable CryptographicService Provider. Si se habilita SSL, la performance
cae dramticamente porque la CPU tiene que realizar muchas operaciones de
criptografa intensiva. Sin embargo, ahora hay tarjetas aceleradoras basadas en
hardware que permiten sacar los datos de estos cmputos criptogrficos. Los
Cryptographic Service Providers pueden entonces poner sus propios Crypto API
providers en el sistema. Con IIS 6.0, es fcil seleccionar un Crypto API provider de
terceras partes.
Autorizacin y autentificacin
Si la autentificacin contesta a la pregunta "Quin es usted?", entonces la
autorizacin contestar a la pregunta "Qu puede usted hacer?". La autorizacin est
para permitir o negar a un usuario que realice una cierta operacin o tarea. Windows
Server 2003 integra .NET Passport como mecanismo soportado para la autentificacin
de IIS 6.0. IIS 6.0 ampla el uso de un nuevo framework de autorizacin que viene
con Windows Server 2003. Adems, los aplicativos Web pueden utilizar la autorizacin
del URL en tndem con Authorization Manager para controlar el acceso.
Integracin de .NET Passport con IIS 6.0
La integracin de .NET Passport con IIS 6.0 proporciona servicios de autentificacin
.NET Passport en el servidor Web base. .NET Passport 2.0 utiliza interfases de las
aplicaciones proporcionadas por componentes estndares Passport, por ejemplo
Secure Sockets Layer (SSL) Encryption, HTTP Redirects y cookies. Los
administradores pueden poner sus sitios y aplicativos Web a disposicin de la base
.NET Passport entera, la cual abarca cerca de 150.000.000 usuarios, sin tener que
ocuparse de la administracin de cuentas pblicas, por ejemplo la expiracin o el
aprovisionamiento de la contrasea.
Despus que haya autenticado a un usuario, con el .NET Passport Unique ID (PUID)
del usuario se podr mapear a una cuenta en Microsoft Active Directory - si tal
aprovisionamiento se ha configurado para sus sitios Web. El token es creado por la
Local Security Authority (LSA) para el usuario y el sistema de IIS 6.0 para la peticin
HTTP.
I 295
CAPTULO 15
Monitoreo y Optimizacin del Rendimiento
Como administrador de la Red Usted Monitorea los recursos del sistema en orden de
evaluar la sobrecarga del servidor , observa los cambios y las tendencias en los
recursos usados ,evalua los cambios en la configuracin del sistema y diagnostica los
problemas dados. Windows Server 2003 incluye herramientas para monitorear
recursos del sistema .Task manager presenta un conjunto de programas y procesos
que estan ejecutando en su servidor y provee un resumen del procesador y la
memoria usada por el sistema ,El Monitor del sistema y los registros de rendimiento
proveen datos detallados acerca de los recursos usados por un componente especifico
del sistema operativo que se esta ejecutando en la maquina.
Failed Access
Security Event
Usuario
Registro
X
Los eventos son acciones realizadas por el usuario o cualquier ocurrencia de Windows
Server 2003 u aplicacin, estas son registrados en base a una poltica de auditoria. Se
monitorea los eventos para identificar los posibles problemas de seguridad, el uso de
recursos y errores de las aplicaciones o del mismo sistema.
296
Despus de que un evento ha sido registrado, se le debe ver y analizar para detectar
si es de consideracin administrativa
Basados en los anlisis de los registros uno deber resolver problemas de violacin de
seguridad, problemas de direcciones o recursos que sean necesarios reubicar.
Asimismo podrs verte en la necesidad de recomendar cambios en la poltica de
auditoria, configuraciones de auditoria, de seguridad, de aplicaciones y del sistema.
El Event log permite monitorear informacin del hardware, software, problema del sistema y
seguridad.
Uno ve los registros para detectar actividades y eventos que requieran atencin. Los registros
tambin pueden ser usados como un historial de los eventos. Windows 2000 registra los eventos
en tres categoras.
El system log. Este registro contiene los eventos relacionados con los
componentes del Windows 2000. Por ejemplo: Falla en alguno de los
drivers u otro componente del sistema durante el inicio del sistema.
Windows 2000 predetermina la forma como son registrados estos eventos.
Informacion
Alerta
Error
Hay tres tipos de eventos tanto para el system log como para el application log:
Informacion, Peligro y Error. Cada evento contiene informacin detallada, tal como el
tipo de evento y el servicio al que esta asociado. Use los eventos de informacin para
I 297
identificar con certeza ciertos eventos y tomar medidas al respecto. Los eventos del
sistema son generados por Windows 2000 y registrados en el system log .
Los eventos de aplicaciones son generalmente producidos por las aplicaciones y son
registrados en el application log. Los diseadores de sistemas y aplicaciones
determinan que eventos van a ser registrados, la siguiente tabla lista los tipos de
eventos
Tipo de evento
Descripcin
Informacin :
Alerta :
Error :
298
Nota Adems de poder ver el Event Viewer localmente, uno puede ver el de
un equipo remoto. Para poder hacerlo, en el Event Viewer, hacer click
derecho en el Event Viewer (Local). Luego en el men contextual seleccionar
Connect to another computer. Seleccione el dominio en el que esta el equipo
remoto y luego seleccinelo.
Descripcin
Muestra el componente de Windows 2000 o aplicacin o
evento de seguridad que lo causo.
Define el evento, tal como lo define la fuente, para que el
programador pueda a futuro definir el evento mientras
ocurre.
Muestra el tipo de evento: Error, Warning, or Information.
Muestra el nombre del usuario si el evento se le atribuye.
Muestra el nombre exacto de la computadora donde
ocurri el evento.
En forma de texto describe el evento
Muestra nmeros binarios generados por el evento. Esta
informacin es mejor comprendida por alguien familiar a
la fuente de la aplicacin.
Ubicando eventos
Para buscar un determinado evento se debe usar el Event Viewer. Realizando las
siguientes tipo de busquedas:
I 299
Propiedades
Descripcion
Tipo de evento
Fuente del evento
Categora
ID del evento
Usuario
Computer
De
ver,
a
fecha/hora
300
Opcin
Descripcin
Archivando eventos
Uno archiva registros para mantener un historial de eventos pasados para
compararlos con registros de otros tiempos en orden para seguir trends. Viendo
trends nos ayuda a determinar uso de recursos y planificar crecimiento. Asimismo se
pueden usar los registros de seguridad para determinar patrones del uso no
autorizado de recursos. Muchas organizaciones tienen polticas relacionadas con el
resguardo de registros durante un tiempo especfico. Algunas organizaciones como
agencias del gobierno y bancos, resguardan sus registros acorde con lo estipulado por
la ley
Para guardar un registro o verlo, debe encontrarse en el Event Viewer. En el men
Action, seleccione una de las siguientes opciones listadas en esta tabla.
Para
Hacer
Archivar registro
302
Monitoreando Programas
Use la etiqueta Applications del Task Manager para ver el estado de las aplicaciones
ejecutndose en el equipo y para identificar los procesos asociados a las aplicaciones.
Asimismo use esta etiqueta para cancelar cualquier aplicacin que no responda
En la etiqueta Application puedes hacer las siguientes labores:
Ver cada una de las aplicaciones que se estn ejecutando junto con su estado,
este estado es corriendo (Running) o No responde (Not Responding).
Terminar con una aplicacin que no responde. Para terminar con una
aplicacin que no responde, debe presionar CTRL+ALT+DELETE, click en Task
Manager, luego click en la etiqueta Applications, seleccione el programa que
no funciona y luego click en End Task.
Identificar un proceso asociado a una aplicacin. Para identificar un proceso
asociado a una aplicacin, seleccione la aplicacin de la cual desea averiguar
sus procesos, click derecho en la aplicacin luego seleccionar Go To Process.
La etiqueta Processes aparece y seala al proceso asociado
I 303
Monitoreo de Procesos
Use la etiqueta Processes para ver una lista de todos los procesos
ejecutndose y sus estadsticas. Las propiedades nos dan informacin sobre
cada proceso, informacin tal como tiempo total del procesador, cantidad total
de memoria en uso. La lista que aparece en la etiqueta Processes incluye a
todos los procesos que estn corriendo en su espacio de memoria asignado,
incluyendo a todas las aplicaciones y servicios del sistema. Ambos el usuario y
el sistema pueden iniciar procesos, pero solo el usuario puede terminar con un
proceso que el mismo a iniciado.
Descripcin
CPU
CPU Time
Mem Usage
proceso.
I/O Read Bytes
I/O Write Bytes
304
Select
Monitoreando el Rendimiento
Description
El numero total de handles, threads (Hilos) y procesos
ejecutandose en la computadora. Un handle es una variable
que es usada para accesar a un dispositivo u objeto como un
archivo, una ventana o un cuadro de dialogo. Un thread es
una unidad de ejecucin con un proceso.
Physical
Memory
Total: Cantidad de memoria RAM, en kilobytes, instalados
en el equipo.
Available: Cantidad de memoria, en kilobytes, disponible
para los procesos.
System Cache: Cantidad de memoria, en kilobytes, liberada
al archive de cache en demanda
Commit
I 305
Charge
Total: Cantidad de memoria virtual, en kilobytes, en uso por
todos los procesos.
Memoria Virtual es espacio en el disco duro que es usado
como memoria RAM
Limit: Cantidad de memoria virtual, en kilobytes, que puede
ser asignada a los procesos sin incrementar el tamao del
archivo de paginacin. El archive de paginacin mueve la
informacin entre la memoria fsica y el disco duro
Peak: Cantidad mxima de memoria virtual, en kilobytes,
usada en la sesin. El valor maximo puede exceder el limite
si la memoria virtual es expandida
Kernel
paginada, en kilobytes.
Memory
306
Entender como los Objetos las instancias y los counter estn relacionados es vital
para poder usar de manera eficiente el System Monitor. Estos son:
Agregando Contadores
308
Descripcin
Area en memoria que guarda informacion
RAM
usado
para
guarder
codigos
Processor
de
Server
System
Thread
lista.
Nota Click en Explain para ver una descripcion de los Counters listados en el
cuadro de add Counters.
4. Click en All counters o Select counters from list para seleccionar un
Counter en especial.
5. Si un objeto tiene instancias, click All instances o en Select instances
from list para escoger una sola instancia.
6. Click Add, y luego click Close para cerrar el cuadro de Add Counters.
I 309
310
Usando Alertas
Alertas
Las Alertas son utiles para notificar sobre un Counter en particular que no se
esta revisando y sin embargo deseamos que se nos notifique si este sobrepasa
o cae por debajo de un valor, para que uno pueda investigar y determiner la
causa del cambio. Por ejemplo se puede establecer alertas cuando ms del
80% del disco duro esta lleno o la cantidad de intentos de ingreso al sistema
excede un valor numrico especfico. Hay 3 tareas relacionadas con las alertas.
Ellas son:
1. Selecciona un Counter para seguir una actividad especfica del sistema.
2. Establece un valor para la actividad.
3. Especifica una accin cuando el valor que se ha definido es excedido o cae
por debajo de el:
Enva un mensaje de red.
Corre un programa.
Empieza un registro.
Nota Para correr el Performance Logs y Alerts, Debe tener el derecho para
empezar o para configurar servicios en el sistema. Un administrador tiene este
derecho por defecto.
I 311
Configurando alertas
Use Performance Logs y Alerts en la consola Performance para establecer una alerta.
Para establecer una alerta realice los siguientes pasos:
1. En el diagrama de arbol, doble-click en Performance Logs y Alerts, y luego click
en Alerts.
2. En el panel de detalles, click derecho en New Alert Setting, y luego dele un
nombre a la alerta.
3. En la etiqueta General , Ingrese una descripcion de la alerta en el cuadro
Comment.
4. Dele un click en Add para especificar si es un objeto, un counter, una instancia, o
actualizar informacin en el cuadro de Add Counters.
5. Luego de agragar Counters, especifica propiedades para el intervalo de prueba y el
valor de alerta en la etiqueta General.
6. En la etiqueta Action, aseguerese que Log an entry in the application event
log est seleccionado. Tambin puede especificar el mensaje de red a ser enviado a
la maquina de donde ocurri la alerta.
7. En la etiqueta Schedule, defina los parmetros de inicio y fin del registro en Start
scan y Stop scan, y click en OK.
Optimizando Rendimiento
Optimiza el rendimiento para que el sistema operativo y las aplicaciones usen los
recursos mas eficientemente. Un baseline es el nivel de rendimiento aceptable que
consideramos cuando el equipo maneja una carga de trabajo determinada y corriendo
todos los servicios. Un rendimiento del Baseline es un valor subjetivo, el
administradoe es el encargado de establecerlo conforme con una carga de trabajo y
uso standard. El Baseline puede ser medido en funcin del nivel de rendimiento
esperado por los usuarios, y puede ser incluido en un acuerdo de servicio establecido
con el texto.
Para mantener su Lineamiento lo ms importante de monitorear es:
Memoria.
Actividad de procesador.
Actividad de disco.
Actividad de red.
312
I 313
Situaciones en las que hay poca memoria pueden hacer mas lentas las
aplicaciones y servicios e impactar en el rendimiento de otros recursos del
sistema.
314
Descripcin
Pages/sec
Available
Bytes
Si el valor de Available Bytes esta por debajo de los valores definidos para el
sistema y el valor de Pages/sec se dispara continuamente, es muy probable
que la actual cantidad de memoria es insuficiente para las necesidades del
sistema.
Incrementa el tamao si
I 315
Los counters que son tiles para monitorear el rendimiento del procesador son:
Objeto
Counter
Descripcin
Procesador
% Processor Time
Sistema
Muestra el porcentaje de
tiempo
usado
por
el
procesador para atender a
un proceso. Un porcentaje
mayor de 80% significara
Contador
% Free Space
Descripcion
Reporta el porcentaje de espacio
libre en el disco
LogicalDisk
PhysicalDisk
Avg. Disk
Mide el tamao de las operaciones de
Bytes/Transfer I/O el disco es eficiente si transfiere
la informacion relativamente rapida
LogicalDisk
PhysicalDisk
I 317
LogicalDisk
PhysicalDisk
Disk Byte/sec
LogicalDisk
PhysicalDisk
Disk Transfer/sec
cuanta
318
Objeto
Counter
Descripcin
Network
Interface
Output Queue
Length
Network
Interface
Packets Outbound
Discarded
I 319
TransparenciaIPSec existe abajo del nivel de transporte, lo que hace que sea
transparente para las aplicaciones y usuarios, es decir, no hay necesidad de
cambiar las aplicaciones de red en el escritorio de un usuario cuando se
implementa IPSec en el firewall o en el enrutador.
AutenticacinLos servicios de autenticacin firmes evitan la interceptacin de
datos a travs de identidades falsas.
ConfidencialidadLos servicios de confidencialidad evitan el acceso no
autorizado a datos sensibles a medida que pasan entre las partes en
comunicacin.
Integridad de datosLos encabezados de autenticacin IP y las variaciones del
cdigo de control de autenticacin de mensajes de verificacin aseguran la
integridad de los datos durante la comunicacin.
Repeticin dinmica de clavesLa repeticin dinmica de claves durante la
comunicacin contnua ayuda a proteger contra ataques.
Enlaces seguros de extremo a extremoLa Seguridad IP de Windows
proporciona enlaces seguros de extremo a extremo para usuarios de redes
privadas, dentro del mismo dominio o a travs de cualquier dominio confiable en
la empresa.
Administracin centralizadaLos administradores de red utilizan polticas y
filtros de seguridad para proporcionar niveles de seguridad adecuados con base
en el usuario, el grupo de trabajo u otros criterios. La administracin centralizada
reduce los costos administrativos indirectos.
FlexibilidadLa flexibilidad de la Seguridad IP de Windows permite polticas que
pueden aplicarse en toda la empresa o en una sola estacin de trabajo. Estas son
todas buenas noticias para los administradores de red y otros profesionales de
informtica responsables de proteger la seguridad de la
informacin. El aumento significativo de intranets y la creciente integracin de
redes corporativas con Internet han provocado una mayor necesidad de
seguridad. A pesar de que la inquietud clsica de seguridad es proteger los datos
contra extraos, la Seguridad IP de Windows tambin proporciona proteccin
contra ataques de la fuente ms probable: el acceso no autorizado de personal
interno.
Ya sea que se establezcan perfiles de seguridad para grupos de trabajo clave o
para toda la red, el soporte de codificacin de la Seguridad IP de Windows puede
brindar a los administradores de red la tranquilidad que surge de proteger las
comunicaciones de una empresa.
Beneficios de la seguridad IP
La mayora de las estrategias de seguridad de red se han enfocado en evitar
ataques externos a la red de la organizacin. Los firewalls, enrutadores seguros y
autenticacin de seales de acceso de marcacin son ejemplos de los intentos
administrativos por eliminar amenazas externas. Sin embargo, reforzar el
permetro de una red no sirve para protegerla contra ataques originados desde
adentro.
De hecho, una organizacin puede perder una gran cantidad de informacin
sensible por ataques internos emprendidos por empleados miembros del personal
de soporte . Adems, los firewalls no ofrecen proteccin contra tales amenazas
internas. Uno de los grandes beneficios de la integracin de Windows Server
2003 con la Seguridad IP es la capacidad de proteccin contra ataques internos y
externos. De nuevo, esto se realiza en forma transparente, y no implica esfuerzos
ni costos adicionales para los usuarios individuales.
320
BENEFICIOS DE LA SEGURIDAD IP
I 321
HMAC-MD5
La funcin 95 de compendio de mensajes (MD5) es una funcin de verificacin
que produce un valor de 128 bits.
HMAC-SHA
El Algoritmo de verificacin segura (SHA) es una funcin de verificacin que
produce un valor de 160 bits. A pesar de que es un poco ms lento que
HMACMD5, el HMAC-SHA es ms seguro.
DES-CBC
Estndar de codificacin de datos (DES) El encadenamiento de bloques de cifras
(CBC) es un algoritmo de claves secretas utilizado para confidencialidad. Un
nmero aleatorio se genera y utiliza con la clave secreta para codificar los datos.
Estndares soportados y referencias
Windows Server 2003 da soporte completo y emplea protocolos publicados por
Internet Engineering Task Force. La implementacin cumple con los ltimos
borradores IETF propuestos en el grupo de trabajo IPSec, incluyendo documentos
completos de arquitectura y documentos pertenecientes a formatos y
transformaciones de encabezados, adems de los borradores ISAKMP/Oakley.
La Seguridad IP de Windows Server 2003 implementa el Protocolo de asociacin
de seguridad de Internet y administracin de claves (ISAKMP), utilizando el
protocolo de determinacin de claves Oakley, que permite la repeticin dinmica
de claves.
Documento estratgico sobre Seguridad IP para Windows Server 2003 Server
5 Protocolos flexibles de seguridad
Los protocolos de seguridad desarrollan varios servicios para garantizar las
comunicaciones de red. Windows Server 2003 utiliza los siguientes protocolos de
seguridad:
1. Protocolo de asociacin de seguridad de Internet y administracin de
claves
2. Determinacin de claves Oakley
3. Encabezado de autenticacin IP
4. Protocolo de seguridad de encapsulamiento IP
5. Protocolo de asociacin de seguridad de Internet y administracin de
claves
Antes de que los paquetes IP puedan ser transmitidos de una computadora a
otra,es necesario establecer una asociacin de seguridad (SA). Una SA es un
conjunto de parmetros que define servicios y mecanismos como las claves,
necesarios para proteger las comunicaciones de un protocolo de seguridad. Debe
existir una SA entre las dos partes en comunicacin que utilizan la Seguridad IP.
El Protocolo de asociacin de seguridad de Internet y administracin de claves
(ISAKMP) define la estructura comn para dar soporte al establecimiento de
asociaciones de seguridad. ISAKMP no est vinculado a ningn algoritmo, mtodo
de generacin de claves o protocolo de seguridad especficos.
Oakley
Oakley es un protocolo de determinacin de claves que utiliza el algoritmo de
intercambio de claves Diffie-Hellman. Oakley da soporte a la Confidencialidad
perfecta de retransmisin (PFS) que asegura que si una sola clave se
compromete, solo permite el acceso a los datos protegidos por esa clave. Nunca
reutiliza la clave que protege las comunicaciones para calcular claves adicionales
y nunca usa el material original de generacin de claves para calcular otra clave.
Encabezado de autenticacin IP
El Encabezado de autenticacin IP (AH) proporciona integridad, autenticacin y no
reproduccin. La confidencialidad no es una propiedad de AH. AH utiliza un
algoritmo para calcular la verificacin de mensajes en clave (un HMAC) para cada
paquete IP.
322
Instalar la seguridad IP
Windows Server 2003 se ha diseado para proporcionar muy altos niveles de
seguridad de datos, aunados a la facilidad de implementacin y administracin.
El resultado es la seguridad de la informacin en la empresa con bajos costos
totales de propiedad. Windows Server 2003 proporciona gran flexibilidad con
polticas de seguridad, de usuario y de dominio. El administrador de red puede
aplicar polticas a toda la empresa o para un solo usuario o estacin de trabajo.
Las polticas de seguridad se pueden implementar transparentemente, sin
necesidad de intervencin posterior del administrador de red y sin capacitar otra
vez a los usuarios.
A fin de establecer seguridad, un administrador de red debe llevar a cabo un
proceso de cuatro pasos:
1. Evaluar la informacin enviada a travs de la red e Internet.
2. Crear escenarios de comunicacin.
3. Determinar los modelos de seguridad requeridos por cada escenario.
4. Desarrollar polticas de seguridad utilizando el Administrador de seguridad
Evaluar la informacin
Crear escenarios
I 323
I 325
326
Recuperacin de datos
El EFS cuenta con soporte de recuperacin de datos. La infraestructura de
seguridad Windows 2000 refuerza la configuracin de claves de recuperacin de
datos. Puede utilizar la encriptacin de archivos slo si el sistema est configurado
con una o ms claves de recuperacin. El EFS permite que los agentes de
recuperacin configuren las claves pblicas que se utilizan para habilitar la
recuperacin de archivos. Utilizando la clave de recuperacin, slo est disponible
la clave de encriptacin del archivo generada de manera aleatoria y no una clave
privada de usuario esto asegura que ninguna otra informacin privada sea
revelada al agente de recuperacin de manera accidental.
La recuperacin de datos est pensada para la mayora de los ambientes
empresariales, en donde las organizaciones esperan poder recuperar los datos
encriptados por un empleado despus de que el empleado se retire, o cuando se
pierdan las claves de encriptacin. La poltica de recuperacin se puede definir en
el controlador de dominio de un dominio Windows. Esta poltica se refuerza en
todas las computadoras en dicho dominio. Los administradores de dominio tienen
el control de la poltica de recuperacin y pueden delegar esto a cuentas de
administradores de seguridad de datos, utilizando las funciones de delegacin del
Servicio de directorio Windows. Esto proporciona un control mejor y ms flexible
de quin est autorizado para recuperar datos encriptados. El EFS tambin soporta
diversos agentes de recuperacin, al permitir mltiples configuraciones clave de
recuperacin que proporcionen a las organizaciones redundancia y flexibilidad al
implementar sus procedimientos de recuperacin.
El EFS tambin se puede utilizar en un ambiente local. El EFS genera
automticamente claves de recuperacin y las guarda como claves de la mquina
en donde no hay dominio de Windows. Los usuarios locales tambin pueden
utilizar la herramienta de lnea de comandos para recuperar los datos, utilizando la
cuenta del administrador. Esto reduce la sobrecarga administrativa para un
usuario local.
I 327
antes. Por ejemplo, puede seguir abriendo el documento en Word y editarlo como
antes o abrir un archivo de texto utilizando N ot e p ad y hacer lo mismo.
Cualquier otro usuario que trate de abrir este archivo encriptado obtiene un error
de acceso denegado, debido a que el usuario no posee la clave para desencriptar
el archivo.
Los usuarios no debern encriptar los archivos en el directorio del sistema, pues
estos archivos se necesitan para que se inicie el sistema. Durante el proceso de
inicio, no hay una clave de usuario disponible para desencriptar los archivos. Dicha
operacin puede dejar inservible al sistema. Windows Explorer evita esto al hacer
fallar los intentos de encriptacin en archivos con el atributo del sistema.
El EFS tambin da a los usuarios la capacidad de transferir archivos encriptados a
travs de los sistemas. Las funciones de Exportar archivo encriptado e Importar
archivo encriptado son extensiones del comando Copiar en un indicador de
comandos Windows. Todo lo que el usuario debe hacer es especificar el archivo
encriptado como la fuente y otro archivo en un directorio no encriptado como el
destino con la opcin de exportar. El archivo exportado contina encriptado. El
usuario puede copiar entonces este archivo exportado a diferentes sistemas de
archivos, incluyendo FAT, cintas de respaldo o enviarlo como adjunto de un correo
electrnico como un archivo normal. Para poder utilizar el archivo en un sistema al
que se copia, el usuario especifica el archivo exportado como la fuente y un
nombre de archivo nuevo en un volumen NTFS como destino para importar el
archivo, con lo que el nuevo archivo se crea como un archivo encriptado.
Encriptacin de directorio
Los usuarios tambin pueden marcar directorios como encriptados utilizando el
men de contexto Windows Explorer. Marcar un directorio como encriptado
asegura que se encuiten todos los archivos futuros en dicho directorio de manera
predeterminada y que todos los subdirectorios futuros del mismo se marquen
como encriptados. La lista de archivos de directorio no est encintada y se pueden
enumerar archivos como siempre, en caso de que tenga suficiente acceso al
directorio.
Marcar los directorios para encriptacin es similar a encriptar archivos. Un usuario
selecciona el directorio y elige la opcin de encriptacin en Windows Explorer. En
este caso, el usuario tiene las opciones de marcar slo el directorio para
encriptacin o encriptar todos los archivos y subdirectorios bajo l. La
encriptacin de directorios brinda a los usuarios la capacidad de manejar sus
archivos importantes copindolos simplemente a directorios encriptados.
Desencriptacin de archivo o directorio
Los usuarios no necesitan desencriptar archivos o directorios para operaciones
normales debido a que el EFS brinda encriptacin y desencriptacin transparente
durante las escrituras y lecturas de datos. No obstante, dichas operaciones
pueden ser requeridas bajo circunstancias especiales en donde un usuario necesita
compartir un archivo encriptado con otros usuarios.
Los usuarios pueden desencriptar archivos y marcar directorios no encriptados
utilizando el men de contexto Windows Explorer. La operacin es similar a la
encriptacin. Realizar esta operacin en uno o ms archivos provoca que el EFS
desencripte el archivo completo y lo marque como no encriptado. En el caso de la
desencriptacin de un directorio, el men de contexto tambin brinda la opcin
de desencriptar todos los archivos y subdirectorios encriptados en dicho
directorio.
I 329
CAPTULO 15
Implemetacion y Administracion Remota A
Terminal Server
Permite el acceso de mltiples usuarios a Windows Server 2003, permitiendo que
varias personas inicien sesiones en una sola computadora simultneamente. Los
administradores pueden instalar aplicaciones basadas en Windows del Terminal
Server y ponerlas a disposicin de todos los clientes que se conecten con el servidor.
Aunque los usuarios pueden tener diversos hardware y sistemas operativos, la sesin
Terminal que se abre en el escritorio del cliente conserva el mismo aspecto y
funcionalidad para todos.
330
Entornos de Usuario
Caractersticas y ventajas
I 331
Instalacin Centralizada
Las
organizaciones
pueden
instalar
aplicaciones
de
negocios,
puesto que
el
Planificando la instalacin
Aplicaciones MS-DOS
Puesto que aplicaciones basadas en Microsoft MS-DOS nunca fueron diseadas para
a ambientes de trabajo mltiples, ejecutar aplicaciones MS-DOS en Terminal Server
puede retardar el funcionamiento del sistema con procesos ociosos. Si el
funcionamiento del servidor se retarda perceptiblemente cuando los usuarios utilizan
aplicaciones MS-DOS, se necesitar ajustar las configuraciones del sistema.
Requisitos de Hardware
I 333
Operating System
RAM
CPU
Video
Windows 2000
32 megabytes (MB)
Pentium
VGA
16 MB
486
VGA
Windows 98
16 MB
486
VGA
Windows 95
16 MB
386
VGA
16 MB
386
VGA
Vendor
Vendor
Vendor
Escritorio Remoto
Mediante el uso de Escritorio remoto para administracion, puede administrar uno o
varios equipos remotos desde una sola ubicacion. En una gran organizacion, puede
utilizar la administracion remota para administrar centralmente muchos equipos
ubicados en otros
edificios o incluso en otras ciudades. En una pequea
organizacin, puede utilizar la administracion remota para administrar un solo
servidor ubicado en una oficina adyacente.
Escritorio remoto para administracion proporciona acceso a un servidor desde un
equipo ubicado en otro lugar utilizando el Protocolo de escritorio remoto (RDP,
Remote Desktop Protocol). RDP transmite la interfaz de usuario a la sesion
cliente as como el teclado y las acciones del mouse desde el cliente al servidor.
Puede crear hasta dos conexiones remotas simultaneas. Cada sesion que inicie es
independiente de otras sesiones de cliente y de la sesion de consola del servidor.
Cuando utilice Escritorio remoto para administracion para iniciar sesion en el servidor
remoto, ser como si hubiera iniciado sesion en el servidor localmente.
Escritorio remoto para administracion proporciona dos herramientas que puede
utilizar para administrar un servidor remoto: Conexion a Escritorio remoto y el
complemento Escritorios remotos.Cada instancia de la herramienta Conexion a
Escritorio remoto crea su propia ventana y permite administrar un servidor
remoto por ventana. Siempre inicia una nueva sesion en el servidor. Conexion a
Escritorio remoto es una aplicacion cliente que permite conectarse a un servidor
una vez que la herramienta Escritorio remoto para administracion este
habilitada en el servidor.
336
I 337
Caractersticas de Usuario
Los patrones de uso de los usuarios de
computadoras
pueden
tener
un
impacto
significativo en el funcionamiento de Terminal
Server.
La prueba de funcionamiento de Microsoft
simula a usuarios en las tres categoras
siguientes:
Data-entry worker. Estos trabajadores funcionan tpicamente con un solo
aplicativo que utilizan para la entrada de datos (por ejemplo, aplicaciones de
negocio escritos en Visual Basic.
Structured-Task worker. Estos trabajadores ejecutan uno o dos programas al
mismo tiempo. Los usuarios tpicos ejecutan los programas que exige el sistema
informtico no pesado (por ejemplo, un procesador de textos y un browser). Los
programas se abren y cierran con frecuencia.
Knowledge worker. Los trabajadores de conocimiento ejecutan tres o ms
programas simultneamente, y generalmente dejan los programas abiertos.
Knowledge workers tambin pueden ejecutar programas que exigen al sistema
intensamente (por ejemplo, queries detalladas en grandes bases de datos).
338
Los usuarios que tienen cuentas en un Terminal Server se habilitan para iniciar sesin
en el servidor por defecto.
Para inhabilitar el proceso de conexin para un usuario, se debe limpiar el cuadro
Allow logon to Terminal Server en la lengeta Terminal Services Profile del
cuadro Properties para la cuenta del usuario, y luego hacer click en Apply. En esta
lengeta, Usted tambin puede especificar home directories y user profiles para los
usuarios.
I 339
340
1.
2.
3.
4.
5.
6.
7.
8.
1.
2.
1.
2.
I 341
342
I 343
Herramientas de Administracin
A continuacin, una muestra limitada de las herramientas de administracin que
pueden ayudarle a manejar sesiones remotas:
344
Event Viewer
Use Event Viewer, eventvwr.msc, para buscar los acontecimientos que pudieron haber
ocurrido como dialogos pop-up en la consola del servidor.
Command-line Utilities
Command-line utilities incluye lo siguiente:
Query User. Esta es una utilidad de lnea de comando, quser, listas usuarios activos
y desconectados.
Disconnect. Esta utilidad de lnea de comando, tsdiscon, desconecta la sesin. Un
procedimiento anlogo apaga el monitor mientras que deja funcionando de la
computadora. Desconectar, es tambin accesible con Start/Shutdown. Para volver a
conectar a la sesin, inciela simplemente al servidor, otra vez con el mismo usuario
desde Remote Desktop Connection.
I 345
Beneficios
Terminal Services en Windows Server 2003 proporciona tres importantes beneficios.
Beneficio
Descripcin
Instalacin
rpida y
centralizada
de
aplicaciones.
346
Mejoras en la Seguridad
El modelo de acceso a Terminal Server ahora se conforma mejor con los paradigmas
de administracin de Windows Server.
Remote Desktop Users Group
En vez de agregar a usuarios a una lista en Terminal Services Connection
Configuration (TSCC) Program, Usted simplemente los har miembros del grupo
Remote Desktop Users (RDU). Por ejemplo, el administrador puede agregar el grupo
"Everyone" al grupo RDU para permitir que todos tengan acceso al Terminal Server.
Usar un grupo verdadero de NT tambin significa que el acceso a Terminal Servers
puede ser controlado a travs Group Policy en grupos de servidores.
Security Policy Editor
Para configuraciones adicionales en Terminal Services, los derechos de usuario se
pueden asignar a los usuarios o a los grupos individuales, usando el Security Policy
Editor. Haciendo esto, Usted le da a los usuarios la habilidad de iniciar sesin al
Terminal Server, sin tener que ser un miembro del grupo Remote Desktop Users
descrito arriba.
128-Bit Encryption
Por defecto, las conexiones a Terminal Servers se aseguran con 128-bit, bi-direccional
RC4 encryption, cuando est utilizando un cliente que soporta 128-bit. (RDC es 128bit por defecto). Es posible conectar clientes ms viejos con encripcin mas baja de
128-bit, a menos que se especifique que solamente los clientes high-encryption estn
habilitados.
Software Restriction Policies
Las polticas de restriccin de software en Windows Server 2003 habilitan a los
administradores a utilizar Group Policy para simplificar el locking down de Terminal
Servers, solamente permitiendo que ciertos programas sean ejecutados por los
usuarios especificados.
Para obtener mas informacin:
Esta caracterstica de Windows sustituye la herramienta AppSec (Application
Security), utilizada en versiones anteriores de Terminal Services.
I 347
Directorio de Sesin
Terminal Servers puede ser organizado en "granjas." Esta configuracin permite
clusters de load-balancing de computadoras para ofrecer a sus usuarios un servicio de
fault-tolerant.
La nueva caracterstica Session Directory en Terminal Services habilita a los usuarios
a reconectar una sesin especifica desconectada dentro de la granja, dirigindose a
un servidor cargado cuando se conectan.
El Session Directory puede utilizar el servicio Windows Load Balancing o un Load
Balancer de terceras partes, y el servicio puede funcionar en cualquier computadora
ejecutando Windows Server 2003. Sin embargo, los miembros de la granja de
Terminal Server deben ejecutar Windows Server 2003, Enterprise Edition.
Windows System Resource Manager
Windows Server 2003 introduce un nuevo producto, que no viene con el CD de
Windows Server 2003. Esta herramienta es compatible solamente con las versiones
Enterprise y Datacenter.
Windows System Resource Manager (WSRM), permite administrar recursos de
hardware, por ejemplo memoria y procesador, asignndole a los usuarios los recursos
preestablecidos. De esta forma, Usted puede evitar que un usuario consuma recursos
por dems, ejecutando tareas innecesarias o procesos mltiples, sin limite de
recursos. Tambin puede asignar a los recursos un schedule de horarios, por ejemplo,
asignar durante el da una cantidad de recursos limitada y en horarios nocturnos, un
limite superior o sin limite segn sea el caso.
348