Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER

ADMINISTRACIN DE
WINDOWS 2003 R2 SERVER

WINDOWS 2003 SERVER R2 418
VERSIONES DE WINDOWS 2003 SERVER 418
WINDOWS 2003 SERVER R2 STANDARD
EDITION 418
WINDOWS 2003 SERVER R2 ENTERPRISE
EDITION 418
WINDOWS 2003 SERVER R2 DATACENTER
EDITION 419
REQUERIMIENTOS DE HARDWARE 419
LISTA DE COMPATIBILIDAD DE HARDWARE 420
H A R D WARE DE MULTIPROCESAMIENTO
SIMTRICO 420
MODELOS DE INSTALACIN DE WINDOWS
2003 420

ADMINISTRACIN DE CUENTAS DE USUARIO Y DE
EQUIPO 432
INTRODUCCIN 432
CUENTAS DE USUARIO 432
CONVENCIN DE NOMENCLATURA DE CUENTAS DE
USUARIO 434
PRCTICAS RECOMENDADAS PARA CREAR
CUENTAS DE USUARIO 435

CUENTAS DE EQUIPO 436

BLOQUEO DE CUENTAS DE USUARIO 437
LOCALIZACIN DE OBJETOS EN ACTIVE
DIRECTORY 438
ndice
INTRODUCCIN 444
GRUPOS 444

TIPOS DE GRUPO 445

NIVELES FUNCIONALES DE DOMINIO 446
GRUPOS GLOBALES 447
GRUPOS UNIVERSALES 448
GRUPOS LOCALES 449
ANIDAMIENTO DE GRUPOS 450
MODIFICACIN DEL MBITO O TIPO DE UN
GRUPO 450
GRUPOS PREDETERMINADOS EN ACTIVE
DIRECTORY 452
GRUPOS DEL SISTEMA 452
PERMISOS 460
TIPOS DE PERMISOS 460
PERMISOS ESTNDAR Y ESPECIALES 460
CARPETAS COMPARTIDAS 461
ADMINISTRAR EL ACCESO A ARCHIVOS Y
CARPETAS MEDIANTE PERMISOS NTFS 464
PERMISOS DE CARPETAS COMPARTIDAS 464
PERMISOS DE ARCHIVO Y CARPETA NTFS 465
EFECTOS PRODUCIDOS EN LOS PERMISOS NTFS
AL COPIAR Y MOVER ARCHIVOS Y CARPETAS 466
HERENCIA DE PERMISOS NTFS 468
PERMISOS EFECTIVOS DE ARCHIVOS Y CARPETAS
NTFS 468
Administracin de Windows 2003 R2 Server
MDULO 3
CLASE TEORICA 25 418
CLASE PRACTICA 26 429
IMPLEMENTACIN Y ADMINISTRACIN DE
SERVICIOS DE IMPRESIN
INTRODUCCIN 474
IMPRESORA LOCAL E IMPRESORA DE RED 474
REQUISITOS DE HARDWARE PARA CONFIGURAR
SERVIDORES DE IMPRESIN 474
INSTALAR Y COMPARTIR UNA IMPRESORA
LOCAL 475
INSTALAR Y COMPARTIR UNA IMPRESORA DE
RED 475
SEGURIDAD EN LAS IMPRESORAS DE RED 476
CONTROLADORES DE IMPRESORAS 478
ADMINISTRACIN DE COLAS DE IMPRESIN 478
UBICACIN DE LA CARPETA DE COLAS DE
IMPRESIN 479
CAMBIAR LA UBICACIN DE LA COLA DE
IMPRESIN 479
ADMINISTRACIN DEL ACCESO A LOS OBJETOS DE
LAS OU
INTRODUCCIN 484
PERMISOS ESTNDAR Y ESPECIALES 484
ACCESO AUTORIZADO SEGN PERMISOS 484
PERMISOS DE OBJETO DE ACTIVE DIRECTORY 484
HERENCIA DE PERMISOS 485
MODIFICAR LOS OBJETOS EN LA HERENCIA DE
PERMISOS 486
PERMISOS EFECTIVOS PARA LOS OBJETOS DE
ACTIVE DIRECTORY 487
DELEGACIN DE CONTROL DE UNA UNIDAD
ORGANIZATIVA 488
ASISTENTE PARA DELEGACIN DE CONTROL 489
Implementacin de plantillas administrativas y
directivas de auditora
DERECHOS DE USUARIO 518
INTRODUCCIN 492
CONFIGURACIN DE USUARIOS Y EQUIPOS 492
CREAR OBJETOS DE DIRECTIVA DE GRUPO 494
ADMINISTRACIN DE OBJETOS DE DIRECTIVA DE
GRUPO EN UN DOMINIO 496
VNCULO DE OBJETO DE DIRECTIVA DE GRUPO 497
HERENCIA DEL PERMISO DE DIRECTIVA DE GRUPO
EN ACTIVE DIRECTORY 498
OBJETOS DE DIRECTIVA DE GRUPO ENTRAN EN
CONFLICTO 499
IMPLEMENTACIN DE UN OBJETO DE DIRECTIVA DE
GRUPO 500
ATRIBUTOS DE UN VNCULO DE OBJETO DE
DIRECTIVA DE GRUPO 500
FILTRAR LA IMPLEMENTACIN DE UN OBJETO DE
DIRECTIVA DE GRUPO 501
INTRODUCCIN 506
CONFIGURACIN HABILITADA Y DESHABILITADA
DE LA DIRECTIVA DE GRUPO 507
REDIRECCIN DE CARPETAS 508
CARPETAS QUE PUEDEN REDIRIGIRSE 509
CONFIGURAR LA REDIRECCIN DE CARPETAS 510
GPUPDATE 511
GPRESULT 511
INFORMES DE DIRECTIVA DE GRUPO 512
PERMISOS DE USUARIO 518
DIRECTIVAS DE SEGURIDAD 519
DIRECTIVAS DE SEGURIDAD DE ACTIVE
DIRECTORY 519
PLANTILLAS DE SEGURIDAD 520
Utilizacin de las plantillas de seguridad
Plantillas predefinidas
Valores de configuracin de plantillas de seguridad
HERRAMIENTA CONFIGURACIN Y ANLISIS DE
SEGURIDAD 522
AUDITORA 523
Tipos de sucesos que se pueden auditar
DIRECTIVA DE AUDITORA 524
PLANIFICAR UNA DIRECTIVA DE AUDITORA 524
Migracin de Dominios a Windows 2003 R2
Server
INTRODUCCIN 532
SELECCIONAR LA VERSIN DE WINDOWS 2003 R2
A LA CUAL MIGRAR 532
MIGRACIN A UN SISTEMA OPERATIVO
EQUIVALENTE 532
VERIFIQUE LAS NECESIDADES DE SISTEMA Y
C O M PATIBILIDAD DE HARDWARE 533
C O M PATIBILIDAD DE HARDWARE 533
DEFINIR LA MEJOR OPCION: ACTUALIZAR,
INSTALACIN NUEVA O MIGRAR 534
MOTIVOS PARA ACTUALIZAR 534
MOTIVOS PARA REALIZAR UNA INSTALACIN
LIMPIA O MIGRAR 535
HERRAMIENTA DE MIGRACIN DE ACTIVE
DIRECTORY (ADMT V2) 535
ROLES DE UN SERVIDOR 537
ELEVAR EL NIVEL FUNCIONAL DE UN BOSQUE 540
CONTROLADORES DE DOMINIO 540
Servicio DNS de Windows 2003 R2
INTRODUCCIN 546
VISIN GENERAL DE LA CONSOLA DNS 546
REGISTRO DE RECURSOS 546
MLTIPLES DIRECCIONES EN UN SERVIDOR
DNS 548
CONFIGURAR SERVIDORES RACES 548
DNS Y ACTIVE DIRECTORY 549
TRANSFERENCIA DE ZONA 550
TRANSFERENCIA DE ZONA INCREMENTAL 550
DNS DINMICO 550
CONFIGURAR DDNS 551
Servicio WINS de Windows 2003 R2 552
INTRODUCCIN 552
EL NUEVO WINS 553
CONEXIONES PERSISTENTES 553
REPLICACIN DE WINS 554
ELIMINACIN MANUAL DE REGISTROS 555
El servicio DHCP de Windows 2003 R2 Server
SOPORTE PARA DNS DINMICO (DDNS) 562
INTRODUCCIN 562
ASIGNACIN DE DIRECCIONES MULTICAST 563
DETECCIN DE UN SERVIDOR DHCP NO
AUTORIZADO 563
CREAR MBITOS 565
CONFIGURAR OPCIONES GLOBALES EN EL
SERVIDOR DHCP 565
RESERVAS 565
AUTORIZAR EL SERVIDOR 566
DEFINIR Y PONER EN PRCTICA CLASES DE
FABRICANTE Y USUARIO 566
CLASES DE FABRICANTE 566
CONFIGURAR UN CLIENTE PARA UTILIZAR ID DE
CLASES 567
CREAR UN SPER MBITO 569
MANEJAR LA BASE DE DATOS DE DHCP 569
COPIAS DE RESPALDO DE LA BASE DE DATOS DE
DHCP Y SU RESTAURACIN 570
Clase terica 37 576
ADMINISTRACIN DE DISCOS 576
ADMINISTRACIN LOCAL Y REMOTA 576
LA HERRAMIENTA DISKPART 576
PARTICIONADO 577
PROPIEDADES DE LOS DISCOS 579
UNIDAD MONTA D A 580
DISCOS BSICOS Y DISCOS DINMICOS 580
CONVERSIN DE DISCOS DINMICOS 581
VOLUMEN SIMPLE 582
VOLUMEN EXTENDIDO 582
VOLUMEN DISTRIBUIDO 582
VOLUMEN SECCIONADO 582
DISCO EXTERNO 583
DISCO SIN CONEXIN 583
Clase prctica 37 584
Clase terica 38 590
COMPRESIN DE ARCHIVOS 590
CARPETA COMPRIMIDA (EN .ZIP) 590
EL COMANDO COMPACT 591
MOVER Y COPIAR ARCHIVOS Y CARPETAS
COMPRIMIDOS 592
PRCTICAS RECOMENDADAS PARA COMPRIMIR
ARCHIVOS O CARPETAS 593
CIFRADO EFS 593
Clase terica 39 602
COPIA DE SEGURIDAD DE LOS DATOS 603
FRECUENCIA DE LAS COPIAS DE SEGURIDAD 603
D ATOS DE ESTADO DEL SISTEMA 605
LA UTILIDAD DE COPIA DE SEGURIDAD 606
TIPOS DE COPIAS DE SEGURIDAD 607
COPIA DE SEGURIDAD: DE COPIA 607
COPIA DE SEGURIDAD CON NTBACKUP 609
RECUPERACIN AUTOMTICA DEL SISTEMA 610
INSTANTNEAS 610
MODO SEGURO 616
OPCIONES DEL MODO SEGURO 616
LTIMA CONFIGURACIN CORRECTA
CONOCIDA 617
CONSOLA DE RECUPERACIN 618
FUNCIONAMIENTO DE LOS ARCHIVOS DE
INICIO 621
HERRAMIENTAS DE RECUPERACIN EN CASO DE
ERROR DEL SERVIDOR 622
CLASE PRCTICA 37 584
Clase terica 41 628
WINDOWS UPDATE 628
WINDOWS UPDATE Y ACTUALIZACIONES
AUTOMTICAS 630
SOFTWARE UPDATE SERVICES 630
PROCESO DE SUS 632
PUNTOS DE DISTRIBUCIN DEL SERVIDOR PARA
SUS 632
REQUISITOS DE HARDWARE PARA LA INSTALACIN
DE SUS 632
SITIO WEB DE ADMINISTRACIN DE SOFTWARE
UPDATE SERVICES 632
SINCRONIZAR EL CONTENIDO DE SUS 633
REGISTROS DE SOFTWARE UPDATE SERVICES 634
Clase terica 42 638
IPSEC Y LA PROTECCIN DEL TRFICO EN LA
RED 639
CONJUNTO DE DIRECTIVAS IPSEC 641
EQUILIBRAR LA SEGURIDAD Y EL
RENDIMIENTO 641
NIVELES DE SEGURIDAD 642
IMPLEMENTACIN DE IPSEC CON
CERTIFICADOS 642
CERTIFICADOS 643
MONITOR DE SEGURIDAD IP 644
MDULO
3
Administracin de Windows 2003 R2 Server
Este mdulo lo adentrar en las ltimas tecnologas de
administracin avanzada de infraestructuras de red.
Windows 2003 R2 Server supone un avance en diversos
temas crticos, como ser: Fiabilidad, Escalabilidad y
Seguridad mejorada.
Como administrador de infraestructura de redes es
indispensable mantenerse al da con las ltimas tecnologas
y tendencias que el mercado IT presenta.
Conocer a fondo las caractersticas que Windows 2003 R2
posee, le permitir incrementar de manera exponencial todas
las habilidades adquiridas en el mdulo anterior. Con la
presentacin de esta nueva plataforma tambin se revisaran
las nuevas mejoras en los servicios crticos de red con
respecto a las versiones anteriores.
O
r
g
n
i
z
a
c
i
n
d
e
C
o
n
t
e
n
i
d
o
s
CLASE TERICA 25
WINDOWS 2003 SERVER R2
VERSIONES DE WINDOWS 2003
SERVER
STANDARD EDITION
ENTERPRISE EDITION
D ATACENTER EDITION
WINDOWS 2003 SERVER W E B
EDITION
REQUERIMIENTOS DE HARDWARE
LISTA DE COMPATIBILIDAD DE
H A R D WARE
H A R D WAREDE
M U LTIPROCESAMIENTO
SIMTRICO
MODELOS DE INSTALACIN DE
WINDOWS 2003
ACTUALIZACIONES VS.
INSTALACIONES LIMPIAS 421
ACTUALIZACIN
INSTALACIN LIMPIA
INSTALACIN DESDE UN CD O DVD
INICIAR EL SISTEMA DESDE EL CD /
DVD DE INSTALACIN DE WINDOWS
2003
EJECUTAR EL ARCHIVO SETUP.EXE
DEL CD / DVD
INSTALACIONES AUTO M ATIZADAS
TIPOS DE INSTALACIN
A U TO M ATIZADA
INSTALACIN DESATENDIDA
Clase
O
r
g
n
i
z
a
c
i
n
d
e
C
o
n
t
e
n
i
d
o
s
INSTALACIN POR SYSPREP
SERVICIO DE INSTALACIN REMOTA (RIS)
CLASE TEORICA 26
ADMINISTRACION DE CUENTAS DE USUARIO Y
EQUIPO
INTRODUCCIN
CUENTAS DE USUARIO
CONVENCIN DE NOMENCLATURA DE CUENTAS
DE USUARIO
PRCTICAS RECOMENDADAS PARA CREAR
CUENTAS DE USUARIO
CUENTAS DE EQUIPO
BLOQUEO DE CUENTAS DE USUARIO
LOCALIZACIN DE OBJETOS EN ACTIVE
DIRECTO RY
CLASE TEORICA 27
ADMINSITRACION DE GRUPOS
GRUPOS
TIPOS DE GRUPO
NIVELES FUNCIONALES DE DOMINIO
GRUPOS GLOBALES
GRUPOS UNIVERSALES
GRUPOS LOCALES
ANIDAMIENTO DE GRUPOS
MODIFICACIN DEL MBITO O TIPO DE UN
GRUPO
GRUPOS PREDETERMINADOS EN ACTIVE
DIRECTO RY
GRUPOS DEL SISTEMA
CLASE TEORICA 28
ADMINISTRACION DE ACCESO A RECURSOS
PERMISOS
TIPOS DE PERMISOS
PERMISOS ESTNDAR Y ESPECIALES
CARPETAS COMPA RTIDAS
ADMINISTRAR EL ACCESO A ARCHIVOS Y
CARPETAS MEDIANTE PERMISOS NTFS
PERMISOS DE CARPETAS COMPA RTIDAS
PERMISOS DE ARCHIVO Y CARPETA NTFS
EFECTOS PRODUCIDOS EN LOS PERMISOS NTFS AL
COPIAR Y MOVER ARCHIVOS Y CARPETAS
HERENCIA DE PERMISOS NTFS
PERMISOS EFECTIVOS DE ARCHIVOS Y CARPETAS
CLASE TEORICA 29
IMPLEMENTACION Y ADMINISTRACION DE
SERVICIOS DE IMPRESIN
INTRODUCCIN
IMPRESORA LOCAL E IMPRESORA DE RED
REQUISITOS DE HARDWARE PARA CONFIGURAR
SERVIDORES DE IMPRESIN
INSTALAR Y COMPA RTIR UNA IMPRESORA LOCAL
INSTALAR Y COMPA RTIR UNA IMPRESORA DE RED
SEGURIDAD EN LAS IMPRESORAS DE RED
CONTROLADORES DE IMPRESORAS
ADMINISTRACIN DE COLAS DE IMPRESIN
UBICACIN DE LA CARPETA DE COLAS DE
IMPRESIN
CAMBIAR LA UBICACIN DE LA COLA DE
IMPRESIN
CLASE TEORICA 30
ADMINISTRACIN DEL ACCESO A LOS OBJETOS DE
LAS OU
INTRODUCCIN
ACCESO AUTORIZADO SEGN PERMISOS
PERMISOS DE OBJETO DE ACTIVE DIRECTO RY
HERENCIA DE PERMISOS
MODIFICAR LOS OBJETOS EN LA HERENCIA DE
PERMISOS
PERMISOS EFECTIVOS PARA LOS OBJETOS DE
ACTIVE DIRECTO RY
DELEGACIN DE CONTROL DE UNA UNIDAD
ORGANIZATIVA
ASISTENTE PA R A DELEGACIN DE CONTROL
CLASE TEORICA 31
IMPLEMENTACIN DE DIRECTIVAS DE GRUPO
INTRODUCCIN
CONFIGURACIN DE USUARIOS Y EQUIPOS
O
r
g
n
i
z
a
c
i
n
d
e
C
o
n
t
e
n
i
d
o
s
CREAR OBJETOS DE DIRECTIVA DE GRUPO
ADMINISTRACIN DE OBJETOS DE DIRECTIVA DE
GRUPO EN UN DOMINIO
VNCULO DE OBJETO DE DIRECTIVA DE GRUPO
HERENCIA DEL PERMISO DE DIRECTIVA DE GRUPO
EN ACTIVE DIRECTO RY
OBJETOS DE DIRECTIVA DE GRUPO ENTRAN EN
CONFLICTO
IMPLEMENTACIN DE UN OBJETO DE DIRECTIVA
DE GRUPO
ATRIBUTOS DE UN VNCULO DE OBJETO DE
DIRECTIVA DE GRUPO
FILTRAR LA IMPLEMENTACIN DE UN OBJETO DE
DIRECTIVA DE GRUPO
CLASE TEORICA 32
ADMINISTRACIN UN ENTORNO DE USUARIO
MEDIANTE DIRECTIVAS DE GRUPO
INTRODUCCIN
CONFIGURACIN HABILITA D A Y DESHABILITA D A
DE LA DIRECTIVA DE GRUPO
REDIRECCIN DE CARPETAS
CARPETAS QUE PUEDEN REDIRIGIRSE
CONFIGURAR LA REDIRECCIN DE CARPETAS
GPUPDATE
GPRESULT
INFORMES DE DIRECTIVA DE GRUPO
CLASE TEORICA 33
IMPLEMENTACIN DE DIRECTIVAS DE GRUPO
DERECHOS DE USUARIO
PERMISOS DE USUARIO
DIRECTIVAS DE SEGURIDAD
DIRECTIVAS DE SEGURIDAD DE ACTIVE DIRECTO RY
PLANTILLAS DE SEGURIDAD
HERRAMIENTA CONFIGURACIN Y ANLISIS DE
SEGURIDAD
AUDITORA
DIRECTIVA DE AUDITORA
PLANIFICAR UNA DIRECTIVA DE AUDITORA
CLASE TEORICA 34
MIGRACIN DE DOMINIOS A WINDOWS 2003 R2
SERVER
MIGRACIN A UN SISTEMA OPERATIVO
EQUIVALENTE
VERIFIQUE LAS NECESIDADES DE SISTEMA Y
C O M PATIBILIDAD DE HARDWARE
DEFINIR LA MEJOR OPCION: ACTUALIZAR,
INSTALACIN NUEVA O MIGRAR
MOTIVOS PARA ACTUALIZAR
MOTIVOS PARA REALIZAR UNA INSTALACIN
LIMPIA O MIGRAR
HERRAMIENTA DE MIGRACIN DE ACTIVE
DIRECTO RY (ADMT V2) Migracin en el mismo bosque
ROLES DE UN SERVIDOR
ELEVAR EL NIVEL FUNCIONAL DE UN BOSQUE
CONTROLADORES DE DOMINIO
CLASE TEORICA 35
SERVICIO DNS DE WINDOWS 2003 R2
INTRODUCCIN
VISIN GENERAL DE LA CONSOLA DNS
REGISTRO DE RECURSOS
M LTIPLES DIRECCIONES EN UN SERVIDOR DNS
CONFIGURAR SERVIDORES RACES
DNS Y ACTIVE DIRECTO RY
TRANSFERENCIA DE ZONA
TRANSFERENCIA DE ZONA INCREMENTAL
DNS DINMICO
CONFIGURAR DDNS
SERVICIO WINS DE WINDOWS 2003 R2
INTRODUCCIN
EL NUEVO WINS
CONEXIONES PERSISTENTES
REPLICACIN DE WINS
ELIMINACIN MANUAL DE REGISTROS
CLASE TEORICA 36
SERVICIO DHCP DE WINDOWS 2003 R2 SERVER
INTRODUCCIN
SOPORTE PARA DNS DINMICO (DDNS)
Clase
O
r
g
n
i
z
a
c
i
n
d
e
C
o
n
t
e
n
i
d
o
s
ASIGNACIN DE DIRECCIONES MULTICAST
DETECCIN DE UN SERVIDOR DHCP NO
AUTORIZADO
CREAR MBITOS
CONFIGURAR OPCIONES GLOBALES EN EL
SERVIDOR DHCP
RESERVAS
AUTORIZAR EL SERVIDOR
DEFINIR Y PONER EN PRCTICA CLASES DE
FABRICANTE Y USUARIO
CLASES DE FABRICANTE
CLASES DE USUARIO
CONFIGURAR UN CLIENTE PARA UTILIZAR ID DE
CLASES
CREAR UN SPER MBITO
MANEJAR LA BASE DE DATOS DE DHCP
CLASE PRACTICA 36
CLASE TERICA 37
ADMINISTRACIN DE DISCOS
ADMINISTRACIN LOCAL Y REMOTA
LA HERRAMIENTA DISKPART
PARTICIONADO
PROPIEDADES DE LOS DISCOS
UNIDAD MONTA D A
DISCOS BSICOS Y DISCOS DINMICOS
CONVERSIN DE DISCOS DINMICOS
VOLUMEN SIMPLE
VOLUMEN EXTENDIDO
VOLUMEN DISTRIBUIDO
VOLUMEN SECCIONADO
DISCO EXTERNO
DISCO SIN CONEXIN
CLASE PRCTICA 37
CLASE TERICA 38
COMPRESIN DE ARCHIVOS
CARPETA COMPRIMIDA (EN .ZIP)
EL COMANDO COMPACT
MOVER Y COPIAR ARCHIVOS Y CARPETAS
COMPRIMIDOS
PRCTICAS RECOMENDADAS PARA COMPRIMIR
ARCHIVOS O CARPETAS
CIFRADO EFS
CLASE PRCTICA 38
CLASE TERICA 39
COPIA DE SEGURIDAD DE LOS DATOS
FRECUENCIA DE LAS COPIAS DE SEGURIDAD
D ATOS DE ESTADO DEL SISTEMA
LA UTILIDAD DE COPIA DE SEGURIDAD
TIPOS DE COPIAS DE SEGURIDAD
COPIA DE SEGURIDAD: DE COPIA
COPIA DE SEGURIDAD CON NTBACKUP
RECUPERACIN AUTOMTICA DEL SISTEMA
INSTANTNEAS
MODO SEGURO
OPCIONES DEL MODO SEGURO
LTIMA CONFIGURACIN CORRECTA CONOCIDA
CONSOLA DE RECUPERACIN
FUNCIONAMIENTO DE LOS ARCHIVOS DE INICIO
HERRAMIENTAS DE RECUPERACIN EN CASO DE
ERROR DEL SERVIDOR
CLASE PRCTICA 40
CLASE TERICA 41
WINDOWS UPDATE
WINDOWS UPDATE Y ACTUALIZACIONES
AUTOMTICAS
SOFTWARE UPDATE SERVICES
PROCESO DE SUS
PUNTOS DE DISTRIBUCIN DEL SERVIDOR PARA SUS
REQUISITOS DE HARDWARE PARA LA INSTALACIN
DE SUS SITIO WEB DE ADMINISTRACIN DE
SINCRONIZAR EL CONTENIDO DE SUS
REGISTROS DE SOFTWARE UPDATE SERVICES
CLASE PRCTICA 41
CLASE TERICA 42
IPSEC Y LA PROTECCIN DEL TRFICO EN LA RED
CONJUNTO DE DIRECTIVAS IPSEC
EQUILIBRAR LA SEGURIDAD Y EL RENDIMIENTO
NIVELES DE SEGURIDAD
IMPLEMENTACIN DE IPSEC CON CERTIFICADOS
CERTIFICADOS
MONITOR DE SEGURIDAD IP
CLASE PRCTICA 42
418 Windows 2003 Server R2
VERSIONES DE WINDOWS 2003 SERVER
Windows Server 2003 se distribuye en cuatro versiones:
Windows 2003 Server R2 Standard Edition (32 y 64 bits)
Windows 2003 Server R2 Enterprise Edition (32 y 64 bits)
Windows 2003 Server R2 Datacenter Edition (32 y 64 bits)
Windows 2003 Server Web Edition
WINDOWS 2003 SERVER R2 STANDARD EDITION
W indows 2003 Server R2 Standard Edition es la versin ms adecuada para
soportar la mayor parte de las tareas de red, ya que soporta S M P de cuatro vas,
y 4GB de RAM. Es posible tambin utilizar esta edicin para realizar tareas de
balance de carga de red (pero no para servicios de cluster) y como servidor de
Terminal Server.
En una organizacin grande, esta versin es perfecta para dar soporte a servicios
de archivos, dando soporte al sistema de archivos distribuidos (DFS), encriptando
copias de sistema de archivos (EFS), y Shadow Copies.
Esta versin es til para dar servicios de instalacin remota (RIS), y servicios
W eb. Adems puede correr todos los servicios de Administracin de red, servicios
de aplicaciones .NET, y multimedia.
Para organizaciones pequeas, la versin estndar trabaja bien en cualquier rol,
ya sea proporcionando servicios de archivo e impresin o como controlador de
dominio.
WINDOWS 2003 SERVER R2 ENTERPRISE EDITION
La versin Enterprise es la indicada para dar soporte a las necesidades de
negocios de infraestructuras de gran tamao, para ello soporta SMP de ocho
vas, 32GB de la RAM en la versin de 32-bit, y 64GB de la RAM en la versin de
64 bit. Estas caractersticas le permiten soportar clusters de servidores,
manejando hasta ocho nodos.
Su habilidad de escalar lo indica como una buena eleccin para llevar acabo
cualquier rol en una organizacin grande, ofreciendo una base slida para
aplicaciones, servicios Web (especialmente si se necesita Web Clusters), y
manejo de infraestructura.
Windows 2003 Server R2
Clase terica 25
Diccionario
S M P
SMP es el acrnimo
de Symmetric Multi-
Processing,
multiproceso
simtrico. Un host
con soporte SMP se
compone de
microprocesadores
independientes que
se comunican con la
memoria a travs
de un bus
compartido. Dicho
bus es un recurso
de uso comn. Por
tanto, debe ser
arbitrado para que
solamente un
microprocesador lo
use en cada
instante de tiempo.
Cluster
Un cluster es un
grupo de mltiples
host unidos
mediante una red
de alta velocidad,
de tal forma que el
conjunto es visto
como un nico host.
Un cluster se
presenta
combinaciones de
los siguientes
servicios:
Alto rendimiento
(High Performance)
Alta disponibilidad
(High Availability)
Equilibrio de carga
(Load Balancing)
Escalabilidad
(Scalability)
Nodo
Host.
419
Clase terica 25
Definir DFS: Definir SMP:
A
c
t
i
v
i
d
a
d
Diccionario
DFS
Distribuited File
System - Sistema de
Archivos Distribuido.
Un sistema de
archivos distribuidos
almacena archivos en
uno o ms servidores
y los hace accesibles
a otros host clientes,
donde se manipulan
como si fueran
locales.
O E M
En la mayora de los
casos una versin
OEM de un Software
slo se vende en
combinacin con
algn tipo de
Hardware, y suele
estar limitada en
funciones respecto a
versiones completas
o retail (al por
menor).
WINDOWS 2003 SERVER R2 DATACENTER EDITION
La versin ms poderosa de la plataforma Windows, la versin de Datacenter
soporta SMP de 32 vas en la versin de 32-bit, y SMP de 64 vas en la versin de
64 bit. Puede manejar RAM de 64GB en la versin de 32-bit, y RAM de 512GB en
la versin de 64 bit.
Soporta agrupaciones de hasta 8 nodos en forma estndar.Al igual que su
antecesor de Windows 2000, Datacenter solo se comercializa en formato O E M.
WINDOWS 2003 SERVER WEB EDITION
Este producto se encuentra destinado para desarrollar y correr sitios Web. Para
esto, incluye IIS 6.0 y otros componentes que permiten alojar aplicaciones Web,
pginas Web, y servicios de Web XML.
La versin Web se encuentra limitada, por lo tanto no puede correr granjas de
servicios Web que requieran clusters. Esta versin tampoco puede instalar ni
administrar servicios de red como Active Directory, DNS, o DHCP, pero si utilizarlos
como cliente.
La versin Web no se encuentra disponible como un producto de venta en el
canal minorista, solo se distribuye en formato OEM.
REQUERIMIENTOS DE HARDWARE
Ningn sistema operativo funciona correctamente si es instalado en una mquina
con hardware insuficiente. Las diferentes versiones de Windows 2003 requieren
de ciertos niveles mnimos de hardware para asegurar su funcionalidad.
La siguiente tabla describe las necesidades de hardware para todas las versiones.
Es importante mencionar que los requerimientos mnimos muchas veces
son inadecuados para dar soporte a las aplicaciones que corren sobre el servidor,
as que se recomienda estudiar los requerimientos del sistema operativo ms las
aplicaciones al momento de realizar una instalacin.
Windows Server 2003 R2 Requerimientos del Sistema
Requerimiento
Velocidad de
CPU mnima
Velocidad de
C P U
Recomendada
RAM Mnima
R A M
Recomendada
RAM Mxima
Soporte
Multiprocesador
S M P
Espacio
Mnimo en
Disco
Standard
Edition
133 MHz
550 MHz
128 MB
256 MB
4 GB
Hasta 4
1.5 GB
Enterprise Edition
133 MHz para arquitectura
x86733 MHz para arquitectura
Itanium
733 MHz
128 MB
256 MB
32 GB for para arquitectura
x86512 GB para arquitectura
Itanium
Hasta 8
1.5 GB para arquitectura
x862.0 GB para arquitectura
Itanium
Datacenter Edition
400 MHz para arquitectura
x86733 MHz para arquitectura
Itanium
733 MHz
512 MB
1 GB
64 GB para arquitectura
x86512 GB para arquitectura
Itanium
Requerido 8 Mnimo Mximo 64
1.5 GB para arquitectura
x862.0 GB para arquitectura
Itanium
W e b
Edition
133 MHz
550 MHz
128 MB
256 MB
2 GB
Hasta 2
1.5 GB
LISTA DE COMPATIBILIDAD DE HARDWARE
La lista de compatibilidad de hardware de Microsoft (HCL) proporciona una lista
extensiva de fabricantes, modelos y tipos de hardware soportado, incluyendo
sistemas, controladores de disco, clusters y dispositivos almacenamiento masivo
en red (SAN). Para ser incluido en el HCL, los fabricantes deben certificar el hecho
de que su hardware soporta los estndares requeridos por Windows 2003 Server.
El HCL es parte del grupo de laboratorios de calidad de hardware de Microsoft
Windows (WHQL). Las listas HCL actualizadas pueden encontrarse en
w w w.microsoft.com.
H A R D WARE DE MULTIPROCESAMIENTO SIMTRICO
El hardware de Multiproceso simtrico (SMP), ha sido soportado por Microsoft
desde las primeras versiones de Windows NT. SMP permite a la computadora,
bsicamente, compartir dos o ms microprocesadores, dividiendo la memoria y
los dispositivos de entrada y salida.
MODELOS DE INSTALACIN DE WINDOWS 2003
Windows Server 2003 puede ser instalado en diferentes escenarios, desde instalar
421
Clase terica 25
Definir Actualizacin: Definir HCL:
A
c
t
i
v
i
d
a
d
una simple copia del sistema operativo en una computadora con un disco rgido
nuevo sin particionar, hasta para realizar una actualizacin (upgrade) desde una
versin previa de Windows.
Actualizaciones vs. Instalaciones limpias
Windows 2003 soporta tanto, actualizaciones desde versiones anteriores como
as tambin instalaciones limpias. Si se posee una computadora con un sistema
operativo Windows 2000 funcionando, y el hardware es compatible con Windows
2003, entonces es recomendable realizar una actualizacin del sistema. Sin
embargo, es realmente necesario estar familiarizado con las ventajas y desventajas
de ambos modelos antes de comenzar la instalacin de Windows 2003.
Atencin
Para instalar cualquier versin W indows 2003 R2 es recomendable hacerlo desde una versin W indows 2003
previa.
Actualizacin
Las actualizaciones preservan las configuraciones existentes, incluyendo cuentas
de usuario y de grupo, perfiles, objetos compartidos, servicios y permisos. Los
archivos y aplicaciones instalados en el sistema se preservan, incluyendo entradas
de registro, conos del escritorio y carpetas. Sin embargo, esto necesariamente no
quiere decir que estas aplicaciones son compatibles con Windows 2003.
Si se est actualizando desde servidores de Windows 2000, la decisin podra
hacerse en base a la comodidad de esta accin. Por ejemplo, si se ha implementado
un servidor de Windows 2000 para servir una aplicacin compleja desarrollada a
medida, y no se posee una buena va para reconstruir los componentes de la
aplicacin, actualizar puede ser mucho ms fcil ya que mantendr los servicios,
entradas de registro, y otros componentes de la aplicacin que pueden haber sido
mejorados
pero no debidamente documentados.

Por otra parte, si un servidor de Windows 2000 se actualiza desde Windows NT 4
(que a su vez puede haber sido actualizado originalmente desde Windows NT 3.51),
es necesario considerar una instalacin limpia. Cada actualizacin subsecuente
mantiene componentes del sistema operativo previo, y estos componentes pueden
tener un efecto adverso en la estabilidad y ejecucin de la instalacin de Windows
2003.
Instalacin limpia
En una instalacin limpia, no existe ningn remanente del sistema operativo
previo (si hubiese existido), tal como entradas de registro extraas, servicios,
carpetas, o archivos.
Las instalaciones limpias aseguran que todos los componentes de un sistema
Windows 2003 funcionen correctamente.
Instalacin desde un CD o DVD
La instalacin de Windows 2003 desde CD o DVD es probablemente el mtodo
de instalacin ms fcil, ya que no requiere ningn soporte de hardware o red
adicional.
Adems, instalaciones desde CD o DVD son generalmente mucho ms rpidas
que otros mtodos de instalacin porque trabajan sobre el BUS de alta velocidad
entre el CD / DVD, el procesador y la memoria, en lugar de depender en
conexiones de red lentas utilizadas en otros mtodos de instalacin.
Iniciar el sistema desde el CD / DVD de instalacin de Windows 2003
La plataforma Windows ha soportado medios de inicio en CD y ahora en DVD
desde hace muchos aos, Windows 2003 contina proporcionando este mtodo
de instalacin simple y til.
Con el fin de iniciar el sistema desde un medio como CD o DVD, es necesario
disponer de un dispositivo que soporte las extensiones ISO 9660 para dispositivos
de inicio, y el BIOS de la computadora debe estar configurado para el utilice
como primer dispositivo de arranque la unidad de CD / DVD.
Este mtodo slo puede utilizarse para una instalacin limpia de Windows 2003,
y no para actualizar una versin previa de Windows.
Ejecutar el archivo Setup.exe del CD / DVD
Este mtodo se utiliza si se posee ya un sistema operativo de Windows instalado
y se desea actualizar el sistema operativo (si cumple con las normas de
actualizacin) o si por el contrario se desea instalar Windows 2003 como un
sistema operativo separado mediante una configuracin de arranque dual.
Al insertar el CD / DVD, este automticamente arranca presentado el GUI de
instalacin con un men de opciones, en cambio si la ejecucin automtica no
se encuentra habilitada, ser necesario hacer un doble clic sobre Setup.exe en
el CD / DVD para lanzar el GUI de instalacin.
Diccionario
ISO 9660
El estndar ISO 9660
es una norma
publicada
inicialmente en 1986
por la ISO, que
especifica el formato
para el almacenaje
de archivos en los
soportes de tipo
disco compacto.
423
Clase terica 25
A
c
t
i
v
i
d
a
d
Defina ISO 9660: Nombre 2 tipos de instalacin automatizada:
Instalaciones automatizadas
Las instalaciones automatizadas de Windows 2003 permiten administradores
de red instalar en forma rpida y simple el sistema operativo a travs de la
empresa. Ms importante an es que estas instalaciones son extremadamente
consistentes, ya que durante el proceso de instalacin automatizado cada
computadora utiliza la misma informacin de configuracin y los mismos archivos
de instalacin.
Otra ventaja importante de realizar instalaciones automatizadas es que eliminan
la mayor parte de la interaccin entre el proceso de configuracin y el usuario,
como consecuencia, usuarios con conocimiento tcnico relativamente escaso
del sistema operativo pueden ejecutar instalaciones de Windows 2003.
Con un mtodo de instalacin automatizado correctamente diseado, el proceso
entero de instalacin puede ser reducido a arrancar el sistema con un disco
flexible, o realizando un doble clic sobre el icono correspondiente.
Tipos de instalacin automatizada
Las instalaciones automatizadas son soportadas bajo Windows 2003 usando
los siguientes tres mtodos:
Instalacin desatendida
Instalacin por medio de la herramienta de preparacin de sistema
(SYSPREP)
Instalacin por medio de un servidor de instalacin remota (RIS)
Cada mtodo tiene ventajas y desventajas. Las herramientas necesarias para
llevar a cabo cualquiera de los tres mtodos nombrados, se encuentran
disponibles en el CD / DVD de instalacin.
La idea bsica detrs de las instalaciones automatizadas es proporcionar al
programa de instalacin de Windows 2003 los parmetros de configuracin
requeridos en forma adelantada de modo que, durante el proceso de instalacin,
esta informacin pueda combinarse de forma automtica con el proceso de
instalacin.
Debido a que las instalaciones automatizadas trabajan de este modo, es
extremadamente importante conocer toda la informacin del sistema antes de
la instalacin, incluyendo el nmero y ubicacin de los servidores a ser instalados,
opciones de configuracin de red, convenciones de nombres, y servicios
instalados.
Adems, cada uno de los mtodos de instalacin automatizados requieren
supervisin para determinar factores tales como disponibilidad de ancho de banda
de red y tiempo de instalacin.
Dos conceptos claves definen la funcin bsica de las instalaciones
automatizadas:
Instalaciones basadas en imagen: Permiten duplican un servidor Windows 2003
totalmente configurado en unos o ms sistemas. SYSPREP es un mtodo de
instalacin con basado en imgenes de disco. RIS puede ejecutar tambin una
instalacin basada en una imagen de disco.
Instalaciones basadas en archivos de respuesta: Se utilizan archivos de texto
plano para configurar las instalaciones en computadoras destino. El archivo texto
contiene las respuesta a las preguntas que el programa de instalacin realiza
normalmente cuando se realiza una instalacin interactiva, tales como nombre
de computadora, mtodo de licenciamiento, y los parmetros de red.
La instalacin desatendida es un mtodo de instalacin con base en archivo de
respuestas. RIS tambin puede ser un mtodo de instalacin con base en archivos
de respuesta.
Instalacin Limpia
Actualizacin
Trabaja en red?
Para utilizan en hardware homogneo?
Para utilizar en hardware heterogneo?
Requiere TCP/IP?
Soporte para IP esttico?
Soporte para HALs genricas?
Necesita una N.I.C con PXE para funcionar?
Soporte para controladores de almacenamiento no estndar?
Requiere Active Directory?
Requiere DHCP?
Soporte para aplicaciones pre instaladas en Active Directory?
Soporte para instalaciones automticas en controladores de dominio?
Soporte para instalaciones automticas de servidores de certificados?
Soporte para instalaciones automticas de clusters?
Soporte para aplicaciones de terceros en la instalacin?
Puede utilizarse con Windows 2003 Web Server Edition?
SI
N O
N O
SI
N O
N O
N O
N O
N O
N O
N O
N O
N O
N O
N O
N O
N O
SI
SI
N O
SI
SI
N O
SI
N O
N O
SI
SI
SI
SI
SI
SI
SI
SI
SI
N O
SI
SI
N O
N O
SI
N O
SI
SI
N O
SI
N O
N O
SI
SI
SI
SI
SI
SI
Consideraciones SYSPREP RIS
Instalacin
Desatendida
425
Clase terica 25
Definir HAL: Definir instalacin basada en Imagen:
A
c
t
i
v
i
d
a
d
Como puede verse en cuadro anterior muchos factores diferentes deben ser
analizados para determinar el mejor mtodo de instalacin automatizado para
una infraestructura dada.
Atencin
SYSPREP y RIS solo pueden ser utilizados para realizar instalaciones limpias de sistema y no pueden ser
utilizados para actualizar un sistema a W indows 2003 La instalacin desatendida es el nico mtodo de
instalacin automatizado que se puede utilizar para actualizar un sistema operativo a W indows 2003.
Ciertas consideraciones adicionales para entornos especficos que deben ser
consideradas son las siguientes:
Instalacin con RIS: siempre requieren de un ancho de banda alto, de
esta manera por definicin las imgenes son instaladas de travs de la
red. Las instalaciones de SYSPREP y las instalaciones desatendidas
pueden requerir tambin ancho de banda alto si el archivo imagen de
SYSPREP o los archivos de instalacin de Windows 2003 son
establecidos en un recurso compartido de la red. Sin embargo, SYSPREP
y las instalaciones desatendidas pueden utilizar archivos de medios
locales, tales como unidades de CD / DVD o un disco rgido local.
Soporte de la arquitectura: al utilizar SYSPREP o RIS con la opcin de
RIPREP, el host origen debe utilizar una HAL que sea compatible con el
host destino.
Soporte de hardware del adaptador de red: para utilizar RIS, en uno o
ms adaptadores de red en el host destino, estos deben soportar la
norma (PXE), o el adaptador de red debe estar soportado por el disco
flexible que RIS crea utilizando la herramienta generadora de disco de
arranque remoto (RBFG.EXE).
Esta herramienta slo da soporte a una lista especfica y limitada de
adaptadores de red PCI, y no pueda ser modificada para soportar
adaptadores adicionales.
Controladores de almacenamiento masivo si el host destino utiliza un
controlador de almacenamiento masivo que no se encuentra listado en
el controlador .inf Windows 2003, y se est utilizando un mtodo de
instalacin basado en imagen, ser necesario realizar manualmente una
pequea parte de la configuracin de la instalacin. Debido a este paso
adicional, una instalacin desatendida puede ser la opcin ms viable.
Diccionario
H A L
Hardware
Abstraction Layer -
Capa de Abstraccin
de Hardware. Este
es un elemento del
sistema operativo
que funciona como
una interfaz entre el
software y el
hardware del
sistema, proveyendo
una plataforma de
hardware
consistente sobre la
cual correr las
aplicaciones.
PXE
Preboot Execution
Environment
Sistema de pre-
ejecucin de
arranque. Es un
sistema de Intel que
genera un arranque
inteligente a partir
de una memoria de
slo lectura (ROM)
que se encuentra en
algunos adaptadores
de red.
Protocolos de red y servicios: RIS requiere del protocolo TCP/IP, DNS,
DHCP, y Active Directory para funcionar en una red (no es necesario que
los servicios de DNS y DHCP sean los provistos por Microsoft). Las
instalaciones de SYSPREP y desatendidas pueden utilizar otros protocolos
tales como IPX/SPX, y no requieren necesariamente de un servicio DNS
o de Active Directory a menos que la imagen que se desea instalar as lo
requiera.
Clusters: en un cluster de servidores, los host destino deben tener
configuraciones idnticas, excepto por la direccin de red. Las
instalaciones basadas en SYSPREP pueden ser un mtodo muy eficiente
en esta situacin. Es importante recordar, sin embargo, que el balanceo
de carga de red (NLB) no puede configurarse en la imagen de SYSPREP.
NLB debe ser instalado y configurado en cada sistema
independientemente, despus del proceso de clonado.
Instalacin desatendida
Como un mtodo de instalacin basado en un archivo de respuestas, la instalacin
desatendida trabaja utilizando un archivo de respuestas para proporcionar al
programa de instalacin de Windows 2003 la informacin requerida por la
instalacin. Adems, cualquier instalacin desatendida puede proporcionar
controladores de dispositivos especficos, y an as instalar aplicaciones sin la
intervencin del usuario.
La instalacin desatendida es iniciada con la ejecucin de los archivos de
instalacin Winnt.exe y Winnt32.exe:
Winnt.exe: es utilizado para realizar una instalacin limpia.
Winnt32.exe: es utilizado para realizar la actualizacin del sistema operativo
desde una versin anterior.
Instalacin por SYSPREP
Cuando sea necesario instalar Windows 2003 Server en varios host que poseen
idntico hardware, uno de los mtodos que se podra utilizar para ello, es la
duplicacin de disco.
Creando una imagen del disco de una instalacin de Windows 2003 Server, y
copiando esa imagen sobre las computadoras mltiples de destino, se ahorra
tiempo.
Si en cambio el desafo es instalar Windows 2003 Server en mltiples host que
poseen hardware diferente, se recomienda la utilizacin de la herramienta
SYSPREP.
Para instalar Windows 2003 Server utilizando SYSPREP, es necesario configurar
una computadora de referencia y luego duplicar una imagen de disco en las
427
Clase terica 25
Definir Sysprep:
A
c
t
i
v
i
d
a
d
computadoras destino. El proceso de la duplicacin de disco consiste en los
siguientes pasos:
Instalar y configurar el sistema operativo en la computadora de referencia
Instalar y configurar los aplicativos en la computadora de referencia.
Ejecutar sysprep.exe en la computadora de referencia.
1- Instalar el sistema operativo en la mquina
origen y ejecutar sysprep.
2- Utilizando una herramienta de clonado de discos
generar una imagen.
3- Copiar la imagen en la mquina destino y
encenderla.
4- Por medio del mini-setup que se auto ejecuta
realizar las configuraciones bsicas.
Tambin se puede optar por crear el archivo Sysprep.inf. Sysprep.inf proporciona
respuestas, como por ejemplo, el nombre de computadora al Mini-Setup que se
ejecuta en las computadoras destino. Adems, este archivo se puede utilizar
para especificar controladores especficos.
El programa de SYSPREP y las herramientas de soporte (incluyendo el programa
de instalacin) se encuentra ubicado en el archivo
\SUPPORT\TOOLS\DEPLOY.CAB en el CD / DVD de instalacin de Windows
2003.
Servicio de instalacin remota (RIS)
El Servicio RIS permite a las host cliente conectarse con un servidor durante la
fase de inicial de encendido e instalar remotamente Windows 2003 (32 y 64 Bit).
Es un proceso totalmente diferente a la instalacin desde la red ya que sta se
realiza ejecutando Winnt.exe.
Una instalacin remota no requiere que los usuarios sepan dnde se encuentran
los archivos de instalacin o la informacin a suministrarle al programa de
instalacin.
RIS permite configurar las opciones de la instalacin. Por ejemplo, se podra
tener una alternativa que provea a los usuarios una instalacin mnima sin
1
2
3
4
Origen
Destino
I m a g e n
de Disco
Definir Ris:
Para que una implementacin por medio de RIS sea exitosa, deben encontrarse
funcionando en la red servidores DHCP, DNS y una implementacin de Active
Directory.
opciones y otra que provea a los usuarios opciones adicionales.
Por defecto, todas las imgenes estn disponibles para todos los usuarios. Sin
embargo, se puede restringir el acceso a las imgenes que estn disponibles
para los usuarios utilizando permisos NTFS en el archivo de respuesta.
Cliente Servidor
D H C P
Servidor
RIS
Active
Directory
D C
1
2
6 3
5
4
1- El cliente solicita una Direccin IP
2- El DHCP Server entrega una
direccin IP
3- El cliente contacta al RIS Server
4- El RIS Server valida en Active
Directory
5- RIS responde o redirecciona el
pedido a otro RIS Server
6- El RIS Server enva el rom de inicio
al cliente - El cliente elije el SO
Clase prctica 25
Instalacin Windows 2003
Para la siguiente prctica se asumir que el alumno dispone de un cd booteable de Windows
2003 Server y que el disco del equipo se encuentra limpio (sin ninguna particin).
Instalacin del Servidor 4 (MGP-SRV04): Ejercicio 1:
Iniciar la maquina desde el CD de arranque de Windows 2003 (estableciendo la secuencia
correcta de arranque en el setup)
Una vez iniciado el programa de instalacin proceder de la siguiente manera:
Presionar la tecla ENTER Instalar Windows 2003
Presionar la tecla F8 Aceptar el contrato de licencia
Presionar la tecla C para crear una nueva particin y establecer la siguiente
configuracin:
Tamao de la particin a crear (en MB): 2000
Presionar la tecla ENTER Volver al men anterior
Seleccionar la opcin C: Particin1 [Nueva (original)] 2000 MB y presionar
ENTER establece cual ser la particin de destino
Seleccionar la opcin Formatear la particin utilizando el formato de archivos NTFS y
presionar ENTER establece el sistema de archivos a NTFS, comienza el proceso de
formateo y copia de archivos de instalacin al disco.
Una vez finalizada la copia se procede a cargar el programa de instalacin con interfaz
grfica (segunda instancia de instalacin)
Hacer clic en el botn Siguiente comienza el proceso de deteccin de dispositivos.
Hacer clic en el botn Personalizar en la seccin Configuracin regional
Seleccionar la opcin Espaol (Argentina) en el apartado Su idioma (ubicacin):
Hacer clic en el botn Aceptar Realiza el cambio y vuelve a la ventana principal
Hacer clic en el botn Siguiente
Establecer la siguiente configuracin en la ventana de personalizacin de Software:
Nombre: Eduardo Cabaas
Organizacin: MegaPack
Introducir la clave del producto (por ejemplo: JB88F-WT2Q3-DPXTT-Y8GHG-7YYQY)
Seleccionar el licenciamiento Por Servidor. Numero de conexiones concurrentes y
establecer el valor a 70 Indica que las conexiones mximas al servidor ser de 70
simultaneas.
Establecer la siguiente configuracin en la ventana de Nombre de equipo y contrasea
del administrador:
Nombre de equipo: MGP-SRV04
Mediante la realizacin de esta prctica usted ser capaz de disear la implementacin e instalacin de
un sistema operativo Windows 2003 R2 Server.
Los siguientes ejercicios estn desarrollados para que usted pueda aplicarlos efectivamente en el
mbito laboral, permitindole resolver problemas de manera eficaz y concreta.
Administracin de acceso a recursos 430
Contrasea de administrador: MgP393pDC
Confirmar contrasea: MgP393pDC
Seleccionar la opcin (GMT -3:00) Buenos Aires, Georgetown en el apartado Zona
horaria
Seleccionar la opcin Configuracin Personalizada y hacer clic en el botn Siguiente
en la ventana de Configuracin de red.
Doble clic en Protocolo Internet (TCP/IP) Acceder a las propiedades del protocolo
Seleccionar la opcin Usar la siguiente direccin IP y establecer la siguiente configuracin
(dejar los dems casilleros en blanco):
Direccin IP: 192.168.0.254
Mascara de subred: 255.255.255.0
Hacer clic en el botn Aceptar Guardar la configuracin
Seleccionar la opcin No, este equipo no est en una red o est en una red sin
dominio y establecer MEGAPACK como nombre del Dominio o grupo de trabajo del
equipo
Hacer clic en el botn Siguiente comienza el proceso de instalacin de componentes
Una vez reiniciado el equipo presionar simultneamente las teclas ctrl.+alt+supr
Acceder a la interfaz de inicio de sesin
Colocar MgP393pDC (sin las comillas) como contrasea y presionar la tecla ENTER
Iniciar sesin como Administrador.
Marcar la opcin No mostrar esta pgina al iniciar sesin y cerrar la ventana (hacer
clic en la X que se encuentra en el ngulo superior derecho de la ventana)
Desplegar el men contextual (clic con el botn derecho del Mouse) en cualquier parte
libre del escritorio y seleccionar la opcin Propiedades Acceder a las propiedades
de pantalla
Hacer clic en la solapa Configuracin y arrastrar el selector del rea de pantalla hasta
que indique 800 por 600 pixeles
Hacer clic en el botn Aceptar
Hacer clic en el botn Aceptar
Hacer clic en el botn Si indica que los cambios son aceptados
432
Administracin de cuentas de Usuario y de Equipo
Clase terica 26
INTRODUCCIN
Una de las funciones como administrador de sistemas es administrar las cuentas
de usuario y de equipo. Estas cuentas son objetos de Active Directory y debern
utilizarse para permitir que los usuarios inicien la sesin en la red y obtengan
acceso a los recursos.
CUENTAS DE USUARIO
Una cuenta de usuario es un objeto que contiene toda la informacin que define a
un usuario de Windows Server 2003 R2 y puede ser local o de dominio. Incluye el
nombre de usuario y la contrasea con los que el usuario inicia la sesin y los
grupos de los que la cuenta es miembro.
Se puede utilizar una cuenta de usuario para:
Permitir que alguien inicie la sesin en un equipo basndose en la identidad
de la cuenta de usuario.
Permitir que los procesos y servicios se ejecuten dentro de un contexto de
seguridad especfico.
Administrar el acceso de un usuario a los recursos, por ejemplo, los objetos
de Active Directory y sus propiedades, carpetas, archivos, directorios y
colas de impresin compartidos.
Nombres asociados a una cuenta de usuario de dominio
Existen cuatro tipos de nombres asociados a las cuentas de usuario de dominio.
En Active Directory, cada cuenta de usuario tiene un nombre de inicio de sesin
de usuario, un nombre de inicio de sesin de usuario de versiones anteriores a
W indows 2000, nombre de la cuenta del Administrador de cuentas de seguridad
S A M, un nombre principal de inicio de sesin de usuario y un nombre completo
segn el Protocolo ligero de acceso a directorios LDAP.
Nombre de inicio de sesin de usuario
Al crear una cuenta de usuario, el administrador escribe un nombre de inicio de
sesin de usuario. El nombre de inicio de sesin debe ser nico en el bosque en
el que se crea la cuenta de usuario. Suele utilizarse como nombre completo
relativo. Los usuarios utilizan este nombre slo en el proceso de inicio de sesin.
Obtienen acceso con el nombre de inicio de sesin de usuario, una contrasea
y el nombre de dominio en diferentes campos de la pantalla de inicio de sesin.
Los nombres de inicio de sesin de usuario pueden:
Diccionario
S A M
Security Acconnis
Manager. Cuentas de
seguridad.
LDAP
Lighweight Access
Protocol. Protocolo
Ligero de acceso a
directorios.
433
Clase terica 26
A
c
t
i
v
i
d
a
d
Contener hasta 20 caracteres en maysculas y minsculas (el campo
admite ms de 20 caracteres, pero Windows Server 2003 slo reconoce
20).
Incluir una combinacin de caracteres alfanumricos y especiales, excepto
los especificados a continuacin: `` / \ [ ] : ; | = , + * ? < >.
N O M B R E
Nombre de inicio de sesin de usuario
Nombre de inicio de sesin en versiones anteriores
a Windows 2000
Nombre de usuario principal de inicio de sesin
Nombre completo relativo de LDAP
EJEMPLO
NicolasR
Servidor1\NicolasR
NicolasR@servidor1.com
CN=nicolasr,cn=users,dc=servidor1,dc=com
Nombre de inicio de sesin en versiones anteriores a Windows 2000
Se puede utilizar una cuenta de usuario del sistema bsico de entrada y salida
de red (NetBIOS, Network Basic Input/Output System) para iniciar la sesin en
un dominio de Windows desde un equipo con un sistema operativo anterior a
Windows 2000, mediante un nombre con el formato
NombreDominio\NombreUsuario. Tambin puede utilizarse para iniciar la sesin
en dominios de Windows desde equipos con Microsoft Windows 2000 o Windows
XP, o incluso desde servidores con Windows Server 2003 R2, pero el nombre de
inicio de sesin para las versiones anteriores a Windows 2000 debe ser nico
en el dominio. Los usuarios pueden iniciar la sesin con el comando runas o en
una pantalla de inicio de sesin secundaria.
Un nombre de inicio de sesin para versiones anteriores a Windows 2000
podra ser servidor1\nicolasr.
Nombre principal de inicio de sesin de usuario
El nombre principal de usuario UPN est formado por el nombre de inicio de
sesin de usuario y el sufijo del nombre principal de usuario, unidos por el smbolo
@. El UPN debe ser nico en el bosque.
Diccionario
U P N
Uiel Principal Name.
Nombre principal de
usuario.
Definir cuenta de usuario: Definir nombre de inicio de sesin de usuario:
434
La segunda parte del UPN es el sufijo del nombre principal de usuario. ste
puede ser el nombre del dominio en el Sistema de nombres de dominio (DNS,
Domain Name System), el nombre DNS de cualquier dominio del bosque o un
nombre alternativo creado por un administrador slo para iniciar la sesin.
Los usuarios pueden utilizarlo para iniciar la sesin con el comando Ejecutar
como o en una pantalla de inicio de sesin secundaria.
Un ejemplo de UPN es Nicolasr@servidor1.com.
Nombre completo segn el LDAP
El nombre completo relativo segn el LDAP nicamente identifica el objeto en su
contenedor primario. Los usuarios nunca utilizan este nombre, pero los
administradores lo emplean para agregar usuarios a la red desde una lnea de
comando o una secuencia de comandos. Todos los objetos utilizan la misma
convencin de nomenclatura de LDAP, por lo que todos los nombres completos
relativos deben ser nicos en su unidad organizativa.
A continuacin se exponen ejemplos de nombres completos segn el LDAP:
CN=nicolasr,CN=users,dc=servidor1,dc=com
CN=pc1,CN=users,dc=servidor1,dc=com
CONVENCIN DE NOMENCLATURA DE CUENTAS DE USUARIO
Una convencin de nomenclatura establece cmo deben identificarse las cuentas
de usuario de un dominio. Una convencin coherente facilita recordar los nombres
de inicio de sesin de usuario y buscarlos en las listas. Por eso, es bueno
acostumbrarse a cumplir la convencin de nomenclatura en uso de una red que
admite un gran nmero de usuarios.
Las siguientes directrices deben ser tomadas en cuenta a la hora de crear una
convencin de nomenclatura:
Si hay un gran nmero de usuarios, la convencin para los nombres de
inicio de sesin de usuario deber adaptarse a los empleados con nombres
que se repitan. Un mtodo para seguir la nomenclatura en estos casos es
utilizar el nombre y la inicial del apellido y, a continuacin, agregar letras del
apellido para evitar nombres duplicados. Por ejemplo, para dos usuarios
con el nombre Nicols Reali, un nombre de usuario puede ser Nico1 y el
otro, Nico2.
En algunas empresas, es til identificar a los empleados temporales con
sus cuentas de usuario. Para ello, agregue un prefijo al nombre de inicio de
sesin de usuario, por ejemplo una T y un guin (-). Por ejemplo, T-NicoR.
Los nombres de usuario para cuentas de dominio deben ser nicos en
Active Directory. Los nombres de inicio de sesin de usuario deben ser
nicos en el bosque en el que se crea la cuenta de usuario.
435
Clase terica 26
PRCTICAS RECOMENDADAS PA R A CREAR CUENTAS DE USUARIO
Hay varias cuestiones relativas a la creacin de cuentas de usuario que reducen
los riesgos para la seguridad en un entorno de red.
Prcticas recomendadas para crear cuentas de usuario locales
No habilite cuentas Invitado
Limite el nmero de personas que pueden iniciar la sesin de forma local
Prticas recomendadas para crear cuentas de usuario de dominio
Deshabilite cualquier cuenta que no vaya utilizarse inmediatamente
Exija que los usuarios cambien la contrasea de sus cuentas la primera
vez que inicien la sesin
Cuentas de usuario local
Tenga en cuenta las siguientes recomendaciones a la hora de crear cuentas de
usuario locales:
No habilite cuentas de Invitado.
Cambie el nombre de la cuenta Administrador.
Limite el nmero de personas que pueden iniciar la sesin de forma local.
Utilice contraseas seguras.
Cuentas de usuario de dominio
Tenga en cuenta las siguientes recomendaciones a la hora de crear cuentas de
usuario de dominio:
Deshabilite cualquier cuenta que no vaya a utilizarse inmediatamente.
Coloque 1 recomendacin para cuentas de usuario de
dominio:
Coloque 1 recomendacin para cuentas de usuario
locales:
A
c
t
i
v
i
d
a
d
436
Exija que los usuarios cambien la contrasea de sus cuentas la primera
vez que inicien sesin.
Una medida de seguridad recomendable es que no inicie la sesin en su
equipo con credenciales de administrador.
Cuando inicie la sesin en su equipo sin credenciales de administrador, es
recomendable que utilice el comando Ejecutar como para realizar tareas
de administracin.
Cambie el nombre o deshabilite las cuentas de Invitado y Administrador en
cada dominio para evitar los ataques a la seguridad.
De forma predeterminada, el trfico en las herramientas administrativas
de Active Directory queda firmado y cifrado mientras se transmite por la
red. No deshabilite esta funcin.
CUENTAS DE EQUIPO
Cualquier equipo en el que se ejecute Microsoft Windows NT, Windows 2000,
Windows XP o Windows Server 2003, que pertenezca a un dominio tiene una
cuenta de equipo. Igual que las cuentas de usuario, las de equipo proporcionan
un medio para la autenticacin y auditora de acceso del equipo a la red y a los
recursos del dominio.
En Active Directory, los equipos son principios de seguridad, igual que los
usuarios. Esto significa que los equipos deben disponer de cuentas y contraseas.
Para que Active Directory autentique completamente a un usuario, ste debe
tener una cuenta de usuario vlida e iniciar sesin en el dominio desde un equipo
que disponga de una cuenta de equipo vlida.
Atencin
No se pueden crear cuentas para equipos en los que se ejecuta Microsoft W indows 95, Microsoft
W indows 98, Microsoft W indows Millennium Edition o W indows XP Home Edition, porque estos
sistemas operativos no cumplen los requisitos de seguridad de Active Directory.
Los equipos son responsables de realizar tareas clave, como autenticar el inicio
de sesin de un usuario, distribuir las direcciones de Protocolo de Internet (IP,
Internet Protocol), mantener la integridad de Active Directory y exigir el
cumplimiento de las directivas de seguridad. Para obtener acceso total a estos
recursos de red, los equipos deben disponer de cuentas vlidas en Active
Directory. Las dos principales funciones de una cuenta de equipo son preservar
la seguridad y realizar tareas de administracin.
Seguridad
Debe crearse una cuenta de equipo en Active Directory para que los usuarios
puedan beneficiarse de todas las funciones de Active Directory.Al crear una
cuenta de equipo, ste podr utilizar procesos de autenticacin avanzados como
la autenticacin Kerberos y la seguridad IP (IPSec, Internet Protocol Security)
437
Clase terica 26
para cifrar el trfico IP. El equipo tambin necesita una cuenta de equipo para
especificar cmo aplicar y guardar la auditora.
Administracin
Las cuentas de equipo facilitan al administrador la tarea de administrar la
estructura de la red. El administrador se sirve de cuentas de equipo para
administrar la funcionalidad del entorno de escritorio, automatizar el desarrollo
de software usando Active Directory y mantener el inventario de hardware y
software utilizando SMS. Las cuentas de equipo de un dominio tambin se utilizan
para controlar el acceso a los recursos.
Cuando el administrador crea una cuenta de equipo, elige la unidad organizativa
donde va a crearla. Si un equipo se une a un dominio, se crea la cuenta de
equipo en el contenedor de equipos y el administrador puede trasladar la cuenta
a la unidad organizativa correcta si es necesario.
De forma predeterminada, los usuarios de Active Directory pueden agregar hasta
10 equipos al dominio utilizando los permisos de su cuenta de usuario.
Esta configuracin puede modificarse. Si el administrador agrega directamente
una cuenta de equipo a Active Directory, un usuario puede agregar un equipo al
dominio sin utilizar ninguna de las 10 cuentas de equipo asignadas.
BLOQUEO DE CUENTAS DE USUARIO
Una cuenta de usuario se bloquea cuando ha sobrepasado el umbral de bloqueo
de la cuenta para un dominio. Esto ocurre porque el usuario ha intentado muchas
veces obtener acceso a la cuenta con una contrasea incorrecta o porque una
persona ajena a la red ha intentado descubrir las contraseas de usuario y ha
activado la directiva de bloqueo de la cuenta.
Los usuarios autorizados pueden bloquear una cuenta al escribir mal la
contrasea, al olvidarla o al haber intentado cambiarla en un equipo despus de
iniciar la sesin en otro. El equipo en el que se escribe una contrasea incorrecta
intenta continuamente autenticar al usuario. Y puesto que la contrasea que se
est utilizando es incorrecta, la cuenta finalmente se bloquea.
Definir que sistemas operativos no cumplen los
requisitos de seguridad de Active Directory:
Definir cuenta de equipo:
A
c
t
i
v
i
d
a
d
Diccionario
S M S
System Management
Server. Sistema de
administracin de
servidores.
438
La configuracin de seguridad de Active Directory determina el nmero de intentos
fallidos de inicio de sesin que provoca el bloqueo de una cuenta. El usuario no
podr utilizar la cuenta bloqueada hasta que el administrador la restablezca o
hasta que el tiempo de bloqueo finalice. Cuando una cuenta de usuario se bloquea,
aparece un mensaje de error y no se permite al usuario que realice ms intentos
de inicio de sesin.
Intento de sesin fallido
Un usuario puede bloquear una cuenta si intenta iniciar la sesin muchas veces
con una contrasea incorrecta.
Los intentos con contrasea incorrecta se producen cuando:
El usuario inicia la sesin en la pantalla correspondiente pero proporciona
una contrasea incorrecta.
El usuario inicia la sesin con una cuenta local y proporciona una cuenta
de usuario de dominio y una contrasea incorrectas cuando intenta obtener
acceso a los recursos de la red.
El usuario inicia la sesin con una cuenta local y proporciona una cuenta
de usuario de dominio y una contrasea incorrectas cuando intenta obtener
acceso a los recursos de la red con el comando runas.
Restablecimiento de la contrasea de una cuenta
Los administradores pueden restablecer la contrasea de usuario para que puedan
volver a obtener acceso. Antes de intentar restablecer la contrasea de dominio
y la local, compruebe que tiene el nivel de permisos adecuado.
Despus de restablecer la contrasea de usuario, hay informacin a la que ya
no se puede tener acceso, como la que se especifica a continuacin:
Correo electrnico cifrado con la clave pblica del usuario
Contraseas de Internet que se guardan en el equipo
Archivos cifrados por el usuario
Cuando necesite
restablecer una
contrasea de usuario,
recuerde que los
administradores locales
y los Administradores de
dominio,
Administradores de
organizacin,
Operadores de cuentas y
todos aquellos grupos a
los que se les haya
otorgado la autoridad
para restablecer
contraseas estn
autorizados a restablecer
las contraseas.
Nota
LOCALIZACIN DE OBJETOS EN ACTIVE DIRECTO RY
Debido a que todas las cuentas de usuario se encuentran en Active Directory, los
administradores pueden buscar las que administran.
Adems, tambin se pueden buscar otros objetos de Active Directory, como
equipos, impresoras y carpetas compartidas. Una vez encontrados estos objetos,
pueden administrarse desde el cuadro Resultado de la bsqueda.
439
Clase terica 26
Tambin es posible buscar otros objetos, como unidades organizativas especficas
o plantillas de certificado. Es necesario utilizar Bsqueda personalizada para
crear consultas de bsqueda personalizada utilizando opciones de bsqueda
avanzada o para crear consultas de bsqueda avanzada mediante LDAP, que es
el protocolo de acceso principal para Active Directory.
440
Clase prctica 26
Administracin de Grupos
En el servidor 1 (MGP-SRV04)
Una vez iniciado el sistema se proceder a iniciar sesin como Administrador presionando
simultneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz de inicio de sesin.
Introducir MgP393pDC (sin las comillas) como contrasea y presionar la tecla ENTER
Una vez en el escritorio se proceder de la siguiente manera:
Men Inicio (clic)
Herramientas administrativas (clic)
Usuarios y equipos de Active Directory (clic) Ejecuta la consola de Administracin de
usuarios y equipos de Active Directory
Megapack.com (doble clic)
Megapack.com (clic con el botn derecho del Mouse)
Nuevo (clic)
Unidad organizativa (clic) Crear una nueva Unidad Organizativa
Colocar Servidores (sin las comillas) en el cuadro de texto Nombre:
Botn Aceptar (clic) Crea la nueva unidad organizativa Servidores
Megapack.com (clic con el botn derecho del Mouse)
Nuevo (clic)
Unidad organizativa (clic) Crear una nueva Unidad Organizativa
Colocar Tecnologa (sin las comillas) en el cuadro de texto Nombre:
Botn Aceptar (clic) Crea la nueva unidad organizativa Tecnologa
Domain Controllers (doble clic)
Tecnologa (clic con el botn derecho del mouse)
Nuevo (clic)
Grupo (clic) Crear un nuevo grupo de usuarios dentro de la unidad organizativa
tecnologa
Establecer la siguiente configuracin para el grupo:
Nombre de grupo: Sistemas
Nombre de grupo (anterior a Windows 2000): Sistemas
mbito del grupo: Global
Tipo de grupo: Seguridad
Botn Aceptar (clic) crea el grupo sistema como un grupo global y de seguridad
Nuevo (clic)
tecnologa
Nombre de grupo: DBA
Nombre de grupo (anterior a Windows 2000): DBA
Ejercicio 1:
Mediante la realizacin de esta prctica usted comprender la funcin y la correcta manera
de implementacin de cuentas de usuario de un dominio adems de las correspondientes
cuentas de equipo.
Los siguientes ejercicios estn desarrollados para que usted pueda aplicarlos
efectivamente en el mbito laboral, permitindole resolver problemas de manera eficaz y
concreta.
Botn Aceptar (clic) crea el grupo DBA como un grupo global y de seguridad
Nuevo (clic)
ventas
Nombre de grupo: Desarrollo
Nombre de grupo (anterior a Windows 2000): Desarrollo
Botn Aceptar (clic) crea el grupo Desarrollo como un grupo global y de seguridad
Ejercicio 1:
Icono Mis sitios de red (clic con el botn derecho del Mouse)
Propiedades (clic) despliega la ventana de Conexiones de red y de acceso telefnico
Icono Conexin de rea local (clic con el botn derecho del Mouse)
Propiedades (clic) despliega la ventana de Propiedades de Conexin de rea local
Protocolo Internet (TCP/IP) (doble clic) despliega la ventana de Propiedades de
Protocolo Internet (TCP/IP)
Marcar la opcin Usar la siguiente direccin IP:
Establecer la siguiente configuracin (dejar el resto de las opciones en blanco):
Direccin IP: 172.16.1.4
Mascara de subred: 255.255.0.0
Servidor DNS preferido: 172.16.1.3
Botn Avanzada (clic) despliega la ventana de configuracin avanzada
Solapa DNS (clic) Acceder a la configuracin avanzada del cliente DNS
Desmarcar la opcin Anexar sufijos primarios del sufijo DNS principal (haciendo un clic
en la casilla de verificacin)
Botn Aceptar (clic) Guardar configuracin y salir
Botn Aceptar (clic) Activar la nueva configuracin y salir
Cerrar la ventana de Conexiones de red y de acceso telefnico (haciendo clic en la X
que se encuentra en el ngulo superior derecho de la ventana.)
Una vez en el escritorio se proceder de la siguiente manera para promover al servidor
a controlador de dominio:
Men Inicio (clic)
Ejecutar (clic)
Ingresar dcpromo (sin las comillas) en el cuadro de texto y presionar la tecla ENTER
ejecutar el asistente de instalacin de Active Directory.
Botn Siguiente (clic)
Controlador de dominio adicional para un dominio existente (clic)
Establecer la siguiente configuracin en la ventana Credenciales de red:
Nombre de usuario: Administrador
Contrasea: MgP393pDC
En el Servidor 2 (MGP-SRV05):
442
Dominio: megapack0
Botn Siguiente (clic) Establece cuales son las credenciales que se utilizarn para
agregar el nuevo controlador al dominio
Introducir megapack.com (sin las comillas) en el cuadro de texto Nombre de dominio
Indica a que dominio se desea agregar el nuevo controlador
Botn Siguiente (clic) Establece la ruta por defecto para la ubicacin de la base
de datos y el registro de Active Directory (C:\WINNT\NTDS)
Botn Siguiente (clic) Establece la ruta por defecto para la ubicacin de la
carpeta SYSVOL (C:\WINNT\SYSVOL)
Establecer la siguiente configuracin para la Contrasea del Modo de restauracin de
servicios de directorio:
Botn Siguiente (clic) comienza el proceso de replicacin
Botn Finalizar (clic)
Responder de manera afirmativa a la pregunta de si se desea reiniciar el equipo Al
reiniciar los cambios tendrn efecto
Una vez el equipo reinicie, verificar que estn instaladas las herramientas de sistema
correspondientes y el estado de la base de datos de Active Directory (Grupos, unidades
organizativas, etc.)
444
Clase terica 27
INTRODUCCIN
Los grupos pueden ser utilizados para administrar de forma eficaz el acceso a
los recursos de un dominio y simplificar, de este modo, la administracin y
mantenimiento de la red.
Tambin pueden utilizarse los grupos de forma independiente o incluir un grupo
dentro de otro para simplificar an mas la administracin.
Antes de poder utilizar grupos de forma eficaz, se debe conocer la funcin de los
grupos y los tipos de grupo que se pueden crear. El servicio de directorios Active
Directory admite diferentes tipos de grupos y ofrece tambin opciones para
determinar el mbito del grupo, es decir, cmo puede utilizarse el grupo en varios
dominios.
GRUPOS
Los grupos son un conjunto de cuentas de equipo y de usuario que se pueden
administrar como una sola unidad. Los grupos:
Simplifican la administracin al facilitar la concesin de permisos para
recursos a todo un grupo en lugar de a cada una de las cuentas de usuario
individualmente.
Pueden estar basados en Active Directory o ser locales, de un equipo
individual.
Se distinguen por su mbito y tipo.
Pueden anidarse, es decir, se puede agregar un grupo a otro.
mbitos de grupo
El mbito de un grupo determina si el grupo comprende varios dominios o se
limita a uno solo. Los mbitos de grupo permiten utilizar grupos para la concesin
de permisos. El mbito de grupo determina:
Los dominios desde los que puede agregar miembros al grupo.
Los dominios en los que puede utilizar el grupo para conceder permisos.
Los dominios en los que puede anidar el grupo en otros grupos.
El mbito de un grupo determina cules son los miembros del grupo. Las reglas
de pertenencia controlan los miembros que puede contener un grupo y los grupos
445
Clase terica 27
de los que puede ser miembro. Los miembros de un grupo estn formados por
cuentas de usuario, cuentas de equipo y otros grupos.
Para asignar los miembros correctos a los grupos y para anidar un grupo, es
importante conocer las caractersticas del mbito de grupo. Existen los siguientes
mbitos de grupo:
Global
Local de dominio
TIPOS DE GRUPO
Puede utilizar los grupos para organizar las cuentas de usuario, de equipo y
otras cuentas de grupo en unidades administrables. Trabajar con grupos en lugar
de con usuarios individuales, ayuda a simplificar la administracin y el
mantenimiento de la red. Existen los siguientes grupos en Active Directory:
Distribucin
Se utiliza para asignar derechos y permisos de usuario. Se puede usar como una lista
de distribucin de correo electrnico.
Slo se puede usar con aplicaciones de correo electrnico. NO se puede utilizar para
asignar permisos
Los grupos simplifican la administracin, ya que permiten asignar
permisos para los recursos
G R U P O
Los grupos se distinguen por su mbito y tipo
El mbito de un grupo determina si el grupo comprende varios dominios o se limita a uno slo.
Los 3 mbitos de grupo son: global, local de dominio, universal y local.
Universal
Local
Definir mbito de grupo: Definir grupo:
A
c
t
i
v
i
d
a
d
DESCRIPCIN TIPO DE GRUPO
Seguridad
446
Grupos de seguridad
Puede utilizar los grupos de seguridad para asignar derechos y permisos de
usuario a grupos de usuarios y equipos. Los derechos especifican las acciones
que pueden realizar los miembros de un grupo de seguridad en un dominio o
bosque, y los permisos especifican los recursos a los que puede obtener acceso
un miembro de un grupo en la red.
Tambin puede utilizar grupos de seguridad para enviar mensajes de correo
electrnico a varios usuarios. Al enviar un mensaje de correo electrnico al grupo,
el mensaje se enva a todos sus miembros. Por lo tanto, los grupos de seguridad
tienen funciones de grupos de distribucin.
Grupos de distribucin
Puede utilizar los grupos de distribucin con aplicaciones de correo electrnico,
como Microsoft Exchange, para enviar mensajes de correo electrnico a grupos
de usuarios. La finalidad principal de este tipo de grupo es recopilar objetos
relacionados, no conceder permisos.
Los grupos de distribucin no tienen habilitada la seguridad, es decir, no pueden
utilizarse para asignar permisos. Si necesita un grupo para controlar el acceso a
los recursos compartidos, cree un grupo de seguridad. Aunque los grupos de
seguridad tienen todas las funciones de los grupos de distribucin, estos ltimos
todava son necesarios, porque algunas
aplicaciones slo pueden utilizar grupos de distribucin. Los grupos de distribucin
y de seguridad admiten uno de los tres mbitos de grupo.
NIVELES FUNCIONALES DE DOMINIO
Las caractersticas de los grupos de Active Directory dependen del nivel funcional
de dominio. La funcionalidad de dominio activa funciones que afectan a todo un
dominio y slo a ese dominio.
Hay tres niveles funcionales de dominio disponibles:
Microsoft Windows 2000 mixto
Windows 2000 nativo
Microsoft Windows Server 2003.
Los dominios funcionan de forma predeterminada en el nivel funcional Windows
2000 mixto.
Puede aumentar el nivel funcional de dominio a Windows 2000 nativo o Windows
Server 2003.
447
Clase terica 27
Windows 2000
mixto
(predeterminado)
Windows NT Server 4.0,
Windows 2000,
Windows Server 2003
Global y local de
dominio
Controladores de
dominio admitidos
mbitos de grupo
admitidos
Windows 2000 nativo
Windows 2000,
Windows Server 2003
Global, local de dominio
y universal
Windows Server 2003
Windows Server 2003
Global, local de dominio
y universal
Puede convertir en
cualquier momento
un grupo de
seguridad en un
grupo de distribucin
y viceversa, pero
slo si el nivel
funcional de dominio
se encuentra
definido en W indows
2000 nativo o
superior.
Nota
GRUPOS GLOBALES
Un grupo global es un grupo de distribucin o de seguridad que puede contener
usuarios, grupos y equipos procedentes del mismo dominio que el grupo global.
Se pueden utilizar los grupos de seguridad globales para asignar derechos y
permisos de usuario a los recursos de cualquier dominio del bosque.
Caractersticas de los grupos globales:
Miembros
En un nivel funcional de dominio mixto, los grupos globales pueden
contener cuentas de usuario y equipo del mismo dominio que el grupo
global.
En un nivel funcional nativo, los grupos globales pueden contener cuentas
de usuario, cuentas de equipo y grupos globales del mismo dominio
que el grupo global.
Puede ser miembro de:
En el modo mixto, un grupo global slo puede ser miembro de grupos
locales de dominio.
En el modo nativo, un grupo global puede ser miembro de grupos locales
de dominio y universales en cualquier dominio, y de grupos globales del
mismo dominio que el grupo global.
Enumerar niveles de un dominio: Definir grupo de distribucin:
A
c
t
i
v
i
d
a
d
448
mbito
Un grupo global es visible dentro de su dominio y de todos los dominios
de confianza, en los que se incluyen todos los dominios del bosque.
Permisos
Puede conceder permisos a un grupo global para todos los dominios del
bosque.
Debido a que los grupos globales son visibles en todo el bosque, no deben crearse
para obtener acceso a recursos especficos del dominio. Se debe utilizar un
grupo global para organizar a los usuarios que comparten las mismas tareas de
trabajo y necesitan requisitos de acceso a la red similares. Para controlar el
acceso a los recursos de un dominio, sera conveniente utilizar otro tipo de grupo.
GRUPOS UNIVERSALES
Un grupo universal es un grupo de distribucin o de seguridad que contiene
usuarios, grupos y equipos de cualquier dominio del bosque. Se pueden utilizar
los grupos de seguridad universales para asignar derechos y permisos de usuario
a los recursos de cualquier dominio del bosque.
Caractersticas de los grupos universales:
Miembros
No puede crear grupos universales en el modo mixto.
En el modo nativo, los grupos universales pueden contener cuentas de
usuario, cuentas de equipo, grupos globales y otros grupos universales
de cualquier dominio del bosque.
Puede ser miembro de:
No se puede aplicar el grupo universal en el modo mixto.
En el modo nativo, el grupo universal puede ser miembro de los grupos
locales de dominio y universales de cualquier dominio.
mbito
Los grupos universales son visibles en todos los dominios del bosque y
dominios de confianza.
Permisos
Puede conceder permisos a grupos universales para todos los dominios
del bosque.
Se deben utilizar los grupos universales para anidar grupos globales y poder
asignar permisos a recursos relacionados de varios dominios. Un dominio de
449
Clase terica 27
Windows Server 2003 R2 debe estar en el modo Windows 2000 nativo o superior
para poder utilizar grupos universales.
GRUPOS LOCALES
Un grupo local es un conjunto de cuentas de usuario y grupos de dominio creados
en un servidor miembro o en un servidor independiente. Se pueden crear grupos
locales para conceder permisos para los recursos que residen en un equipo
local. Windows 2000 o Windows Server 2003 R2 crean grupos locales en una
base de datos de seguridad local. Los grupos locales pueden contener usuarios,
equipos, grupos globales, grupos universales y otros grupos locales de dominio.
Debido a que los grupos con un mbito local de dominio reciben a menudo el
nombre de grupos locales, es importante distinguir entre un grupo local y un
grupo con mbito local de dominio. Los grupos locales a veces reciben el nombre
de grupos locales de equipo para distinguirlos de los grupos locales de dominio.
Caractersticas de los grupos locales:
Los grupos locales pueden contener cuentas de usuario locales del equipo
en el que se crea el grupo local.
Los grupos locales no pueden ser miembros de otro grupo.
Directrices para utilizar grupos locales:
Slo se pueden utilizar grupos locales en el equipo en el se crean los grupos
locales. Los permisos del grupo local ofrecen acceso slo a los recursos del
equipo en el que se cre el grupo local.
Se pueden utilizar los grupos locales en los equipos que estn ejecutando
actualmente sistemas operativos clientes de Microsoft admitidos y en
servidores miembros en los que se est ejecutando Windows Server 2003.
No puede crear grupos locales en controladores de dominio, porque stos
no pueden tener una base de datos de seguridad independiente de la base
de datos de Active Directory.
Cree grupos locales para limitar la capacidad de acceso de los usuarios y
grupos locales a los recursos de la red cuando no desee crear grupos de
dominio.
Definir grupo local: Definir grupo universal:
A
c
t
i
v
i
d
a
d
450
ANIDAMIENTO DE GRUPOS
Mediante el anidamiento, se puede agregar un grupo como miembro de otro.
Se pueden anidar grupos para consolidar la administracin de grupos. El
anidamiento aumenta las cuentas de miembros que se ven afectadas por una
nica accin y reduce el trfico provocado por la replicacin de los cambios en
la pertenencia a grupos.
Las opciones de anidamiento varan en funcin de que el nivel funcional del
dominio de Windows Server 2003 se haya establecido como Windows 2000
nativo o Windows 2000 mixto. En los dominios en los que se ha establecido el
nivel funcional de dominio en Windows 2000 nativo, la pertenencia a grupos viene
determinada de la siguiente manera:
Los grupos universales pueden tener los siguientes miembros: cuentas
de usuario, cuentas de equipo, grupos universales y grupos globales de
cualquier dominio.
Los grupos globales pueden tener los siguientes miembros: cuentas de
usuario, cuentas de equipo y grupos globales del mismo dominio.
Los grupos locales de dominio pueden tener los siguientes miembros:
cuentas de usuario, cuentas de equipo, grupos universales y grupos
globales de cualquier dominio. Pueden tener tambin como miembros
grupos locales de dominio del mismo dominio.
No se pueden crear grupos de seguridad con mbito universal en dominios en
los que el nivel funcional de dominio se ha establecido en Windows 2000 mixto.
Slo admiten un mbito universal, los dominios en los que el nivel funcional de
dominio se ha establecido en Windows 2000 nativo o Windows Server 2003.
Atencin
Se recomienda minimizar los niveles de anidamiento. Un nico nivel de anidamiento es el mtodo ms
eficaz, porque el seguimiento de los permisos se complica cuando hay varios niveles.
Adems, la solucin de problemas se dificulta si es necesario realizar un seguimiento de los permisos en
varios niveles de anidamiento. Por lo tanto, documente la pertenencia a grupos para realizar un
seguimiento de los permisos.
MODIFICACIN DEL MBITO O TIPO DE UN GRUPO
Al crear un grupo nuevo, ste se configura de forma predeterminada como grupo
de seguridad con mbito global, independientemente del nivel funcional de dominio
actual.
Aunque no se puede cambiar el mbito de grupo en dominios con un nivel funcional
de dominio definido en Windows 2000 mixto, se pueden realizar los siguientes
cambios de mbito en dominios con un nivel funcional de dominio definido en
Windows 2000 nativo o Windows Server 2003:
451
Clase terica 27
De global a universal. Slo se permite realizar este cambio si el grupo que
desea cambiar no es miembro de otro grupo global.
De local de dominio a universal. Slo se permite realizar este cambio si el
grupo que desea cambiar no tiene otro grupo local de dominio como
miembro.
De universal a global. Slo se permite realizar este cambio si el grupo que
desea cambiar no tiene otro grupo universal como miembro.
De universal a local de dominio. No existen restricciones para realizar este
cambio.
No se puede cambiar un
mbito de grupo de
global a local de dominio
directamente. Para
realizar esta accin, se
debe cambiar primero el
mbito de grupo de
global a universal y, a
continuacin, de
universal a local de
dominio.
Nota
Cambio del tipo de grupo
Puede convertir en cualquier momento un grupo de seguridad en un grupo de
distribucin y viceversa, pero slo si el nivel funcional de dominio se encuentra
definido en Windows 2000 nativo o superior. No puede convertir un grupo si el
nivel funcional de dominio se encuentra definido en Windows 2000 mixto.
Se pueden convertir grupos de un tipo a otro en las siguientes situaciones:
De seguridad a distribucin: Si una compaa se divide en dos. Los usuarios
se migran de un dominio a otro, pero mantienen sus direcciones de correo
electrnico antiguas. Desea enviarles mensajes de correo electrnico,
mediante los grupos de seguridad antiguos, pero prefiere eliminar el
contexto de seguridad del grupo.
De distribucin a seguridad: Un grupo de distribucin aumenta
considerablemente y los usuarios desean utilizarlo para tareas relacionadas
con la seguridad. Sin embargo, an desean utilizar el grupo para tareas de
correo electrnico.
Asignar un administrador a un grupo
Active Directory de Windows Server 2003 permite asignar un administrador a un
grupo como propiedad del grupo. Esto le permite:
Controlar quin es la persona responsable de los grupos.
Delegar en el administrador del grupo la autoridad para agregar y eliminar
usuarios del grupo.
Cuntos niveles de anidamiento se recomiendan? Definir anidamiento de grupos:
A
c
t
i
v
i
d
a
d
452
Debido a que, en las grandes organizaciones, se suelen agregar y eliminar
personas de los grupos con bastante frecuencia, algunas organizaciones
distribuyen la responsabilidad administrativa de agregar usuarios a grupos entre
las personas que solicitan el grupo.
Al documentar quin es el administrador del grupo, la informacin de contacto
de esa cuenta de usuario queda registrada. Si se necesita alguna vez migrar el
grupo a otro dominio, o si es necesario eliminarlo, el administrador de red tiene
un registro que contiene informacin sobre el propietario del grupo y su
informacin de contacto. Por lo tanto, el administrador de red puede llamar o
enviar un mensaje al administrador del grupo para notificarle el cambio que es
necesario realizar en el grupo.
GRUPOS PREDETERMINADOS EN ACTIVE DIRECTO RY
Los grupos predeterminados son grupos de seguridad que se crean
automticamente al instalar un dominio de Active Directory. Puede utilizar estos
grupos predefinidos para administrar los recursos compartidos y delegar
determinadas funciones administrativas en todo el dominio.
A un gran nmero de grupos predeterminados se les asigna automticamente
un conjunto de derechos de usuario que determinan las acciones que puede
realizar cada grupo y sus miembros en el mbito de un dominio o bosque. Los
derechos de usuario autorizan a los miembros de un grupo a realizar acciones
especficas, como iniciar una sesin en un sistema local o realizar copias de
seguridad de archivos y carpetas. Por ejemplo, un miembro del grupo Operadores
de copia tiene derecho a realizar copias de seguridad de todos los
controladores de dominio del dominio.
Algunos grupos predeterminados estn disponibles en los contenedores Users
(Usuarios) y Builtin (Integrado) de Active Directory. El contenedor Builtin contiene
grupos locales de dominio. El contenedor Users contiene grupos globales y
grupos locales de dominio. Puede mover grupos de los contenedores Users y
Builtin a otro grupo o a carpetas de una unidad organizativa del dominio, pero no
puede moverlos a otros dominios.
GRUPOS DEL SISTEMA
Los servidores con Windows Server 2003 incluyen algunas identidades
especiales, adems de los grupos de los contenedores Users y Builtin.
Normalmente, por comodidad, estas identidades reciben el nombre de grupos
del sistema. Los grupos del sistema representan a diferentes usuarios en
distintas ocasiones, en funcin de las circunstancias. Aunque se pueden conceder
derechos y permisos de usuario a los grupos del sistema, no se pueden modificar
o ver sus miembros.
Los mbitos de grupo no se aplican a los grupos del sistema. Los usuarios se
asignan automticamente a los grupos del sistema cada vez que inician una
sesin o tienen acceso a un determinado recurso.
Clase prctica 27
Administracin de Usuarios
En el Servidor 1 (MGP-SRV04): Ejercicio 1:
Men Inicio (clic)
Usuarios y equipos de Active Directory (clic) Ejecuta la consola de Administracin
de usuarios y equipos de Active Directory
Users (clic con el botn derecho del mouse)
Nuevo (clic)
Usuario (clic) Crear un nuevo usuario
Establecer la siguiente configuracin para el usuario:
Nombre: Sistemas
Apellidos: 8 a 14
Nombre de inicio de sesin: sis8a14
Dejar la contrasea en blanco
Marcar las siguientes opciones:
El usuario debe cambiar la contrasea en el siguiente inicio de
sesin
Botn Finalizar (clic) Finaliza el proceso de creacin del usuario
Sistemas 8 a 14 (doble clic) despliega la ventana de Propiedades de Sistemas 8 a
14
Solapa Miembro de (clic) Acceder a la configuracin de grupos a los que pertenece
el usuario
Botn Agregar (clic) Desplegar la ventana de seleccin de grupos disponibles
tem Sistemas (doble clic) Selecciona el grupo Sistemas
Botn Aceptar (clic) Agregar el usuario al grupo seleccionado
Solapa Cuenta (clic) Acceder a las propiedades de la cuenta
Botn Horas de inicio de sesin (clic) Establecer en que horario le est permitido
iniciar sesin al usuario
Establecer el horario de inicio de sesin permitido de 8 a 14 de lunes a viernes y
colocando como inicio de sesin denegado al resto de los horarios. Una vez finalizado
hacer clic en el botn Aceptar Establece el horario de inicio de sesin.
Botn Aceptar (clic) cerrar la ventana de propiedades y actualizar los cambios
Nuevo (clic)
Nombre: Sistemas2
Mediante la realizacin de esta prctica usted comprender la funcin y correcta
implementacin y administracin de grupos de usuario.
concreta.
Administracin de Grupos 454
Apellidos: 14 a 20
Nombre de inicio de sesin: sis14a20
sesin
Sistemas2 14 a 20 (doble clic) despliega la ventana de Propiedades de Sistemas2 14
a 20
el usuario
tem Sistemas (doble clic) Selecciona el grupo Sistemas
Nuevo (clic)
Nombre: DBA
Apellidos: 8 a 14
Nombre de inicio de sesin: dba8a14
sesin
DBA 8 a 14 (doble clic) despliega la ventana de Propiedades de DBA 8 a 14
el usuario
tem DBA (doble clic) Selecciona el grupo DBA
Nuevo (clic)
Nombre: DBA2
Apellidos: 14 a 20
Nombre de inicio de sesin: dba14a20
sesin
DBA2 14 a 20 (doble clic) despliega la ventana de Propiedades de DBA2 14 a 20
el usuario
tem DBA (doble clic) Selecciona el grupo DBA
Nuevo (clic)
Nombre: Desarrollo
Apellidos: 11 a 19
Nombre de inicio de sesin: des11a19
sesin
Desarrollo 11 a 19 (doble clic) despliega la ventana de Propiedades de Desarrollo 11
a 19
el usuario
tem Desarrollo (doble clic) Selecciona el grupo Desarrollo
Users (clic)
Sistemas 8 a 14 (clic con el botn derecho del Mouse)
Copiar (clic) Utilizar al usuario seleccionado como plantilla para crear uno nuevo y
de esa manera no tener que especificar todos los parmetros cada vez
Nombre: Juan Pablo
Apellidos: Ramirez Angeloni
Nombre de inicio de sesin: seeker
sesin (verificar que ya se encuentre marcada)
Sistemas 8 a 14 (clic con el botn derecho del Mouse)
Nombre: Alan
Apellidos: Philip Ballarino
Nombre de inicio de sesin: sp_zeus
Sistemas2 14 a 20 (clic con el botn derecho del Mouse)
Nombre: Matas
Apellidos: Finauri
Nombre de inicio de sesin: finmat
Sistemas2 14 a 20 (clic con el botn derecho del Mouse)
Nombre: David Federico
Apellidos: Pared
Nombre de inicio de sesin: pardav
DBA 8 a 14 (clic con el botn derecho del Mouse)
Nombre: Edmundo
Apellidos: Dengo
Nombre de inicio de sesin: denedm
DBA 8 a 14 (clic con el botn derecho del Mouse)
Nombre: Gabriel
Apellidos: Duarte
Nombre de inicio de sesin: duagab
DBA2 14 a 20 (clic con el botn derecho del Mouse)
Nombre: Nicols
Apellidos: Pereda
Nombre de inicio de sesin: pernic
DBA2 14 a 20 (clic con el botn derecho del Mouse)
Nombre: Leonardo
Apellidos: Maldonado
Nombre de inicio de sesin: malleo
Desarrollo 11 a 19 (clic con el botn derecho del Mouse)
Nombre: Sergio
Apellidos: Pascuale
Nombre de inicio de sesin: passer
Desarrollo 11 a 19 (clic con el botn derecho del Mouse)
Nombre: Graciela
Apellidos: Garca
Nombre de inicio de sesin: gargra
Cerrar la consola Usuarios y equipos de Active Directory (hacer clic el icono en forma
de X que se encuentra en la esquina superior derecha de la ventana)
Verificar que en el servidor 2 (MGP-SRV05) estn replicados correctamente los usuarios
creados anteriormente.
460
Administracin de acceso a recursos
Clase terica 28
PERMISOS
Los permisos definen el tipo de acceso concedido a un usuario, grupo o equipo
para un objeto. Por ejemplo, puede permitir a un usuario leer el contenido de un
archivo, dejar que otro usuario realice cambios en el archivo e impedir a los
dems usuarios el acceso al archivo.
Puede establecer permisos similares en impresoras para que determinados
usuarios puedan configurar una impresora y otros usuarios slo puedan imprimir
en ella.
Los permisos se aplican a cualquier objeto protegido, como archivos, objetos del
servicio de directorios Active Directory y objetos del registro. Los permisos se
pueden conceder a cualquier usuario, grupo o equipo.
Puede conceder permisos para objetos a:
Grupos, usuarios e identidades especiales del dominio.
Grupos y usuarios de cualquier dominio de confianza.
Grupos y usuarios locales del equipo en el que reside el objeto.
TIPOS DE PERMISOS
Al establecer permisos, se especifica el nivel de acceso de los grupos y usuarios.
Los permisos adjuntos a un objeto dependen del tipo de objeto. Por ejemplo, los
permisos que se adjuntan a un archivo son diferentes de los que se adjuntan a
una clave de registro. Sin embargo, algunos permisos, son comunes a la mayora
de los tipos de objeto.
Los permisos siguientes son permisos comunes:
Permisos de lectura
Permisos de escritura
Permisos de eliminacin
Se pueden conceder permisos estndar y especiales para objetos. Los permisos
estndar son los que se asignan con mayor frecuencia. Los permisos especiales
ofrecen un grado de control ms preciso para asignar acceso a objetos.
461
Clase terica 28
Permisos estndar
El sistema tiene un nivel de configuracin de seguridad predeterminado para un
determinado objeto. Esta configuracin constituye el conjunto de permisos ms
habituales que suele utilizar diariamente un administrador de sistema. La lista
de permisos estndar disponibles vara en funcin del tipo de objeto para el que
se est modificando la seguridad.
Permisos especiales
Los permisos especiales conforman una lista ms detallada. Un permiso NFTS
de lectura estndar est relacionado con los siguientes permisos especiales:
Mostrar lista de carpetas/leer datos
Leer atributos
Leer atributos extendidos
Leer permisos
Si el administrador del sistema elimina un permiso especial relacionado con un
permiso estndar, la casilla de verificacin del permiso estndar deja de estar
activada. En su lugar, se activa la casilla de verificacin del permiso especial
incluido en la lista de permisos estndar.
CARPETAS COMPARTIDAS
Una carpeta compartida es aqulla a la que pueden obtener acceso varios
usuarios a travs de la red. Una vez que se comparte una carpeta, los usuarios
pueden obtener acceso a todos sus archivos y subcarpetas, siempre que se les
hayan concedido permisos.
Se pueden colocar carpetas compartidas en el servidor de archivos o en un
equipo de la red y se pueden almacenar archivos en las carpetas compartidas
segn sus categoras y funciones. Por ejemplo, se pueden colocar archivos de
datos compartidos en una carpeta y compartir archivos de aplicacin en otra.
A continuacin, se enumeran algunas de las caractersticas ms comunes de
las carpetas compartidas:
Definir carpetas compartidas: Definir permisos:
A
c
t
i
v
i
d
a
d
462
Una carpeta compartida se distingue en el Explorador de Windows por un
icono de una mano que sostiene una carpeta.
Slo se pueden compartir carpetas, no archivos individuales. Si varios
usuarios necesitan obtener acceso al mismo archivo, debe introducirlo en
una carpeta y compartir sta a continuacin.
Cuando se comparte una carpeta, se concede un permiso de lectura al
grupo Todos de forma predeterminada. Elimine el permiso predeterminado
y conceda permiso de cambio o de lectura a los grupos segn sea
necesario.
Cuando se agregan usuarios o grupos a una carpeta compartida, el permiso
predeterminado es el de lectura.
Al copiar una carpeta compartida, se sigue compartiendo la carpeta
compartida original, pero no as su copia. Cuando una carpeta compartida
se mueve a otra ubicacin, deja de estar compartida.
Puede ocultar una carpeta compartida si pone un signo de pesos ($) al
final del nombre de la carpeta. El usuario no puede ver la carpeta compartida
en la interfaz de usuario, pero puede obtener acceso a ella escribiendo el
nombre UNC (Universal Naming Convention, Convencin de nomenclatura
universal). Por ejemplo \\servidor\carpeta$.
Carpetas compartidas administrativas
Windows Server 2003 R2 comparte automticamente carpetas que permiten
realizar tareas administrativas. Se caracterizan por incluir un signo de peso ($)
al final del nombre de carpeta.
El signo de pesos permite ocultar la carpeta compartida a los usuarios que
examinan el equipo en Mis sitios de red. Los administradores pueden administrar
de forma rpida archivos y carpetas en servidores remotos utilizando estas
carpetas compartidas ocultas.
Los miembros del grupo Administradores tienen, de manera predeterminada,
permiso de control total en las carpetas compartidas administrativas. No se
pueden modificar los permisos de las carpetas compartidas administrativas. La
siguiente tabla describe la finalidad de las carpetas compartidas administrativas
que ofrece automticamente Windows Server 2003 R2.
463
Clase terica 28
R E C U R S O S
C O M P A R T I D O S
ADMINISTRATIVAMENTE
Utilice estas carpetas compartidas para conectarse de forma remota a un equipo
y realizar tareas administrativas. La raz de cada particin (que tenga una letra
de unidad asignada) del disco duro se comparte automticamante. Al conectarse
a esta carpeta, tiene acceso a toda la particin.
sta es la carpeta raz del sistema, que se encuentra de forma predeterminada
en C:\WINDOWS. Los administradores pueden obtener acceso a esta carpeta
compartida para administrar Windows Server 2003 R2 sin necesidad de conocer
en qu carpeta est instalada esta aplicacin.
Esta carpeta ofrece acceso a los archivos de controladores de impresora de
los equipos clientes. Al instalar la primera impresora compartida, la carpeta
ubicada en Systemroot\System32\Spool\Drivers se comparte con el nombre
Print$. Slo los miembros de los grupos Administradores,
Operadores de servidor y Operadores de impresin tienen permiso de
control total para esta carpeta. El grupo Todos tiene permiso de lectura para
esta carpeta.
IPC$ se utiliza durante la administracin remota de un equipoy al ver sus
recursos compartidos.
Esta carpeta compartida se utiliza para almacenar temporalmente archivos
en cach y para obtener acceso a las portadas del servidor.
C$, D$, E$
F U N C I N
FAX$
IPC$
Print$
Admin$
Carpetas compartidas publicadas
Los recursos de publicacin y las carpetas compartidas de Active Directory
permiten a los usuarios buscar en Active Directory recursos de la red, incluso
aunque cambie la ubicacin fsica de los recursos.
Por ejemplo, si se mueve una carpeta compartida a otro equipo, todos los accesos
directos que sealan al objeto de Active Directory que representa a la carpeta
compartida publicada siguen funcionando, siempre que se actualice la referencia
a la ubicacin fsica. No es necesario que los usuarios actualicen las conexiones.
Se puede publicar una carpeta compartida en Active Directory a la que se pueda
obtener acceso mediante un nombre UNC. Una vez publicada una carpeta
compartida, el usuario del equipo con Windows Server 2003 R2 puede utilizar
Active Directory para buscar el objeto que representa a la carpeta compartida y
conectarse a sta.
Definir admin$: Definir carpetas administrativas:
A
c
t
i
v
i
d
a
d
464
Al publicar la carpeta compartida en Active Directory, sta se convierte en un
objeto secundario de la cuenta de equipo.
PERMISOS DE CARPETAS COMPARTIDAS
Los permisos de las carpetas compartidas slo se aplican a los usuarios que se
conectan a la carpeta a travs de la red. No restringen el acceso de los usuarios
a la carpeta del equipo en el que est almacenada. Puede conceder permisos de
carpeta compartida a cuentas de usuario, grupos y cuentas de equipo.
PERMISO
Ver datos de archivos y atributos
Ver los nombres de archivos y subcarpetas
Ejecutar archivos de programa
Agregar archivos y subcarpetas
Cambiar datos en archivos
Eliminar subcarpetas y archivos
Incluir todos los permisos de lectura y cambio
Cambiar los permisos de archivos NTFS y
carpetas
Lectura
(De forma predeterminada se aplica
al grupo Todos)
PERMITE AL USUARIO:
Control total
Cambio
(Incluye todos los permisos de
lectura)
ADMINISTRAR EL ACCESO A ARCHIVOS Y CARPETAS MEDIANTE
PERMISOS NTFS
NTFS es un sistema de archivos disponible en Windows Server 2003 R2. NTFS
ofrece un rendimiento y unas funciones que no se encuentran en FAT (file allocation
table,Tabla de asignacin de archivos) o FAT32.
NTFS ofrece las siguientes ventajas:
Fiabilidad: NTFS utiliza el archivo de registro y la informacin de punto de
comprobacin para restaurar la integridad del sistema de archivos al reiniciar
el equipo. Si se produce un error de sector defectuoso, NTFS vuelve a
asignar de forma dinmica el clster que contiene este sector defectuoso y
asigna un nuevo clster para los datos. NTFS tambin marca el clster
como inservible.
Seguridad a nivel de archivos y de carpetas: Los archivos NTFS utilizan
el Sistema de archivos de cifrado (EFS, Encrypting File System) para
proteger los archivos y las carpetas. Si EFS est activado, pueden cifrarse
los archivos y las carpetas para uno o varios usuarios. Este cifrado ofrece
como ventaja la confidencialidad e integridad de los datos. En otras palabras,
los datos estn protegidos frente a una modificacin accidental o no
autorizada. NTFS tambin le permite establecer permisos de acceso a un
465
Clase terica 28
archivo o una carpeta. Se pueden establecer permisos de lectura, de lectura
y escritura, o permisos para denegar el acceso. NTFS tambin almacena
una lista de control de acceso (ACL, Access control list) con todos los
archivos y carpetas de una particin NTFS. ACL contiene una lista de todas
las cuentas de usuarios, grupos y equipos a los que se les concede acceso
al archivo o carpeta y el tipo de acceso concedido.
Para un usuario que desea obtener acceso a un archivo o carpeta, ACL
debe contener una entrada, denominada ACE, para la cuenta de usuario,
grupo o equipo a la que est asociado el usuario. ACE debe permitir de
forma especfica el tipo de acceso que solicita el usuario para poder obtener
acceso al archivo o carpeta. Si no existe una entrada ACE en ACL, Windows
Server 2003 deniega el acceso del usuario al recurso.
Administracin mejorada del aumento de almacenamiento: NTFS
admite cuotas de disco, que permiten especificar la cantidad de espacio
en disco disponible para un usuario. Mediante las cuotas de disco, se puede
realizar un seguimiento y controlar el uso del espacio en disco y establecer
si se permite a los usuarios superar un nivel de advertencia o el lmite de
cuota de almacenamiento.
NTFS admite archivos de mayor tamao y un mayor nmero de archivos
por volumen que FAT o FAT32. NTFS tambin administra el espacio en
disco de forma eficaz utilizando tamaos de clsteres reducidos. Por
ejemplo, un volumen NTFS de 30 gigabytes (GB) utiliza clsteres de cuatro
kilobytes (KB). El mismo volumen con formato FAT32 utiliza clsteres de
16 KB. Al utilizar clsteres de menor tamao, se reduce el
desaprovechamiento de espacio en los discos duros.
Permisos a varios usuarios: Si se conceden permisos NTFS a una cuenta
de usuario individual y a un grupo al que pertenezca el usuario, se le
conceden tambin varios permisos al usuario. Existen reglas para
determinar cmo NTFS puede combinar estos permisos mltiples con el
fin de producir los permisos efectivos del usuario.
PERMISOS DE ARCHIVO Y CARPETA NTFS
Los permisos NTFS se utilizan para especificar qu usuarios, grupos y equipos
pueden obtener acceso a los archivos y las carpetas. Los permisos NTFS tambin
establecen las acciones que pueden realizar los usuarios, grupos y equipos con
el contenido de los archivos o carpetas.
Definir permisos NTFS: Definir 1 ventaja de NTFS:
A
c
t
i
v
i
d
a
d
466
Permisos de Archivo
Lectura
Cambiar permisos, tomar posesin de objetos y realizarlas
acciones autorizadas por otros permisos de archivoNTFS.
Modificar y eliminar el archivo y realizar las
accionesautorizadas por el permiso de escritura y el permiso
delectura y ejecucin.
Ejecutar aplicaciones y realizar las acciones autorizadaspor
el permiso de lectura.
Sobrescribir el archivo, cambiar los atributos de archivo y ver
sus permisos y posesin.
Leer el archivo y ver sus atributos, permisos y posesin.
PERMITE:
PERMISO DE
ARCHIVO NTFS
Control total
Modificar
Leer y ejecutar
Escritura
Permisos de Carpeta
Cambiar permisos, tomar posesin de objetos,
eliminararchivos y subcarpetas y realizar las acciones
autorizadas por otros permisos de carpeta NTFS.
Eliminar la carpeta y realizar las acciones autorizadas por el
permiso de escritura y el permiso de lectura yejecucin.
Recorrer carpetas y realizar las acciones autorizadas por el
permiso de lectura y el permiso Mostrar el contenido de la
carpeta.
Crear nuevos archivos y subcarpetas en la carpeta,cambiar
los atributos de carpeta y ver sus permisos yposesin.
Ver los archivos y subcarpetas de la carpeta y susatributos,
permisos y posesin.
Ver los nombres de los archivos y subcarpetas de lacarpeta. Mostrar el contenido
de lacarpeta
PERMITE:
PERMISO DE
CARPETA NTFS
Control total
Modificar
Leer y ejecutar
Escritura
Lectura
EFECTOS PRODUCIDOS EN LOS PERMISOS NTFS AL COPIAR Y MOVER
ARCHIVOS Y CARPETA S
Al copiar o mover un archivo o una carpeta, los permisos pueden cambiar en
funcin de la ubicacin a la que se mueva. Es importante conocer los cambios
que sufren los permisos al copiarse o moverse.
467
Clase terica 28
Al copiar archivos o carpetas de una carpeta a otra, o de una particin a otra, los
permisos de los archivos o carpetas pueden cambiar.Al copiar un archivo o
carpeta, se producen los siguientes efectos en los permisos NTFS:
Al copiar una carpeta o archivo en una nica particin NTFS, la copia de la
carpeta o archivo hereda los permisos de la carpeta de destino.
Al copiar una carpeta o archivo a una particin NTFS diferente, la copia de
la carpeta o archivo hereda los permisos de la carpeta de destino.
Al copiar una carpeta o archivo a una particin no NTFS, como, por ejemplo,
una particin FAT, la copia de la carpeta o archivo pierde los permisos NTFS
debido a que las particiones no NTFS no admiten este tipo de permisos.
Para copiar archivos y carpetas en una nica particin NTFS o entre particiones
NTFS, debe tener permiso de lectura para la carpeta de origen y permiso de
escritura para la carpeta de destino.
Al mover un archivo o carpeta, los permisos pueden cambiar en funcin de los
permisos de la carpeta de destino. Al mover un archivo o carpeta, se producen
los siguientes efectos en los permisos NTFS:
Al mover una carpeta o archivo en una particin NTFS, la carpeta o archivo
conserva sus permisos originales.
Al mover una carpeta o archivo a una particin NTFS diferente, la carpeta o
archivo hereda los permisos de la carpeta de destino. Al mover una carpeta
o archivo entre particiones, Windows Server 2003 copia la carpeta o archivo
a la nueva ubicacin y, a continuacin, la elimina de la antigua ubicacin.
Al mover una carpeta o archivo a una particin no NTFS, la carpeta o archivo
pierde los permisos NTFS debido a que las particiones no NTFS no admiten
este tipo de permisos.
Para mover archivos y carpetas en una nica particin NTFS o entre particiones
NTFS, debe tener permiso de escritura para la carpeta de destino y permiso de
modificacin para la carpeta o archivo de origen. Es necesario tener permiso de
modificacin para mover un archivo o carpeta debido a que Windows Server
2003 elimina la carpeta o archivo de la carpeta de origen tras copiarla en la carpeta
de destino.
Definir permiso de escritura en archivos: Definir permiso de escritura en carpetas:
A
c
t
i
v
i
d
a
d
468
HERENCIA DE PERMISOS NTFS
Los permisos que se conceden a una carpeta principal son heredados de forma
predeterminada por las subcarpetas y los archivos incluidos en ella. Al crear
archivos y carpetas, y al formatear una particin con NTFS, Windows Server
2003 asigna automticamente permisos NTFS predeterminados.
Se puede evitar que los archivos y las subcarpetas hereden los permisos
asignados a la carpeta principal. Al impedir la herencia de permisos, se puede:
Copiar los permisos heredados de la carpeta principal
Eliminar los permisos heredados y mantener slo aqullos que se hayan
asignado explcitamente.
La carpeta en la que impide la herencia de permisos se convierte en la nueva
carpeta principal y las subcarpetas y los archivos incluidos en ella heredan los
permisos que se le asignaron.
La herencia de permisos simplifica la asignacin de permisos a las carpetas
principales, las subcarpetas y los recursos. Sin embargo, es posible que desee
impedir la herencia para que los permisos no se propaguen desde una carpeta
principal a sus archivos y subcarpetas.
Atencin
Para eliminar un grupo o usuario existente y sus permisos especiales,
haga clic en el nombre del grupo o usuario y, a continuacin, en Quitar. Si el botn Quitar no se
encuentra disponible, desactive la casilla de verificacin Permitir que los permisos heredables del
primario se propaguen a este objeto y a todos los objetos secundarios. Incluirlos junto con las entradas
indicadas aqu de forma explcita y, a continuacin, haga clic en Copiar o Quitar.
PERMISOS EFECTIVOS DE ARCHIVOS Y CARPETAS NTFS
Windows Server 2003 ofrece una herramienta que muestra los permisos
efectivos, es decir, los permisos acumulados basados en la pertenencia a un
grupo. La informacin se calcula a partir de las entradas de permisos existentes
y se muestra en formato de slo lectura.
Los permisos efectivos tienen las siguientes caractersticas:
Los permisos acumulados son la combinacin de los permisos NTFS de
ms alto nivel concedidos al usuario y todos los grupos de los que el usuario
es miembro.
Los permisos de archivo NTFS tienen prioridad sobre los permisos de
carpeta.
Los permisos Denegar suplantan a todos los permisos.
469
Clase terica 28
Cada objeto, ya sea de un volumen NTFS o de Active Directory, tiene un
propietario. El propietario controla el modo en que se establecen los
permisos del objeto y a quin se conceden.
Si un administrador
necesita arreglar o
cambiar los permisos de
un archivo, debe tomar
posesin del archivo.
Nota
Toma de Posesin
En Windows Server 2003, el propietario es de manera predeterminada el grupo
Administradores. El propietario puede cambiar en todo momento los permisos
de un objeto, incluso aunque se le haya denegado el acceso a este objeto.
La posesin puede ser tomada por:
Un administrador. De manera predeterminada, al grupo Administradores
se le concede el derecho de usuario Tomar posesin de archivos y otros
objetos.
Cualquier usuario o grupo que tenga el permiso Tomar posesin en el
objeto en cuestin.
Un usuario que tenga el privilegio Restaurar archivos y directorios.
La posesin se puede transferir de las formas siguientes:
El propietario actual puede conceder el permiso Tomar posesin a otro
usuario. El usuario debe tomar posesin realmente para completar la
transferencia.
Un administrador puede tomar posesin.
Un usuario que tenga el privilegio Restaurar archivos y directorios puede
hacer doble clic en Otros usuarios y grupos y seleccionar cualquier usuario
grupo al que asignarle la posesin.
Definir toma de posesion de un objeto: Definir herencia de permisos NTFS:
A
c
t
i
v
i
d
a
d
Clase prctica 28
Una vez iniciado el sistema se proceder a iniciar sesin como Supervisor presionando
Men Inicio (clic)
Ejecutar (clic)
Colocar mmc (sin las comillas) en el cuadro de texto y presionar la tecla ENTER
ejecutar la consola de administracin
Men Consola (clic)
Agregar o quitar complemento (clic) Despliega la ventana para agregar o quitar
complementos a la consola
Botn Agregar (clic)
Carpetas compartidas (doble clic) Especifica que se desea agregar el complemento
para administracin de carpetas compartidas
Botn Finalizar (clic) Establece que se desea dejar la configuracin por defecto
(administracin del equipo local y se visualizaran los recursos compartidos, archivos abiertos y
las sesiones)
Botn Cerrar (clic) Cerrar la ventana de agregar complemento
Botn Aceptar (clic)
Carpetas compartidas (locales) (doble clic)
Recursos compartidos (clic) Acceder a la carpeta de recursos compartidos
Recursos compartidos (clic con el botn derecho del mouse)
Nuevo recurso compartido de archivo (clic) Crear nuevo recurso compartido
Establecer la siguiente configuracin:
Carpeta a compartir: S:\Documentos\sistemas
Nombre del recurso: Sistemas
Descripcin del recurso: Documentos de Sistemas
Personalizar permisos de recurso compartido y carpeta (clic)
Botn Personalizar (clic)
Botn Agregar (clic) Agregar usuario o grupo a los permisos
Grupo Administradores (doble clic)
Grupo Sistemas (doble clic)
Botn Aceptar (clic) Agregar los grupos Administradores y Sistemas a los permisos
Sistemas (MEGAPACK0\Sistemas) (clic)
Control total (clic en la casilla de verificacin Permitir) Establece que el grupo
Sistemas tendr control total sobre el recurso
Administradores (MEGAPACK0\Administradores) (clic)
Administradores tendr control total sobre el recurso
Todos (clic)
Mediante la realizacin de esta prctica usted comprender todas las funciones de accesos
a recursos que Windows 2003 R2 Server provee al usuario.
concreta.
Botn Quitar (clic) Quitar el grupo Todos de los permisos para dejar acceso solo a
los administradores y al grupo Sistemas
Botn Aceptar (clic)
Botn Finalizar (clic) Finaliza el proceso de creacin de recurso compartido
Botn Si (clic) Especifica que se desea crear otro recurso compartido
Carpeta a compartir: S:\Documentos\DBA
Nombre del recurso: DBA
Descripcin del recurso: Documentos de DBA
Grupo DBA (doble clic)
Grupo Desarrollo (clic)
Botn Aceptar (clic) Agregar los grupos Administradores, DBA y Desarrollo a los
permisos
DBA (MEGAPACK0\DBA) (clic)
Control total (clic en la casilla de verificacin Permitir) Establece que el grupo DBA
tendr control total sobre el recurso
Todos (clic)
los administradores y al grupo DBA (control total) y al grupo Desarrolladores (solo lectura)
Botn Aceptar (clic)
Carpeta a compartir: S:\Documentos\Desarrollo
Nombre del recurso: Desarrollo
Descripcin del recurso: Documentos de Desarrollo
Grupo Desarrollo (doble clic)
Botn Aceptar (clic) Agregar los grupos Administradores y Desarrollo a los permisos
Desarrollo (MEGAPACK0\Desarrollo) (clic)
Desarrollo tendr control total sobre el recurso
Todos (clic)
los administradores y al grupo desarrollo
Botn Aceptar (clic)
Carpeta a compartir: S:\Programas\Fuentes
Nombre del recurso: Fuentes
Descripcin del recurso: Cdigo fuente de Soft
Los Administradores y Desarrollo tienen control total; otros usuarios sin acceso
Carpeta a compartir: S:\Programas\Sistema
Nombre del recurso: Sistema
Descripcin del recurso: Programa Administrativo
Grupo Sistemas (doble clic)
Grupo Desarrollo (doble clic)
Grupo DBA (doble clic)
Botn Aceptar (clic) Agregar los grupos Administradores, Sistemas, DBA y Desarrollo
a los permisos
Sistemas (MEGAPACK0\Sistemas) (clic)
Cambiar (clic en la casilla de verificacin Permitir) Establece que el grupo Sistemas
podr realizar cambios sobre el recurso
DBA (MEGAPACK0\DBA) (clic)
Cambiar (clic en la casilla de verificacin Permitir) Establece que el grupo DBA podr
realizar cambios sobre el recurso
Desarrollo (MEGAPACK0\Desarrollo) (clic)
Cambiar (clic en la casilla de verificacin Permitir) Establece que el grupo Gerencia
podr realizar cambios sobre el recurso
Todos (clic)
Botn Quitar (clic) Quitar el grupo Todos de los permisos
Botn Aceptar (clic)
Carpeta a compartir: S:\Programas\Backup
Nombre del recurso: Backup
Descripcin del recurso: Backup del Sistema
Los Administradores tienen control total; otros usuarios no tienen acceso (clic)
Botn No (clic) Especifica que no se desean crear mas recursos compartidos
Instaladores (doble clic) acceder a las propiedades del recurso
Permitir (clic)
Establecer el valor en 6 usuarios
Botn Aceptar (clic) La cantidad mxima de conexiones simultaneas ser de 6
Botn Aceptar (clic)
Gerencia (doble clic) acceder a las propiedades del recurso
Solapa Seguridad (clic)
Hacer posible que los permisos heredables de un objeto primario se propaguen a este
objeto (clic) Establece que no se desea que el recurso herede los permisos de la carpeta
principal
Botn Quitar (clic) quita todos los permisos
Botn Avanzadas (clic)
Botn Agregar (clic) Agregar grupo o usuario a los permisos
Grupo Administradores (doble clic) Agrega al grupo Administradores
Establecer la siguiente configuracin (haciendo clic en la casilla de verificacin Permitir):
Recorrer carpeta / Ejecutar archivo
Listar carpeta / Leer datos
Atributos de lectura
Atributos de escritura
Permisos de lectura
Botn Aceptar (clic) Establece los permisos para el grupo
Botn Agregar (clic) Agregar grupo o usuario a los permisos
Grupo Gerencia (doble clic) Agrega al grupo Gerencia
Establecer la siguiente configuracin (haciendo clic en la casilla de verificacin Permitir):
Recorrer carpeta / Ejecutar archivo
Listar carpeta / Leer datos
Atributos de lectura
Atributos de escritura
Permisos de lectura
Botn Aceptar (clic) Establece los permisos para el grupo
Botn Aceptar (clic)
Botn Aceptar (clic) Finaliza la configuracin del recurso compartido
Cerrar la consola (hacer clic en el icono con forma de X que se encuentra en la
esquina superior derecha de la ventana)
Botn Si (clic) Especifica que se desea guardar la nueva consola
Colocar Recursos Compartidos en el cuadro de texto Nombre de archivo: y presionar
la tecla ENTER Guardar la consola con el nombre Recursos compartidos
Verificar el funcionamiento desde una estacin de trabajo iniciando con diferentes usuarios.
474 Implementacin y administracin de servicios de impresin
Implementacin y administracin de servicios de
impresin
Clase terica 29
INTRODUCCIN
En un entorno domstico, los usuarios utilizan principalmente una impresora local
conectada a su equipo cliente. Sin embargo, en las empresas, los equipos cliente
utilizan un servidor de impresin centralizado que redistribuye los trabajos de
impresin a un dispositivo de impresin. Con un servidor de impresin, los
administradores de red pueden centralizar la administracin de todas las
impresoras y dispositivos de impresin.
IMPRESORA LOCAL E IMPRESORA DE RED
A los administradores de sistemas se les pide que creen dos tipos de impresoras:
locales y de red. Para compartirlas y que puedan utilizarlas otros usuarios, antes
hay que crear ambos tipos de impresoras.
Las impresoras locales se crean para imprimir en un dispositivo de impresin
conectado localmente a travs de un puerto paralelo (LPT,Line Printer Terminal),
bus serie universal (USB, Universal Serial Bus) o de infrarrojos (IR, Infra-Red).
Tambin imprimen en dispositivos de impresin de red que utilizan el protocolo de
Internet (IP,Internet Protocol) o IPX. Adems, tambin admiten Plug and Play.
Las impresoras de red imprimen en una impresora de red con los protocolos IP,
IPX o AppleTalk. Tambin imprimen en impresoras que redirigen el trabajo a un
dispositivo de impresin.
REQUISITOS DE HARDWARE PA R A CONFIGURAR SERVIDORES DE
IMPRESIN
Existen ciertos requisitos de hardware para configurar un entorno de impresin
eficiente. Independientemente de que se vaya a utilizar una impresora local o una
impresora de red, si no se cumplen los requisitos mnimos de hardware, la
impresin en red puede ser muy poco eficiente.
La configuracin de la impresin en una red con Windows Server 2003 R2 requiere
los siguientes elementos:
Al menos un equipo que funcione como servidor de impresin y que
utilice uno de los sistemas operativos de la familia de Windows Server
2003 : Si se espera que el servidor de impresin vaya a administrar muchos
trabajos de impresin, se recomienda dedicar un servidor exclusivamente
a la impresin. El servidor de impresin puede utilizar cualquier sistema
operativo Windows Server 2003.
475
Clase terica 29
Memoria RAM suficiente para procesar los documentos: Si un servidor
de impresin administra muchas impresoras o documentos muy grandes,
es posible que necesite memoria RAM adicional, ms de la que Windows
Server 2003 requiere para otras tareas. Si un servidor de impresin no tiene
suficiente memoria RAM (Random Access Memory) para su carga de
trabajo, es posible que disminuya el rendimiento de la impresin.
Espacio de disco suficiente en el servidor de impresin para
almacenar documentos: Hay que tener suficiente espacio en el disco para
garantizar que Windows Server 2003 R2 puede almacenar los documentos
que se envan al servidor de impresin hasta que ste los enva al dispositivo
de impresin. Esto es fundamental cuando los documentos son grandes o
cuando se acumulan muchos documentos. Por ejemplo, si 10 usuarios
envan al servidor de impresin un documento grande cada uno al mismo
tiempo, debe tener espacio en disco suficiente para guardarlos todos hasta
que los enve al dispositivo de impresin.
INSTALAR Y COMPARTIR UNA IMPRESORA LOCAL
Para instalar y compartir una impresora local se utiliza el Asistente para agregar
impresoras, que se encuentra en la carpeta Impresoras y faxes. En el Asistente
para agregar impresoras, tambin se pueden agregar y configurar los puertos de
la impresora. Este asistente solicita que se instale un controlador de impresora,
si es necesario, o que se reemplace el existente.
Tambin permite conectarse a una impresora remota compartida e instalar su
interfaz de software en el equipo, siempre que se desee control local y se disponga
de los permisos correctos. Si lo hace, el proceso de impresin omite el servidor
de impresin de la impresora remota, para lo que procesa localmente los trabajos
de impresin y redirige la salida a una impresora remota.
INSTALAR Y COMPARTIR UNA IMPRESORA DE RED
En organizaciones grandes, la mayora de dispositivos de impresin tienen una
interfaz de red. El uso de estos dispositivos tiene varias ventajas. Hay mayor
flexibilidad sobre el sitio en que se ubican las impresoras. Adems, las conexiones
de red transfieren los datos a ms velocidad que las conexiones por cable de
impresora.
En W indows Server 2003
R2, el Asistente para
agregar impresoras
comparte la impresora y,
de forma predeterminada,
la publica en el servicio
de directorios de Active
Directory, a menos que
se active la casilla de
verificacin No compartir
esta impresora de la
pgina Compartir
impresora del Asistente
para agregar impresoras.
Nota
Definir impresora en red: Definir impresora local:
A
c
t
i
v
i
d
a
d
SEGURIDAD EN LAS IMPRESORAS DE RED
La mayora de las impresoras de las empresas no cumplen las normas de seguridad
para impresoras, ya que limitar quin puede utilizar una impresora puede ser
contraproducente en un entorno de trabajo. No obstante, para algunas impresoras
debe habilitarse una seguridad estricta, como para las que imprimen facturacin o
las de gran capacidad que se utilizan para trabajos de impresin de calidad
fotogrfica o folletos.
La seguridad de las impresoras debe configurarse de tal forma que las personas
adecuadas puedan utilizarlas con el nivel de acceso que necesitan para realizar su
trabajo.
PERMISOS DE IMPRESORAS COMPARTIDAS
Windows proporciona los siguientes niveles de permisos de impresoras
compartidas:
Imprimir
Administrar impresoras
Administrar documentos
Si se han concedido varios permisos a un grupo de usuarios, se aplica el menos
restrictivo. Sin embargo, si se aplica un permiso Denegar, ste tiene prioridad sobre
los restantes permisos.
Imprimir Conectarse a una impresora y enviar documentos a dicha impresora.
Realizar las tareas asociadas con el permiso Imprimir. El usuario tambin tiene
control administrativo completo de la impresora. Puede pausarla y reiniciarla,
cambiar la configuracin de la cola de impresin, compartirla, ajustar sus permisos
y cambiar sus propiedades.
Pausas, reanudar, reiniciar, cancelar y reorganizar el orden de los documentos que
envian los restantes usuarios. El usuario no puede enviar documentos a la impresora
ni controlar el estado de st.
PERMISO PERMITE AL USUARIO:
Administrar documentos
Windows asigna permisos de impresoras a seis grupos de usuarios. Estos
grupos son: Administradores, Creator /Owner,Todos, Usuarios avanzados,
Operadores de impresin y Operadores de servidores.
De forma predeterminada, a cada grupo se le concede una combinacin de
permisos de Imprimir,Administrar documentos y Administrar impresoras.
477
Clase terica 29
ADMINISTRAR
IMPRESORAS
ADMINISTRAR
DOCUMENTOS
IMPRIMIR GRUPO
x
x
x
x
x
x
x
x
x
x
x
x
x
x
Administradores
Creador / Propietario
Todos
Usuarios Avanzados
Operadores de Impresin
Operadores de Copia
Cuando se instala una impresora compartida en una red, se le asignan permisos
predeterminados que permiten a todos los usuarios imprimir.Tambin se puede
habilitar que ciertos grupos administren los documentos que se envan a la impresora
y que otros grupos gestionen la impresora. Es posible denegar explcitamente el
acceso a la impresora a usuarios o a miembros de grupos.
Limitar el acceso a una impresora a determinados usuarios
Es posible que desee limitar el acceso de algunos usuarios concediendo permisos
de impresora especficos. Por ejemplo, se puede conceder el permiso Imprimir a
todos los usuarios no administrativos de un departamento y conceder los permisos
de Imprimir y Administrar documentos a todos los directores. El resultado es que
todos los usuarios y directores pueden imprimir documentos, pero estos ltimos
tambin pueden cambiar el estado de impresin de todos los documentos enviados
a la impresora.
Denegar el acceso a una impresora a determinados usuarios
En algunos casos, es posible que tenga que dar acceso a una impresora a un
grupo de usuarios. Sin embargo, en el grupo puede haber unos pocos usuarios
que no desee que tengan acceso a la impresora. En ese caso, puede conceder
permisos al grupo y denegar el permiso a usuarios determinados del mismo. Por
ejemplo, puede conceder a ciertos miembros de un grupo la posibilidad de imprimir
documentos y denegar a otros el acceso a la impresora, con el fin de obligarles a
utilizar otra.
Definir permiso de administrar documentos: Definir permiso de administrar impresoras:
A
c
t
i
v
i
d
a
d
CONTROLADORES DE IMPRESORAS
Un controlador de impresora es el software que utilizan los programas para
comunicarse con las impresoras y con los trazadores grficos.
Los controladores de impresora convierten la informacin que se enva desde el
equipo en comandos que entiende la impresora. Normalmente, los controladores
de impresora de una plataforma no son compatibles con los de las restantes,
por lo que hay que instalar varios en el servidor de impresin para que admitan
hardware y sistemas operativos diferentes.
Por ejemplo, si un equipo utiliza Windows XP y se comparte una impresora con
usuarios cuyos equipos utilizan Windows 9x, es posible que haya que instalar
varios controladores de impresora.
* Muestra los cuadros de dilogo Propiedades y Preferencias
de impresin cuando se configura la impresora.
* Tiene extensin .dll
* Proporciona informacin de las capacidades de una
impresora determinada.
* Puede tener las extensiones .dll, .pcd, .gpd o .ppd.
* Convierte comandos DDI en conmandos que puede
enternder la impresora.
* Tiene extensin .dll
Archivo de controlador
grfico de la impresora
Software que utilizan los programas pora comunicarse con las impresoras y con
trazadores grficos.
Convierte la informacin que se envia desde el equipo en comandos que entiende
la impresora.
Se compone de los siguientes tipos de archivos.
Archivo de
configuracin o de
interfaz de la impresora
Archivo de datos
ADMINISTRACIN DE COLAS DE IMPRESIN
El componente principal de la interfaz de impresin es la administracin de colas
de impresin. La administracin de colas de impresin es un archivo ejecutable
que administra todo el proceso de impresin. La administracin del proceso de
impresin comprende:
Determinar la ubicacin del controlador de impresora adecuado.
Cargar dicho controlador.
479
Clase terica 29
Agrupar las llamadas de funcin de alto nivel en un trabajo de impresin.
Programar el trabajo de impresin para imprimir.
La administracin de colas de impresin se carga al iniciarse el sistema y contina
ejecutndose hasta que se apaga el sistema operativo. La administracin de
colas de impresin toma los archivos que se van a imprimir, los almacena en el
disco duro y, cuando la impresora est lista, los enva a ella. Tambin se pueden
registrar los eventos del proceso, o desactivar el registro durante periodos de
alta demanda con objeto de minimizar el espacio en disco requerido y mejorar el
rendimiento del servicio de administracin de colas de impresin.
UBICACIN DE LA CARPETA DE COLAS DE IMPRESIN
Los archivos que esperan imprimirse se renen en una carpeta de colas de
impresin ubicada en el disco del servidor de impresin. De forma predeterminada,
esta carpeta se encuentra en DirectorioRazdelSistema\System32\Spool\Printers.
Sin embargo, el disco que alberga esta carpeta tambin alberga los archivos de
sistema de Windows. Dado que el sistema operativo tiene acceso con frecuencia
a esos archivos, el rendimiento de Windows y las funciones de impresin pueden
verse reducidos.
Si el servidor de impresin slo atiende a una o dos impresoras con bajos
volmenes de trfico, la ubicacin predeterminada de la carpeta de colas de
impresin es adecuada. Sin embargo, si es necesario atender altos volmenes
de trfico, un gran nmero de impresoras o trabajos de impresin de gran tamao,
deber reubicar la carpeta de colas de impresin. Para un mejor resultado, se
recomienda mover carpeta de colas de impresin a una unidad que tenga su
propio controlador de entrada y salida (E/S), lo cual reduce el impacto de la
impresin en el resto del sistema operativo.
CAMBIAR LA UBICACIN DE LA COLA DE IMPRESIN
Se debe cambiar la ubicacin de la administracin de colas de impresin para
realizar las siguientes tareas:
Mejorar el rendimiento: Los servidores de impresin deben tener espacio en
disco y memoria RAM suficientes para administrar los trabajos de impresin.
Idealmente, se debera contar con un mnimo de dos discos, uno para el sistema
Definir cola de impresin: Definir controlador de impresora:
A
c
t
i
v
i
d
a
d
operativo, los archivos de inicio y el archivo de paginacin, y otro que contenga la
carpeta de colas de impresin. Con ello se asla la carpeta de colas de impresin
del sistema operativo, lo cual aumenta el rendimiento y la estabilidad del sistema.
Para mejorar la eficiencia, se pueden agregar una o ms unidades de disco para
el archivo de paginacin.
Resolver los problemas de espacio en disco:Los servidores de impresin
crean una cola de impresin para administrar las peticiones de impresin. Los
documentos pueden tener 20 megabytes (MB) de tamao si contienen grficos
incrustados. Por ello, es conveniente aprovechar espacio en disco de una unidad
que no sea la utilizada para el sistema operativo. Ello permite asegurar, no utilizar
todo el espacio en disco disponible en las particiones del sistema o de inicio, lo
cual puede crear problemas con el archivo de intercambio. Si se configura la cola
de impresin en el mismo disco que el sistema operativo, Windows no tendr
espacio en disco suficiente para grabar el archivo de intercambio, lo cual puede
crear problemas con el rendimiento general de la impresora.
Reducir la fragmentacin de la particin de inicio: Cuando un archivo se enva
a imprimir a una impresora de red, se crea un archivo de cola de impresin que
se elimina casi inmediatamente. Este proceso se repite cientos o miles de veces
durante una jornada de trabajo normal. Si la carpeta de colas de impresin se
encuentra en un volumen compartido con otros datos, ste puede quedar
fragmentado. Se puede eliminar la fragmentacin si se ubica la carpeta de colas
de impresin en un volumen dedicado para la impresora. Una vez impresos todos
los archivos de cola, se eliminan del volumen y se pueden iniciar nuevos trabajos
de impresin en un disco vaco.
Garantizar la seguridad: Si se configuran los trabajos de impresin para que no
se eliminen despus de imprimirse, es conveniente situarlos en un disco o volumen
diferente, para que la carpeta de colas de impresin no herede los cambios en la
seguridad de ninguna de sus carpetas principales.
Administrar las cuotas de disco:En los discos que contienen el sistema
operativo, las cuotas no se suelen configurar para aumentar el rendimiento. Sin
embargo, puede resultar conveniente limitar el nmero de trabajos de impresin
que los usuarios o grupos envan al servidor de impresin, para que ningn usuario
ocupe todo el espacio en disco disponible en un servidor. Si esto ocurre, los dems
usuarios no podrn imprimir hasta que la cola de impresin libere algunos
documentos.
Mejorar la confiabilidad: Normalmente, la particin de inicio de un equipo se
encuentra en una unidad de disco reflejada (RAID 1). Para un mayor rendimiento
y capacidad de recuperacin, puede ser conveniente mover la carpeta de colas
de impresin a un volumen con RAID 5, con el fin de reducir la posibilidad de que
haya un nico punto de posibles errores de un subsistema de disco.
Atencin
Al cambiar la ubicacin de una cola de impresin, es primordial esperar a que la impresora termine de
procesar todos los trabajos de impresin ya que si el cambio se realiza con trabajos pendientes en la cola,
automticamente se perdern.
481
Clase terica 29
Prioridades de Impresin
Se pueden establecer prioridades entre impresoras para asignar prioridades a
los documentos que se imprimen en un mismo dispositivo de impresin. Para
ello, se deben cree varias impresoras que sealen al mismo dispositivo de
impresin. Los usuarios podrn entonces enviar sus documentos ms
importantes a una impresora de alta prioridad y sus documentos de menor
importancia a otra de baja prioridad. Los documentos enviados a la impresora
de mayor prioridad se imprimirn en primer lugar.
Para establecer las prioridades entre impresoras, realice las tareas siguientes:
Es necesario que dos o ms impresoras sealen al mismo dispositivo de
impresin (el mismo puerto). El puerto puede ser un puerto fsico del servidor
de impresin o un puerto que seale a un dispositivo de impresin
conectado a una interfaz de red.
Se debe establecer una prioridad diferente para cada una de las
impresoras conectadas al dispositivo de impresin y a continuacin hacer
que diferentes grupos de usuarios impriman en diferentes impresoras.
Tambin es posible hacer que los usuarios enven sus documentos de
alta prioridad a la impresora de mayor prioridad, y sus documentos de
baja prioridad a la impresora de menor prioridad.
Se puede acelerar la impresin de aquellos documentos que deban imprimirse
inmediatamente. Los documentos enviados por los usuarios con niveles de
prioridad mayores pueden ubicarse delante de una cola de documentos de menor
prioridad en espera para imprimirse. Si dos impresoras lgicas estn asociadas
al mismo dispositivo de impresin, Windows Server 2003 R2 rutea en primer
lugar los documentos con la mayor prioridad a la impresora.
Para utilizar las prioridades de impresora, se deben crear varias impresoras
lgicas para
un mismo dispositivo de impresin fsico y asignar a cada una de ellas un nivel
de prioridad distinto y por ltimo crear un grupo de usuarios que corresponda a
cada impresora.
Una forma de utilizar eficientemente las impresoras es programar horas de
impresin alternativas para documentos largos o para documentos con gran
cantidad de grficos.
Atencin
Al programar una impresora para que est disponible slo a ciertas horas, hay que tener en cuenta que los
usuarios pueden continuar imprimiendo en la impresora fuera del horario de oficina y que la impresora
albergar los trabajos de impresin hasta sus horas de disponibilidad. Debido a que la impresora alberga los
trabajos de impresin fuera del horario de oficina, es necesario disponer de espacio en disco suficiente para
ello. Si esto supone un problema y no dispone de espacio en disco adicional, se debern establecer cuotas
de disco en el volumen que contiene la cola de impresin.
Implementacin y administracin de servicios de impresin 482
Clase prctica 29
Implementacin y administracin de servicios de impresin
En el servidor 1 (MGP-SRV01): Ejercicio 1:
Men Inicio (clic)
Impresoras y Faxes (clic) desplegar la carpeta de impresoras
Agregar impresora (doble clic) Ejecutar asistente para agregar impresoras
Impresora local (clic) Especifica que se desea instalar una impresora local
Botn Siguiente (clic) Especifica que se desea utilizar el puerto por defecto (en
este caso LPT1)
Fabricantes: Epson
Impresoras: Epson LX-810
Botn Siguiente (clic) Especifica el fabricante y el modelo de impresora
Colocar Impresora (sin las comillas) como nombre de la impresora
Nombre del recurso compartido: (clic)
Colocar Impresora (sin las comillas) como nombre de la impresora
Botn Siguiente (clic) No se desean colocar ni ubicacin ni comentarios
No (clic)
Botn Siguiente (clic) Especifica que no se desea imprimir una pagina de prueba
Botn Finalizar (clic) Finaliza el proceso de instalacin de la impresora
Impresora (clic con el botn derecho del Mouse)
Propiedades (clic) Despliega la ventana de propiedades de Impresora
Solapa Opciones Avanzadas (clic)
Disponible desde (clic)
Disponible desde: 09:00 a.m. hasta 08:00 p.m.
Iniciar la impresin cuando la ltima pgina haya entrado en la cola (clic)
Botn Controlador nuevo (clic) Inicia el asistente para agregar controladores de
Impresora
Botn Utilizar disco (clic) Especifica que los controladores correspondientes sern
suministrados en diskette o CDROM
En este punto deber solicitar al instructor q le facilite los drivers correspondientes a la
impresora Epson LX-810 para Windows 98.
Indicar la ruta de acceso a los controladores en el cuadro de texto Copiar archivos del
fabricante de: y luego presionar la tecla ENTER.
Mediante la realizacin de esta prctica usted lograr implementar de manera correcta los
servicios de impresin en red, as como su posterior monitorizacin y posterior
mantenimiento.
Los siguientes ejercicios estn desarrollados para que usted pueda aplicarlos efectivamente
en el mbito laboral, permitindole resolver problemas de manera eficaz y concreta.
Botn Finalizar (clic) De esta manera se han instalado los driver necesarios para
que mquinas con Windows 98 puedan utilizar el servidor de impresin as como tambin hosts
con Windows 2003 (lo mismo se podra hacer para Windows XP, aunque generalmente los
controladores de 2003 funcionan sin inconvenientes en XP)
Botn Agregar (clic) Agregar usuario o grupo
Grupo Gerencia (doble clic)
Botn Aceptar (clic) Agregar al grupo Gerencia
Gerencia (MEGAPACK\Desarrollo) (clic)
Hacer clic en el casillero Denegar para las siguientes opciones del grupo Desarrollo:
Imprimir
Administracin de documentos
Botn Aceptar (clic) Se le niega el permiso de impresin y administracin de
documentos al grupo Desarrollo
Cerrar la carpeta Impresoras
Men Inicio (clic)
Impresoras y Faxes (clic) desplegar la carpeta de impresoras
Agregar impresora (doble clic) Ejecutar asistente para agregar impresoras
Una impresora de red o una impresora conectada a otro equipo (clic)
Conectarse a esta impresora (clic) indica que deseamos especificar la ruta donde
localizar la impresora de red.
Colocar \\mgp-srv04.megapack.com\Impresora en el cuadro de texto y presionar la
tecla ENTER
Botn Finalizar (clic) Cierra el asistente para agregar impresora
Ejercicio 2:
Para verificar el correcto funcionamiento del servidor de impresin se deber iniciar sesin con
al menos 1 usuario de cada grupo (Sistemas, DBA y Desarrollo) e intentar imprimir un documento.
484
Administracin del acceso a los objetos de las OU
Clase terica 30
INTRODUCCIN
Los permisos de objeto de Active Directory proporcionan seguridad para los
diferentes recursos existentes al permitir controlar qu administradores o usuarios
tienen acceso a objetos individuales o atributos de objeto, as como el tipo de
acceso permitido. Los permisos se utilizan para asignar privilegios administrativos
a una unidad organizativa o jerarqua de unidades organizativas, con el fin de
administrar el acceso a la red. Tambin se pueden usar los permisos para asignar
privilegios administrativos sobre un nico objeto a un usuario o grupo especfico.
Los permisos estndar son los permisos concedidos con mayor frecuencia, y se
componen de una serie de permisos especiales. Los permisos especiales
proporcionan un mayor grado de control sobre el tipo de acceso que se puede
conceder sobre un objeto. Los permisos estndar deben incluir lo siguiente:
Control total
Escribir
Leer
Crear todos los objetos secundarios
Eliminar todos los objetos secundarios
ACCESO AUTORIZADO SEGN PERMISOS
Un administrador o el propietario del objeto deben conceder permisos sobre dicho
objeto para que los usuarios tengan acceso a l. Windows Server 2003 R2
almacena una lista de permisos de acceso de los usuarios, denominada lista de
control de acceso discrecional (DACL, Discretionary Access Control List), por
cada objeto de Active Directory. La lista DACL de un objeto enumera los usuarios
que tienen acceso al objeto y las acciones especficas que cada usuario puede
realizar sobre el mismo.
PERMISOS DE OBJETO DE ACTIVE DIRECTO RY
Si bien los permisos NTFS (NTFS file system) y los permisos de objeto de Active
Directory son similares, algunas caractersticas son especficas de los permisos
de objetos de Active Directory. Los permisos de objeto de Active Directory pueden
concederse o denegarse, denegarse implcita o explcitamente, establecerse como
permisos estndar o especiales y definirse en el nivel de objeto o heredarse de su
objeto principal.
485
Clase terica 30
Los permisos se pueden conceder o bien denegar. Los permisos denegados tienen
prioridad sobre cualquier otro permiso que se conceda a las cuentas de usuario y
de grupo. Slo se deben denegar los permisos cuando sea necesario quitar un
permiso que un usuario tuviese concedido por ser miembro de un grupo.
Se pueden denegar permisos implcita o explcitamente de la manera siguiente:
Cuando no se concede explcitamente el permiso para realizar una operacin,
se considera denegado implcitamente. Por ejemplo, si el grupo Curso tiene
permiso Leer para un objeto de usuario y no aparece ninguna otra entidad
principal de seguridad en la lista DACL para ese objeto, los usuarios que no
sean miembros del grupo Curso tendrn denegado el acceso de forma
implcita. El sistema operativo no permite a los usuarios que no son miembros
del grupo Curso leer las propiedades del objeto de usuario.
Se deniega explcitamente un permiso cuando se desea impedir que un
subconjunto de un grupo ms grande de usuarios pueda realizar una tarea
que el grupo de mayor tamao tiene permiso para realizar. Por ejemplo,
puede ser necesario impedir que un usuario Alumno vea las propiedades de
un objeto de usuario. Sin embargo, Alumno es miembro del grupo Curso,
con permiso para ver las propiedades del objeto de usuario. Puede impedir
que Alumno vea las propiedades del objeto de usuario denegndole
explcitamente el permiso Leer.
La mayora de las tareas relativas a los permisos de objeto de Active Directory
pueden configurarse mediante permisos estndar. Estos permisos son los usados
ms frecuentemente; sin embargo, si se necesita conceder un nivel ms ajustado
de recursos, puede recurrirse a los permisos especiales.
Cuando se establecen los permisos en un objeto principal, los nuevos objetos
heredan los permisos del objeto principal. Es posible quitar los permisos heredados,
pero tambin se pueden volver a habilitar si as se desea.
HERENCIA DE PERMISOS
Un objeto principal es cualquier objeto que posea una relacin con otro objeto, al
que se denomina objeto secundario. Un objeto secundario hereda los permisos
del objeto principal. La herencia de permisos en Active Directory minimiza el nmero
de ocasiones en las que es necesario conceder permisos sobre objetos.
Definir permisos especiales: Definir permisos de objeto de active Directory:
A
c
t
i
v
i
d
a
d
486
La herencia de permisos en Windows Server 2003 R2 simplifica la tarea de
administrar los permisos de varias maneras:
No es necesario aplicar permisos manualmente a los objetos secundarios
al crearlos.
Los permisos aplicables a un objeto principal se aplican de forma coherente
a todos sus objetos secundarios.
Cuando se requiere modificar los permisos de todos los objetos de un contenedor,
solo es necesario modificar los permisos del objeto principal. Los objetos
secundarios heredan automticamente esos cambios.
MODIFICAR LOS OBJETOS EN LA HERENCIA DE PERMISOS
Modificar los objetos de Active Directory afecta a la herencia de permisos. Como
administrador de sistemas se le pedir que mueva los objetos entre distintas
unidades organizativas de Active Directory cada vez que cambien las funciones
organizativas o administrativas. Al hacerlo, los permisos heredados tambin
cambiarn. Es un requisito esencial conocer estas consecuencias antes de
modificar los objetos de Active Directory.
Al mover objetos entre unidades organizativas, las siguientes condiciones deben
tenerse en cuenta:
Los permisos que se establecen explcitamente permanecen iguales.
Un objeto hereda los permisos de la unidad organizativa a la que se mueve.
Un objeto no hereda los permisos de la unidad organizativa desde la cual
se ha movido.
Impedir la herencia de permisos
Se puede impedir la herencia de permisos para que un objeto secundario no herede
los permisos de su objeto principal. Al impedir la herencia slo se aplicarn los
permisos que se establezcan explcitamente.
Al impedir la herencia de permisos, Windows Server 2003 R2 permite:
Copiar los permisos heredados en el objeto. Los nuevos permisos son
permisos explcitos para ese objeto. Son una copia de los permisos que el
objeto hered anteriormente de su objeto principal. Despus de copiar los
permisos heredados, se puede hacer cualquier cambio necesario en ellos.
Quitar los permisos heredados del objeto. Al quitar estos permisos se
eliminan todos los permisos del objeto. A continuacin se puede conceder
el permiso que se desee para ese objeto.
487
Clase terica 30
PERMISOS EFECTIVOS PA R A LOS OBJETOS DE ACTIVE DIRECTO RY
Puede utilizar la herramienta Permisos efectivos para determinar cules son los
permisos de un objeto de Active Directory. La herramienta calcula los permisos
que se conceden al usuario o grupo especificado y toma en cuenta los permisos
en vigor como consecuencia de la pertenencia a grupos, as como los permisos
heredados de objetos principales.
Los permisos efectivos para los objetos de Active Directory tienen las siguientes
caractersticas:
Los permisos acumulativos son una combinacin de permisos de Active
Directory concedidos a las cuentas de usuario y de grupo.
Los permisos denegados anulan a todos los permisos heredados. Los
permisos asignados explcitamente tienen siempre prioridad.
Cada objeto tiene un propietario, ya se encuentre en un volumen NTFS o en
Active Directory. El propietario controla cmo se establecen los permisos
en el objeto y a quin se conceden.
El grupo Administradores es el propietario de los objetos predeterminados de Active
Directory. El propietario siempre puede cambiar los permisos de un objeto, aun
cuando l mismo tenga denegado el acceso al objeto.
El propietario actual puede conceder el permiso Tomar posesin a otro usuario, el
cual le permite asumir la propiedad de ese objeto en cualquier momento. El usuario
puede tomar posesin efectivamente para completar la transferencia de la
propiedad.
Recuperar permisos efectivos
Para recuperar informacin sobre los permisos efectivos en Active Directory
necesita el permiso de lectura de la informacin de pertenencia a grupos. Si el
usuario o grupo especificado es un objeto de dominio, debe disponer de permiso
para leer la informacin de pertenencia del objeto en el dominio.
Los usuarios siguientes tienen los correspondientes permisos de dominio
predeterminados:
Definir permisos efectivos de Active Directory: Se puede evitar la herencia de permisos?
A
c
t
i
v
i
d
a
d
488
Los administradores de dominio tienen permiso para leer la informacin de
pertenencia en todos los objetos.
Los administradores locales de una estacin de trabajo o servidor
independiente no pueden leer la informacin de pertenencia para un usuario
de dominio.
Los usuarios autentificados de un dominio pueden leer la informacin de
pertenencia slo cuando ste se encuentre en un modo de compatibilidad
anterior a Windows 2000.
DELEGACIN DE CONTROL DE UNA UNIDAD ORGANIZATIVA
La delegacin de control es la capacidad de asignar la responsabilidad de
administrar los objetos de Active Directory a otro usuario, grupo u organizacin. Al
delegar el control se puede eliminar la necesidad de emplear varias cuentas
administrativas con amplios poderes.
Se pueden delegar los siguientes tipos de control:
Permisos para crear o modificar todas las clases de objetos de una unidad
organizativa especfica o en el nivel de dominio
Permisos para crear o modificar ciertas clases de objetos en una unidad
Permisos para crear o modificar un objeto especfico en una unidad
Permisos para modificar atributos especficos de ciertas clases de objetos
en una unidad organizativa especfica o en el nivel de dominio, como conceder
el permiso para restablecer las contraseas en una cuenta de usuario
La administracin delegada en Active Directory ayuda a hacer ms liviana la carga
administrativa de dirigir la red, distribuyendo las tareas administrativas de rutina a
varios usuarios. Mediante la administracin delegada se pueden asignar las tareas
administrativas bsicas a los usuarios o grupos habituales y asignar las tareas
administrativas para todo el dominio o bosque a los usuarios de confianza del
grupo Administradores del dominio y Administradores empresariales.
Al delegar la administracin se da a los grupos de la organizacin un mayor control
de sus recursos de red locales. Tambin ayuda a proteger la red de daos
accidentales o intencionados limitando la pertenencia a los grupos de
administradores.
Definir la delegacin del control administrativo
Se puede definir la delegacin del control administrativo de las tres formas
siguientes:
489
Clase terica 30
Cambiar las propiedades de un contenedor particular.
Crear y eliminar objetos de un tipo especfico en una unidad organizativa,
como usuarios, grupos o impresoras.
Actualizar propiedades especficas de los objetos de un determinado tipo
en una unidad organizativa. Por ejemplo, se puede delegar el permiso de
establecer una contrasea en un objeto de usuario o en todos los objetos de
una unidad organizativa.
ASISTENTE PA R A DELEGACIN DE CONTROL
El Asistente para delegacin de control se utiliza para seleccionar el usuario o
grupo al que se desea delegar el control. Tambin se usa el Asistente para conceder
a los usuarios permisos para controlar unidades organizativas y objetos y para
obtener acceso a objetos y modificarlos.
Delegar permisos
Se puede usar el Asistente para delegacin de control para conceder permisos en
el nivel de unidad organizativa. Se deben conceder manualmente los permisos
especializados adicionales en el nivel de objeto.
Definir delegar permisos: Definir delegacin de control:
A
c
t
i
v
i
d
a
d
Administracin del acceso a los objetos de las OU 490
Clase prctica 30
Mediante la realizacin de esta prctica usted lograr comprender, implementar y
administrar los accesos a los distintos objetos emplazados en las distintas unidades
organizativas.
concreta.
Administracin de acceso a objetos de las unidades organizativas
Men Inicio (clic)
Nuevo (clic)
Nombre: Administrador
Apellidos: Junior
Nombre de inicio de sesin: junior
Contrasea: JuN135iOR
El usuario no puede cambiar la contrasea
La contrasea nunca caduca
Usuario Administrador Junior (doble clic) Despliega la ventana de propiedades del
usuario.
Solapa Miembro de (clic)
Botn Agregar (clic) Indica que se desea agregar al usuario a un determinado
grupo
Colocar administradores (sin las comillas) en el cuadro de texto Escriba los nombres
de objeto que desea seleccionar
Botn Aceptar (clic)
Botn Aceptar (clic) Establece que se desea usar la opcin por defecto
(Administradores)
Botn Aceptar (clic) Cerrar la ventana de propiedades del usuario
Cerrar el Administrador de usuarios y equipos de Active Directory
Ejercicio 2:
Men Inicio (clic)
Servidores (clic con el botn derecho del mouse)
Propiedades (clic) Acceder a las propiedades de la unidad organizativa Servidores
Solapa Directiva de grupo (clic)
Botn Propiedades (clic)
Botn Agregar (clic) Agregar un usuario o grupo a la lista
Colocar junior (sin las comillas) en el cuadro de texto Escriba los nombres de objeto
que desea seleccionar
Botn Aceptar (clic) Agrega al usuario junior
o Leer: Denegar
o Escribir: Denegar
Botn Si (clic) Confirma que se desea continuar
Botn Aceptar (clic)
Cerrar el Administrador de usuarios y equipos de Active Directory
Men Inicio (clic)
Cerrar sesin (clic) Finalizar la sesin actual
Botn Cerrar sesin (clic)
Ejercicio 3:
Una vez iniciado el sistema se proceder a iniciar sesin como junior presionando simultneamente
las teclas ctrl.+alt+supr para poder acceder a la interfaz de inicio de sesin.
Introducir JuN135iOR (sin las comillas) como contrasea y presionar la tecla ENTER
Men Inicio (clic)
Servidores (clic con el botn derecho del mouse)
Propiedades (clic) Acceder a las propiedades de la unidad organizativa Servidores
Solapa Directiva de grupo (clic)
Verificar que no es posible tener acceso o realizar modificacin alguna sobre este objeto. SE
deber iniciar nuevamente sesin con el usuario Administrador para verificar que esta
restriccin solo se aplica al usuario Junior (esta es una buena manera de impedir que un
administrador principiante pueda tener acceso a partes sensibles de configuracin)
492 Implementacin de directivas de grupo
Clase terica 31
Implementacin de directivas de grupo
INTRODUCCIN
El servicio de directorios Active Directory utiliza la Directiva de grupo para administrar
los usuarios y equipos de la red. Mediante la Directiva de grupo se puede definir el
estado del entorno de trabajo de un usuario una sola vez y, a continuacin, dejar
que Windows Server 2003 R2 aplique de manera continua la configuracin de
Directiva de grupo definida. Se puede aplicar la configuracin de Directiva de grupo
en toda la organizacin, o bien slo a grupos especficos de usuarios y equipos.
CONFIGURACIN DE USUARIOS Y EQUIPOS
Se puede aplicar la configuracin de Directiva de grupo para usuarios y equipos
mediante las caractersticas Configuracin del equipo y Configuracin de usuario
de la Directiva de grupo.
Configuracin de usuario
La configuracin de Directiva de grupo para usuarios incluye el comportamiento
especfico del sistema operativo, la configuracin de escritorio, la configuracin
de seguridad y las opciones de aplicaciones asignadas y publicadas, la
configuracin de aplicaciones, las opciones de redireccin de carpetas y las
secuencias de comandos de inicio y cierre de sesin de los usuarios. La
configuracin de Directiva de grupo relativa al usuario se aplica cuando ste inicia
sesin en el equipo y durante el ciclo de actualizacin peridico.
La configuracin de Directiva de grupo que personaliza el entorno de escritorio del
usuario, o aplica directivas de bloqueo a los usuarios, se encuentra en Configuracin
de usuario, en el Editor de objetos de directiva de grupo.
Configuracin de software para la configuracin de usuario
La carpeta Configuracin de software bajo Configuracin de usuario contiene
configuraciones de software aplicables a los usuarios sin importar el equipo en
que inicien sesin. Esta carpeta tambin contiene configuraciones de instalacin
del software, y puede contener otro tipo de configuraciones incluidas aqu por
proveedores de software independientes (ISV, independent software vendors).
Configuracin de Windows para la configuracin de usuario
La carpeta Configuracin de Windows bajo Configuracin de usuario contiene
configuraciones de Windows aplicables a los usuarios sin importar el equipo en
que inicien sesin. Esta carpeta tambin contiene los siguientes elementos:
493
Clase terica 31
Redireccin de carpetas, Configuracin de seguridad y Archivos de
comandos.
Configuracin del equipo
La configuracin de Directiva de grupo incluye el comportamiento del sistema
operativo, el comportamiento del escritorio, la configuracin de seguridad, las
secuencias de comandos de inicio y cierre del equipo, las opciones de aplicacin
asignadas por el equipo y la configuracin de aplicaciones.
La configuracin de Directiva de grupo relativa al equipo se aplica cuando el
sistema operativo se inicializa y durante el ciclo de actualizacin peridico.
En general, la configuracin de Directiva de grupo relativa al equipo tiene prioridad
sobre cualquier otra configuracin de Directiva de grupo relativa al usuario con la
que pueda estar en conflicto.
La configuracin de Directiva de grupo que personaliza el entorno de escritorio de
todos los usuarios de un equipo, o que aplica directivas de seguridad a los equipos
de una red, se encuentra en Configuracin del equipo, en el Editor de objetos de
Directiva de grupo.
Configuracin de software para la configuracin del equipo
La carpeta Configuracin de software bajo Configuracin del equipo contiene
configuraciones de software aplicables a todos los usuarios que inician sesin en
el equipo. Esta carpeta tambin contiene configuraciones de instalacin del
software, y puede contener otro tipo de configuraciones incluidas aqu por
proveedores de software independientes (ISV).
Configuracin de Windows para la configuracin del equipo
La carpeta Configuracin de Windows bajo Configuracin del equipo contiene
configuraciones de Windows aplicables a todos los usuarios que inician sesin
en el equipo. Esta carpeta tambin contiene los siguientes elementos:
Configuracin de seguridad y Archivos de comandos.
Definir directivo de grupo:
A
c
t
i
v
i
d
a
d
Configuracin de seguridad para la configuracin de usuarios y equipos
La configuracin de seguridad est disponible en la carpeta Configuracin de
Windows, bajo Configuracin del equipo y Configuracin de usuario en el Editor
de objetos de directiva de grupo. La configuracin de seguridad o directivas de
seguridad son reglas que se configuran en uno o en varios equipos para proteger
los recursos de un equipo o de la red. Mediante la configuracin de seguridad se
puede especificar la directiva de seguridad de una unidad organizativa, dominio
o sitio.
CREAR OBJETOS DE DIRECTIVA DE GRUPO
Se puede abrir el Editor de objetos de directiva de grupo desde otras herramientas
para modificar objetos de Directiva de grupo.
Usuarios y equipos de Active Directory
Se puede abrir el editor desde Usuarios y equipos de Active Directory para
administrar los objetos de Directiva de grupo de dominios y unidades organizativas.
En el cuadro de dilogo Propiedades de un dominio o unidad organizativa hay
una ficha Group Policy (Directiva de grupo). En ella puede administrar los objetos
de Directiva de grupo del dominio o unidad organizativa.
Sitios y servicios de Active Directory
Se puede abrir el Editor de objetos de directiva de grupo desde Sitios y servicios
de Active Directory para administrar los objetos de Directiva de grupo de los
sitios. En el cuadro de dilogo Propiedades de un sitio hay una ficha Group Policy.
En ella puede administrar los objetos de Directiva de grupo del sitio.
Group Policy Management Console
Group Policy Management Console es una serie de interfaces programables
para administrar la Directiva de grupo, as como un complemento MMC integrado
en dichas interfaces. En combinacin, sus componentes consolidan la
administracin de la Directiva de grupo en toda la organizacin.
La consola combina la funcionalidad de varios componentes en una sola interfaz
de usuario (UI, User Interface). La interfaz est organizada para que se
corresponda con la forma en que utiliza y administra la Directiva de grupo.
Incorpora funciones relativas a la Directiva de grupo de las herramientas siguientes
en un nico complemento MMC:
Usuarios y equipos de Active Directory.
Sitios y servicios de Active Directory.
Si est instalada la
Consola de
administracin de
Directivas de grupo
(Group Policy
Management Console),
los elementos Usuarios y
equipos y Sitios y
servicios de Active
Directory se reemplazan
con un botn que inicia
la consola.
Nota
495
Clase terica 31
Conjunto resultante de directivas (RSoP, Resultant Set of Policy).
La administracin de Directivas de grupo tambin proporciona las siguientes
funciones extendidas, que no se hallaban disponibles en herramientas anteriores
de la Directiva de grupo. Con la consola Group Policy Management puede:
Hacer copia de seguridad de objetos de Directiva de grupo y restaurarlos.
Copiar e importar objetos de Directiva de grupo.
Utilizar filtros de Instrumental de administracin de Windows (WMI, Windows
Management Instrumentation).
Generar informes de datos de objetos de Directiva de grupo y RSoP.
Realizar bsquedas de objetos de Directiva de grupo.
Antes de Group Policy Management, las directivas de grupo se administraban
mediante una variedad de herramientas basadas en Windows, incluidas Usuarios
y equipos de Active Directory, Sitios y servicios de Active Directory y RSoP. Group
Policy Management consolida la administracin de todas las tareas principales de
Directiva de grupo en una sola herramienta. Debido a esta administracin
consolidada, ya no es necesaria la funcionalidad de la Directiva de grupo en el
resto de herramientas.
Despus de instalar Group Policy Management, se puede seguir usando las
herramientas de Active Directory para sus fines previstos de administracin de
directorios, como crear objetos de usuario, equipo y grupo. Sin embargo, se puede
utilizar Group Policy Management para realizar todas las tareas relativas a la
Directiva de grupo. La funcionalidad de la Directiva de grupo ya no est disponible
en las herramientas de Active Directory cuando se instala Group Policy
Management.
Group Policy Management no reemplaza al Editor de objetos de Directiva de grupo.
An es necesario modificar los objetos de Directiva de grupo desde el editor. Group
Policy Management integra las funciones de edicin proporcionando acceso directo
al Editor de objetos de directiva de grupo.
Atencin
La consola Group Policy Management no se incluye con W indows
Server 2003 R2.
Definir group policie management console:
A
c
t
i
v
i
d
a
d
Plantillas administrativas
Hay varios archivos de plantilla con la extensin .adm incluidos en Windows.
Estos archivos, denominados Plantillas administrativas, proporcionan informacin
de directiva sobre los elementos situados en la carpeta del mismo nombre, en el
rbol de consola del Editor de objetos de directiva de grupo. Las Plantillas
administrativas incluyen configuraciones del Registro, disponibles bajo
Configuracin del equipo y Configuracin de usuario en el editor.
Un archivo .adm se compone de una jerarqua de categoras y subcategoras que
definen la forma en que aparece la configuracin de directiva. Tambin contiene
la siguiente informacin:
Ubicaciones del Registro correspondientes a cada configuracin
Opciones o restricciones en los valores asociados a cada configuracin
Para muchas configuraciones, un valor predeterminado
Una explicacin de lo que hace cada configuracin
Versiones de Windows que admiten cada configuracin
ADMINISTRACIN DE OBJETOS DE DIRECTIVA DE GRUPO EN UN
DOMINIO
Despus de crear un objeto de Directiva de grupo se define la configuracin para
dicho objeto. Agrupando varias configuraciones en diversos objetos de Directiva
de grupo se pueden especificar diferentes configuraciones para cada uno de ellos,
de manera que cada uno slo afecte a los equipos y usuarios que usted
especifique. Al colocar objetos de Directiva de grupo en un dominio se pueden
administrar las configuraciones existentes para todo el dominio.
Contenedor de directivas de grupo
El contenedor de Directivas de grupo es un objeto de Active Directory que contiene
atributos de objeto de Directiva de grupo. Incluye subcontenedores para
informacin de Directiva de grupo sobre equipos y usuarios. El contenedor de
Directivas de grupo incluye la siguiente informacin:
Informacin de versin. Asegura que la informacin del contenedor de
Directivas de grupo est sincronizada en todos los controladores de dominio.
Informacin de estado. Indica si el objeto de Directiva de grupo est habilitado
o deshabilitado.
Lista de extensiones. Enumera las extensiones de Directiva de grupo
utilizadas en el objeto de Directiva de grupo.
497
Clase terica 31
VNCULO DE OBJETO DE DIRECTIVA DE GRUPO
Todos los objetos de Directiva de grupo se almacenan en un contenedor en Active
Directory llamado Group Policy Objects. Cuando un objeto de Directiva de grupo
se utiliza en un sitio, un dominio o una unidad organizativa, se vincula a un
contenedor de objetos de Directiva de grupo. Por tanto, puede administrar e
implementar de forma centralizada los objetos de Directiva de grupo para varios
dominios o unidades organizativas.
Objeto de Directiva de grupo vinculado
Al crear un objeto de Directiva de grupo vinculado a un sitio, un dominio o una
unidad organizativa, en realidad lleva a cabo dos operaciones: crear un objeto de
Directiva de grupo nuevo y, luego, vincularlo al sitio, dominio o unidad organizativa.
Al delegar permisos para vincular un objeto de Directiva de grupo a un dominio,
una unidad organizativa o un sitio, debe tener permiso para modificar el dominio,
unidad organizativa o sitio que desea delegar.
De forma predeterminada, slo los miembros de los grupos Administradores de
dominio y Administradores de organizacin tienen los permisos necesarios para
vincular objetos de Directiva de grupo a los dominios y unidades organizativas.
Slo los miembros de Administradores de organizacin tienen permisos para
vincular objetos de Directiva de grupo a sitios. Los miembros del grupo Propietarios
del creador de Directivas de grupo pueden crear objetos de Directiva de grupo
pero no vincularlos.
Definir contenedor de directivas de grupo: Definir planilla administrativa:
A
c
t
i
v
i
d
a
d
Objeto GPO
de dominio
Objeto GPO de unidad
organizativa
Objeto GPO de
unidad
organizativa
Objeto GPO de
sitio
O U
O U
O U
Dominio
Sitio
Objeto de Directiva de grupo no vinculado
Al crear un objeto de Directiva de grupo en el contenedor de objetos de Directiva
de grupo, el objeto de Directiva de grupo no se implementa para ningn usuario
o equipo hasta que no se crea un vnculo para el objeto de Directiva de grupo.
Puede crear un objeto de Directiva de grupo no vinculado usando Group Policy
Management. Podra crear objetos de Directiva de grupo no vinculados en una
empresa grande donde un grupo crea objetos de Directiva de grupo y otro los
vincula al sitio, dominio o unidad organizativa correspondiente.
No se puede vincular un
objeto de Directiva de
grupo a contenedores en
Active Directory como
los contenedores Users
(Usuarios) y Computers
(Equipos). Sin embargo,
cualquier objeto de
Directiva de grupo
vinculado al dominio se
aplica los usuarios y
equipos de estos
contenedores.
Nota
Atencin
Desvincular un objeto de Directiva de grupo y eliminarlo tiene el mismo
efecto. Sin embargo, si desea quitar de forma temporal el objeto de Directiva
de grupo, deber desvincularlo, lo que hace que se deshabilite. Si desea quitar
el objeto de Directiva de grupo completamente, entonces deber eliminar el
vnculo.
HERENCIA DEL PERMISO DE DIRECTIVA DE GRUPO EN ACTIVE
DIRECTO RY
El orden en que Windows Server 2003 R2 aplica los objetos de Directiva de
grupo depende del contenedor de Active Directory al que se vinculen los objetos.
Los objetos de Directiva de grupo se aplican primero al sitio, luego a los dominios
y, finalmente, a las unidades organizativas de los dominios.
Flujo de herencia
Un contendor secundario hereda los objetos de Directiva de grupo del contenedor
primario. Esto significa que el contenedor secundario puede tener muchos valores
de configuracin de Directiva de grupo aplicados a sus usuarios y equipos sin
tener un objeto de Directiva de grupo vinculado a l. Sin embargo, no hay una
jerarqua de dominios al igual que en las unidades organizativas, por ejemplo,
unidades organizativas primarias y unidades secundarias.
Orden de herencia
Los objetos de Directiva de grupo se acumulan, es decir, se pueden heredar. La
herencia de Directiva de grupo es el orden en que Windows Server 2003 R2
aplica los objetos de Directiva de grupo. El orden en que se aplican y cmo se
heredan finalmente determina qu valores de configuracin afectan a los usuarios
y equipos. Si hay varios objetos de Directiva de grupo establecidos en el mismo
valor, de forma predeterminada, el ltimo que se aplica tiene prioridad.
Tambin puede haber varios objetos de Directiva de grupo vinculados al mismo
contenedor; por ejemplo, si tiene tres objetos de Directiva de grupo vinculados a
un nico dominio. Puesto que el orden en que los objetos de Directiva de grupo
se aplican puede afectar a la configuracin de la Directiva de grupo, existe un
499
Clase terica 31
orden, o prioridad de valores de configuracin de Directiva de grupo y de objetos
de Directiva de grupo para cada contenedor.
OBJETOS DE DIRECTIVA DE GRUPO ENTRAN EN CONFLICTO
Las combinaciones complejas de objetos de Directiva de grupo pueden producir
conflictos que exijan que modifique el comportamiento de herencia predeterminado.
Cuando la Directiva de grupo se configura para una unidad organizativa primaria,
pero no para una unidad organizativa secundaria, los objetos de la unidad
secundaria heredan la configuracin de la Directiva de grupo de la unidad
organizativa primaria.
Resolucin de conflictos
Cuando la Directiva de grupo se configura tanto para una unidad organizativa
primaria como para una secundaria, la configuracin se aplica a ambas. Si la
configuracin no es compatible, la unidad organizativa secundaria conserva la
configuracin de su Directiva de grupo. Por ejemplo, la configuracin de una
Directiva de grupo para una unidad que fue la ltima que se aplic al equipo o
usuario, sobrescribe la configuracin de la Directiva de grupo que provoca el
conflicto para un contenedor que se encuentra ms arriba en la jerarqua de Active
Directory.
Modificar la herencia
Si el orden de herencia predeterminado no satisface las necesidades de la
empresa, puede modificar las reglas de herencia para un objeto de Directiva de
grupo especfico. Windows Server 2003 R2 proporciona las dos opciones
siguientes para cambiar el orden de herencia predeterminado:
No reemplazar: Se debe utilizar esta opcin para evitar que los contenedores
secundarios reemplacen un objeto de Directiva de grupo con una configuracin
de mayor prioridad. Esta opcin es til para exigir el uso de objetos de Directiva
de grupo que representen reglas empresariales para toda la empresa. La opcin
No reemplazar se establece de forma individual en cada objeto de Directiva de
grupo.
Puede establecer esta opcin en uno o ms objetos de Directiva de grupo segn
necesite. Cuando en dos o ms objetos de Directiva de grupo se establece la
Definir vinculo de objeto de directiva de grupo: Definir filujo de herencia:
A
c
t
i
v
i
d
a
d
opcin No reemplazar, el conjunto de objetos con esta opcin establecida, que
es prioritaria en la jerarqua de Active Directory, tiene prioridad.
Block Inheritance (Bloquear la herencia de directivas): Utilice esta opcin para
forzar a un contenedor secundario a bloquear la herencia de todos los
contenedores primarios. Esta opcin es til cuando una unidad organizativa
necesita una configuracin de Directiva de grupo nica. Block Inheritance se
establece para cada contenedor. En caso de que se produzca un conflicto, la
opcin No reemplazar siempre tiene prioridad sobre la opcin Bloquear la herencia
de directivas.
IMPLEMENTACIN DE UN OBJETO DE DIRECTIVA DE GRUPO
Puede evitar que un contenedor herede un objeto de Directiva de grupo de los
contenedores primarios, si habilita Block Inheritance en el contenedor secundario.
Utilizar Block Inheritance
Si habilita Block Inheritance en el contenedor secundario, evitar que ste herede
todos los valores de configuracin de la Directiva de grupo, y no los que haya
seleccionado. Esto es til cuando un contenedor de Active Directory necesita
una configuracin de Directiva de grupo nica, y usted desea garantizar que la
configuracin de la Directiva de grupo no se herede. Por ejemplo, puede utilizar
Block Inheritance cuando el administrador de una unidad organizativa deba
controlar todos los objetos de Directiva de grupo de ese contenedor.
Se deber tener en cuenta lo siguiente cuando se utilice Block Inheritance:
No se pueden elegir de forma selectiva los objetos de Directiva de grupo
que estn bloqueados. Block Inheritance afecta a todos los objetos de
Directiva de grupo de todos los contenedores primarios, excepto a los
objetos de Directiva de grupo con la opcin No reemplazar establecida sin
G P M C instalado y la opcin Enforced (Forzada)establecida con GPMC
instalado.
Block Inheritance no bloquea la herencia de los objetos de Directiva de
grupo vinculados a un contenedor primario si el vnculo est configurado
con la opcin No reemplazar activada.
ATRIBUTOS DE UN VNCULO DE OBJETO DE DIRECTIVA DE GRUPO
Se puede habilitar, deshabilitar, forzar y agrupar vnculos de objetos de Directiva
de grupo. Estas opciones afectan de forma significativa a las cuentas de usuario
y de equipo de una unidad organizativa a la que est vinculada un objeto de
Directiva de grupo.
La opcin Enforced (Forzar)
La opcin Enforced es un atributo de los vnculos de objetos de Directiva de
grupo, no de los objetos en s. Si tiene un objeto de Directiva de grupo vinculado
501
Clase terica 31
a varios contenedores, se debe configurar la opcin Enforced en cada contenedor
por separado. Adems, si el mismo objeto de Directiva de grupo se ha vinculado
en algn otro lugar, la opcin Enforced no se aplica al vnculo a menos que tambin
se modifique ste.
Toda la configuracin de Directiva de grupo contenida en el objeto de Directiva de
grupo cuyo vnculo est configurado con la opcin Enforced se aplica incluso si
entra en conflicto con la configuracin de Directiva de grupo procesada despus,
o si la herencia se bloquea ms abajo en el rbol de Active Directory.
Se deber habilitar la opcin Enforced slo para los vnculos a objetos de Directiva
de grupo que representen reglas importantes. Se debe vincular el objeto de
Directiva de grupo en la parte alta del rbol de Active Directory para que afecte a
varias unidades organizativas. Por ejemplo, se desear vincular un objeto de
Directiva de grupo con la configuracin de seguridad de red a un dominio o sitio.
Habilitar y deshabilitar un vnculo
Link Enabled (Vnculo habilitado) es otro atributo que puede utilizar para solucionar
problemas con un objeto de Directiva de grupo.
Se puede deshabilitar el vnculo del objeto de Directiva de grupo desactivando la
opcin Link Enabled, en lugar de eliminar el vnculo del objeto de Directiva de
grupo. Deshabilitando el vnculo, slo puede cambiar el efecto causado en las
cuentas de usuario y de equipo en la unidad organizativa y todas las unidades
organizativas secundarias. No afectar a otros vnculos que tenga el objeto de
Directiva de grupo.
Vnculos conflictivos
Cuando se vinculan varios objetos de Directiva de grupo a una unidad organizativa,
el ltimo en aplicarse es el objeto de Directiva de grupo con el orden de vinculacin
prioritario. Si las opciones de configuracin de Directiva de grupo del objeto de
Directiva de grupo entran en conflicto, tiene prioridad la ltima que se aplique.
FILTRAR LA IMPLEMENTACIN DE UN OBJETO DE DIRECTIVA DE GRUPO
De forma predeterminada, todos los valores de configuracin de Directiva de grupo
Definir la opcin enforced: Definir block inheritance:
A
c
t
i
v
i
d
a
d
contenidos en los objetos de Directiva de grupo que afectan al contenedor
se aplican a todos los usuarios y equipos de ese contenedor, lo que podra
provocar resultados no deseados. Mediante la funcin de filtrado, puede
determinar qu valores se aplican a usuarios y equipos en un contenedor
especfico.
Permisos para un objeto de Directiva de grupo
Puede filtrar la implementacin de un objeto de Directiva de grupo
estableciendo los permisos en el vnculo del objeto de Directiva de grupo
para determinar el acceso del permiso de lectura o denegarlo en el objeto de
Directiva de grupo. Para aplicar los valores de configuracin de Directiva de
grupo a una cuenta de usuario o de equipo, la cuenta debe tener, al menos,
permiso de lectura para un objeto de Directiva de grupo. Los permisos
predeterminados para un nuevo objeto de Directiva de grupo tienen las
siguientes entradas de control de acceso (ACE, Access Control Entry):
Usuarios autentificados: permite acceso de lectura y aplicar la Directiva
de grupo
Administradores de dominio, Administradores de organizacin y
SYSTEM: permite acceso de lectura, acceso de escritura, crear todos
los objetos secundarios y eliminar todos los objetos secundarios
Mtodos de filtrado
Se pueden utilizar los siguientes mtodos de filtrado:
Denegar explcitamente: Este mtodo se utiliza cuando se deniega el
acceso a la Directiva de grupo. Por ejemplo, puede denegar explcitamente
permisos al grupo de seguridad de administradores, lo que evita que los
administradores reciban los valores
de configuracin del objeto de Directiva de grupo.
Quitar usuarios autentificados: Puede omitir a los administradores de
unidades organizativas del grupo de seguridad, lo que significa que no tendrn
permisos explcitos para el objeto de Directiva de grupo.
Filtros WMI: (Windows Management Instrumentation)
Clase prctica 31
Para esta prctica se asume que el alumno cuenta con el cd de instalacin de Office 2000, XP
o 2003, adems del servidor MGP-SRV04 configurado con DNS, WINS y DHCP como en las
practicas anteriores.
Icono Mi PC (doble clic)
Icono Disco local (C:) (doble clic) Ingresar en la unidad C
Men Archivo (clic)
Nuevo (clic)
Carpeta (clic)
Introducir DistSoft como nombre de la carpeta y presionar la tecla ENTER Crear
una carpeta llamada DistSoft
Carpeta DistSoft (clic con el botn derecho del mouse)
Compartir (clic) Establece que se desea compartir el recurso
Compartir esta carpeta (clic)
Botn Permisos (clic) Cambiar los permisos de acceso
Botn Agregar (clic) Agregar usuarios o grupos
Grupo Administradores (doble clic) Agrega al grupo Administradores
Botn Aceptar (clic)
Grupo Administradores (MEGAPACK0\Administradores) (clic) Selecciona el grupo
administradores
Control total (clic para marcar) Establece que los administradores tendrn control
total sobre este recurso
Grupo Todos (clic) Selecciona el grupo todos (que hace referencia a todos los
usuarios)
Control total (clic para desmarcar) Establece que los usuarios no tendrn control
total sobre este recurso
Cambiar (clic para desmarcar) Establece que los usuarios no podrn modificar o
eliminar archivos sobre este recurso
Botn Aceptar (clic) Establece los nuevos permisos
Botn Aceptar (clic) Cerrar la ventana compartir
Carpeta DistSoft (doble clic) ingresar a la carpeta DistSoft
Men Archivo (clic)
Nuevo (clic)
Carpeta (clic)
Introducir Office como nombre de la carpeta y presionar la tecla ENTER Crear una
carpeta llamada Office
Colocar en la unidad de CD-ROM el CD de instalacin de Office
Mediante la realizacin de esta prctica usted podr realizar el anlisis e implementacin
de directivas de grupo, as como su posterior verificacin.
concreta.
504
en la barra de direcciones del explorador de Windows colocar z: (sin las comillas) (o la
letra de unidad que corresponda a la lector de CD) y presionar la tecla ENTER
seleccionar simultneamente los elementos office1.cab y pro.msi (manteniendo
presionada la tecla ctrl. Y haciendo clic en los iconos correspondiente)
presionar simultneamente las teclas ctrl. + C Copiar los archivos anteriormente
seleccionados
en la barra de direcciones del explorador de Windows colocar c:\distsoft\office (sin
las comillas) y presionar la tecla ENTER acceder a la carpeta office que se encuentra
dentro de la carpeta distsoft
presionar simultneamente las teclas ctrl. + V Pegar los archivos anteriormente
copiados
Cerrar el explorador de Windows
Ejercicio 2:
Men Inicio (clic)
Propiedades (clic) despliega las propiedades de la UO
Solapa Poltica de grupo (clic)
Botn Nueva (clic) Crear una nueva poltica de grupo
Colocar Poltica Tecnologa (sin las comillas) como nombre de la poltica y presionar la
tecla ENTER
Poltica Tecnologa (doble clic) Editar la poltica de grupo
Configuracin de usuario (clic)
Configuracin de software (doble clic) despliega la rama de configuracin de software
de usuario
Instalacin de software (clic con el botn derecho del mouse)
Nuevo (clic)
Paquete (clic) Establece que se desea agregar un nuevo paquete de instalacin
Colocar \\mgp-srv04\distsoft\office\pro.msi (sin las comillas) en el cuadro de texto
Nombre del archivo: y presionar la tecla ENTER
Asignada (clic) Establece que el paquete ser asignado para la instalacin en lugar
de ser publicado para la instalacin
Botn Aceptar (clic) El nuevo paquete ser agregado a la GPO para su instalacin
Cerrar la consola de configuracin de directiva de grupo
En el Worstation 1 (MGP-WST01): Ejercicio 1:
Una vez iniciado el sistema se proceder a iniciar sesin como supadm presionando
Introducir sp_zeus (sin las comillas ) como usuario y la contrasea correspondiente y presionar
la tecla ENTER
Men Inicio (clic)
Ejecutar (clic)
Colocar appwiz.cpl en el cuadro de texto y presionar la tecla ENTER Acceder al
complemento Agregar o quitar programas del panel de control
Verificar que ya se encuentra instalado el paquete de Microsoft Office
Botn Cerrar (clic) Cerrar la ventana de Agregar o quitar programas
Ejercicio 2:
Men Inicio (clic)
Programas (clic)
Observar que ya se encuentran todos los accesos directos a los programas del paquete
office (Word, Excel, Access, etc.)
Microsoft Access (clic) Ejecutar el programa Microsoft Access. Al ser esta la primer
ve que se ejecuta comenzar el proceso de instalacin del mismo.
Una vez finalizado el proceso cerrar todas las ventanas abiertas
506
Administracin de un entorno de usuarios mediante Directivas de grupo
Clase terica 32
Administracin de un entorno de usuarios mediante
Directivas de grupo
INTRODUCCIN
Administrar los entornos de usuario implica controlar lo que los usuarios pueden
hacer cuando inician sesin en la red. Esto se consigue controlando los escritorios,
las conexiones de red y las interfaces de usuario mediante la Directiva de grupo.
Los entornos de usuario se administran para garantizar que los usuarios tienen
todo lo que necesitan para poder realizar sus trabajos, pero tambin se administran
para evitar que los usuarios daen los entornos o los configuren de forma
incorrecta.
Al configurar y administrar los entornos de usuario de forma centralizada, es posible
realizar las siguientes tareas:
Administrar usuarios y equipos: Mediante la administracin de la
configuracin del escritorio de usuario, se garantiza que todos disponen de
los mismos entornos informticos incluso si inician sesin desde equipos
distintos. Es posible controlar cmo Windows Server. 2003 R2 administra
los perfiles de usuario; esto incluye la forma en que se permite la
disponibilidad de los datos personales del usuario. Mediante la redireccin
de las carpetas de usuario desde los discos locales de los usuarios a una
ubicacin central en un servidor, es posible garantizar la disponibilidad que
los usuarios tienen de sus propios datos, independientemente del equipo
en el que inicien sesin.
Distribucin del software: El software se distribuye a los equipos o
usuarios a travs del servicio de directorios Active Directory. Con esta
distribucin del software, es posible garantizar que los usuarios cuentan
con los programas, Service Packs y revisiones necesarios.
Hacer que se cumplan las configuraciones de seguridad: Mediante la
Directiva de grupo de Active Directory, el administrador de sistemas puede
aplicar de forma centralizada las configuraciones de seguridad necesarias
para proteger el entorno de usuario. En Windows Server 2003 R2, es posible
usar la extensin Configuracin de seguridad de la Directiva de grupo para
definir la configuracin de seguridad de las directivas de seguridad de
dominio y locales.
Conseguir un entorno de escritorio coherente: La configuracin de la
Directiva de grupo proporciona una forma eficaz de conseguir el
cumplimiento de las normas, por ejemplo las secuencias de comandos de
inicio de sesin y la configuracin de contraseas. Por ejemplo, se puede
impedir que los usuarios realicen cambios en el escritorio que puedan
provocar que los entornos de usuario sean ms complejos de lo necesario.
507
Clase terica 32
CONFIGURACIN HABILITA D A Y DESHABILITA D A DE LA DIRECTIVA DE
G R U P O
Si se deshabilita la configuracin de una directiva, est deshabilitando la accin
de dicha configuracin. Por ejemplo, los usuarios pueden tener acceso al Panel
de control de forma predeterminada. No se necesita deshabilitar la configuracin
de directiva Prohibir el acceso al Panel de control para que los usuarios puedan
tener acceso al Panel de control a no ser que, previamente, se haya aplicado
una configuracin de directiva que lo permita. Si fuera el caso, sera necesario
establecer otra configuracin de directiva que deshabilitase la configuracin de
directiva aplicada.
Esto resulta til cuando existen configuraciones de directiva heredadas y no
quiere usar filtros para no aplicar las configuraciones de directiva a determinados
grupos. Puede aplicar un objeto de Directiva de grupo que habilite una
configuracin de directiva en la unidad organizativa primaria y otra distinta que
deshabilite el objeto de Directiva de grupo en una unidad organizativa secundaria.
Si se habilita la configuracin de una directiva, est habilitando la accin de dicha
configuracin. Por ejemplo, para revocar el acceso de un usuario al Panel de
control, puede habilitar la configuracin de directiva Prohibir el acceso al Panel
de control.
Un objeto de Directiva de grupo incluye los valores que cambian el registro de
los usuarios y equipos a los que afecta GPO. La configuracin predeterminada
de una configuracin de directiva es No configurada. Si se desea que la
configuracin de directiva de un equipo o usuario vuelva a ser la predeterminada
o si se desea volver a la directiva local, se debe seleccionar la opcin No
configurada.
Por ejemplo, es posible habilitar una configuracin de directiva para determinados
clientes y, mediante la opcin No configurada, volver a la configuracin de directiva
predeterminada o local.
Configuracin de directiva con varios valores
Algunos objetos de Directiva de grupo requieren la introduccin de informacin
adicional despus de habilitar el objeto. En ocasiones, es posible que necesite
seleccionar un equipo o usuario si la configuracin de directiva necesita redirigir
al usuario hacia cierta informacin. En otras ocasiones para poder habilitar la
configuracin de proxy, se debe proporcionar el nombre o la direccin de protocolo
de Internet (IP, Internet Protocol) del servidor proxy y el nmero de puerto.
Si una configuracin de
directiva tiene varios
valores y la
configuracin interfiere
con otra configuracin
de directiva, la
configuracin conflictiva
de varios valores se
sustituye por la ltima
configuracin conflictiva
aplicada.
Nota
Definir configuracin habilitada de directiva de grupo:
A
c
t
i
v
i
d
a
d
508
CONFIGURACIN DE SECUENCIAS DE COMANDOS DE DIRECTIVA DE
G R U P O
Puede utilizar la configuracin de secuencias de comandos de directiva de grupo
para configurar de forma centralizada la ejecucin automtica de las secuencias
de comandos cuando se inicia o se apaga el equipo y cuando los usuarios inician
o cierran la sesin. Es posible especificar cualquier secuencia de comandos
que se ejecuta en Windows Server 2003 R2, incluyendo archivos por de proceso
por lotes, programas ejecutables y secuencias de comandos compatibles con
Windows Script Host (WSH).
Para una mejor administracin y configuracin de entornos de usuario, se puede:
Ejecutar secuencias de comandos que lleven a cabo tareas que no se
pueden realizar mediante otras configuraciones de Directiva de grupo. Por
ejemplo, se puede llenar entornos de usuario con conexiones de red,
conexiones de impresin, accesos directos a aplicaciones y documentos
empresariales.
Limpiar los escritorios cuando los usuarios cierran la sesin y apagan el
equipo. Eliminar conexiones que se han agregado con secuencias de
comandos de inicio de sesin y de inicio para que el equipo se encuentre
en el mismo estado que tena cuando el usuario lo inici.
Ejecutar secuencias de comandos ya existentes y configuradas para
administrar entornos de usuario hasta que realice otras configuraciones
de Directiva de grupo que las sustituyan.
Los archivos de
comandos de inicio de
sesin se ejecutan en el
contexto
de la cuenta de usuario y
no en el de la cuenta de
administrador.
Nota
REDIRECCIN DE CARPETA S
Al redirigir carpetas se cambia la ubicacin de almacenamiento de las carpetas
desde el disco local del equipo del usuario hacia una carpeta compartida en un
servidor de archivos de red. Despus de redirigir una carpeta a un servidor de
archivos, el usuario sigue teniendo la sensacin de que todava se encuentra en
su disco local (es un proceso transparente al usuario). Se pueden redirigir cuatro
carpetas que forman parte del perfil de usuario: Mis documentos, Datos de
programa, Escritorio y Men Inicio.
Al almacenar los datos en la red, los usuarios se benefician de una mayor
disponibilidad y de copias de seguridad frecuentes de los datos. Redirigir carpetas
tiene las siguientes ventajas:
Los datos de las carpetas estn disponibles para el usuario
independientemente del equipo cliente en el que se inicie la sesin.
Los datos de las carpetas se almacenan de forma centralizada para que
los archivos que contienen puedan administrarse y realizar copias de
seguridad con mayor facilidad.
Los archivos ubicados en carpetas re-direccionadas, al contrario de lo que
ocurre con los que forman parte de un perfil mvil de usuario, no se copian
509
Clase terica 32
y se guardan en el equipo en el que el usuario inicia la sesin. Esto quiere decir
que, cuando un usuario inicia sesin en un equipo cliente, no se utiliza ningn
espacio para almacenar estos archivos y los datos que puedan ser confidenciales
no permanecen en el equipo cliente.
Los datos se almacenan en una carpeta de red compartida de la que puede
hacerse una copia de seguridad como parte de la administracin rutinaria
del sistema. Este mtodo es ms seguro, ya que no requiere ninguna accin
por parte del usuario.
Como administrador, utilizar la Directiva de grupo para establecer las
cuotas de disco y limitar la cantidad de espacio que ocupan las carpetas
especiales de los usuarios.
Los datos concretos de un usuario pueden redirigirse a un disco distinto del
equipo local del usuario, y no al disco que contiene los archivos del sistema
operativo. De esta forma se protegen los datos del usuario en caso de
necesidad de volver a instalar el sistema operativo.
CARPETAS QUE PUEDEN REDIRIGIRSE
Es posible redirigir las carpetas Mis documentos, Datos de programa, Escritorio
y Men Inicio. Se debera redirigir estas carpetas para proteger los datos y
configuraciones importantes de sus usuarios. Hay varias ventajas al redirigir cada
una de estas carpetas. Las ventajas varan dependiendo de las necesidades.
Puede utilizar la redireccin de carpetas para redirigir las siguientes carpetas del
perfil del usuarios:
Mis documentos: Redirigir Mis documentos resulta especialmente ventajoso,
ya que esta carpeta tiende a llenarse cada vez ms.
La tecnologa de archivos sin conexin permite a los usuarios tener acceso
a Mis documentos incluso cuando no estn conectados a la red. Esto resulta
especialmente til para los usuarios de equipos porttiles.
Datos de programa: Una configuracin de Directiva de grupo controla el
comportamiento de Datos de programa si se habilita la cach del lado del cliente.
Esta configuracin sincroniza los datos de las aplicaciones que estn
centralizados en el servidor con el equipo local. Como resultado, el usuario
puede trabajar con y sin conexin. Si se realizan cambios en los datos de las
aplicaciones, la sincronizacin los actualiza en el cliente y en el servidor.
La carpeta archivos de programa puede redirigirse? Definir redireccin de carpetas:
A
c
t
i
v
i
d
a
d
510
Escritorio: Es posible redirigir la carpeta Escritorio y todos los archivos, accesos
directos y carpetas que contiene a un servidor centralizado.
Men Inicio:Al redirigir Men Inicio, tambin se redirigen sus subcarpetas.
CONFIGURAR LA REDIRECCIN DE CARPETA S
Existen tres configuraciones disponibles para la redireccin de carpetas: ninguna,
bsica y avanzada. La redireccin de carpetas bsica est pensada para usuarios
que deben redirigir sus carpetas a una zona comn o para usuarios que necesitan
que sus datos sean privados.
Redireccin de carpetas bsica
Cuenta con las siguientes opciones bsicas de redireccin de carpetas:
Redirigir la ubicacin siguiente: Todos los usuarios que redirigen sus carpetas a
una zona comn pueden ver y usar los datos de la carpeta re-direccionada. Para
hacerlo, se debe escoger la seleccin Bsico y establecer la Ubicacin de la
carpeta de destino en Redirigir la ubicacin siguiente. Se debe utilizar esta opcin
para todas las carpetas re-direccionadas que contengan datos no privados.
Crear una carpeta para cada usuario en la ruta de acceso raz: Para usuarios
que necesitan que sus carpetas re-direccionadas sean privadas, se debe escoger
la configuracin Bsico y establecer la Ubicacin de la carpeta de destino en
Crear una carpeta para cada usuario en la ruta raz. Se debe utilizar esta opcin
para los usuarios que necesitan que sus datos sean privados.
Redireccin de carpetas avanzada
Al seleccionar Avanzado: especificar ubicaciones para diversos grupos de
usuarios, las carpetas se redirigen a distintas ubicaciones basndose en la
pertenencia a los grupos de seguridad de los usuarios.
Cuenta con las siguientes opciones avanzadas de redireccin de carpetas:
Seleccionar Grupo: Aqu se especifica a quin se quiere distribuir la redireccin.
Ubicacin de la carpeta de destino: Se puede seleccionar cualquiera de las
siguientes opciones:
Crear una carpeta para cada usuario en la ruta raz: Se debe utilizar esta
opcin para datos privados.
Redirigir la ubicacin siguiente: Se debe utilizar esta opcin para datos
compartidos.
Redirigir a la ubicacin local de perfil de usuario: Se debe utilizar esta
opcin para los usuarios que usan varios equipos clientes heredados en
511
Clase terica 32
los que no est habilitado Active Directory y equipos en los que
Active Directory s est habilitado.
Ruta de acceso raz. En este cuadro, se especifica el servidor y el nombre
de la carpeta compartida a la que se desea redirigir las carpetas.
Atencin
Se recomienda permitir que el sistema operativo cree el directorio y las opciones de seguridad de la
redireccin de carpetas. No se debe crear el directorio definido por el nombre de usuario de forma
manual. La redireccin de carpetas establece los permisos adecuados de la carpeta. Si se decide crear
carpetas para cada usuario de forma manual, se debe estar seguro de establecer los permisos
correctamente.
GPUPDATE
Gpupdate es una herramienta de la lnea de comandos que actualiza la
configuracin de Directiva de grupo y la almacena en Active Directory,
incluyendo la configuracin de seguridad. De forma predeterminada, la
configuracin de seguridad se actualiza cada 90 minutos en una estacin
de trabajo o en un servidor, y cada cinco minutos en un controlador de
dominio. Se puede ejecutar gpupdate para comprobar una configuracin
de directiva de grupo o para hacer que sta se cumpla.
GPRESULT
Como es posible aplicar niveles superpuestos de configuraciones de
directiva a cualquier usuario o equipo, la Directiva de grupo genera un
conjunto de directivas resultantes en el inicio de sesin. Gpresult
muestra el conjunto resultante de directivas que se deben cumplir en el
equipo para el usuario especfico en el inicio de sesin.
El comando gpresult muestra la configuracin de Directiva de grupo y
los datos del conjunto resultante de directivas (RSoP, Resultant Set of
Policy) para un usuario o un equipo. Se puede utilizar gpresult para ver
qu configuracin de directiva est activada y para solucionar
problemas.
Definir GPRESULT: Definir GPUPDATE:
A
c
t
i
v
i
d
a
d
512
INFORMES DE DIRECTIVA DE GRUPO
Un administrador de sistemas puede realizar cientos de cambios en un objeto de
Directiva de grupo. Para poder comprobar los cambios realizados sin tener que
abrir el objeto de Directiva de grupo y tener que expandir cada carpeta, es posible
generar un informe en lenguaje HTML (HTML, Hypertext Markup Language) en el
que se enumeren los elementos que se han configurado en el objeto de Directiva
de grupo.
La solapa Configuracin del panel de detalles de un objeto de Directiva de grupo
o de un vnculo GPO en Group Policy Management, muestra un informe HTML en
el que se incluyen todas las configuraciones definidas para el objeto de Directiva
de grupo en cuestin. Cualquier usuario con acceso de lectura al GPO puede
generar este informe. Asimismo, mediante un men contextual, es posible imprimir
los informes o guardarlos en un archivo, bien como HTML o como archivo XML.
MODELADO DE DIRECTIVA DE GRUPO
Windows Server 2003 R2 permite simular una distribucin de GPO que se aplique
a los usuarios y equipos antes de llevarla a cabo realmente. Esta simulacin
crea un informe que se incorpora a la unidad organizativa de la cuenta del usuario,
a la unidad organizativa del equipo y a cualquier filtro de pertenencia a grupos.
Tambin tiene en cuenta cualquier asunto o conflicto de herencia de Directiva de
grupo.
Si se desea utilizar el modelado de Directiva de grupo, debe existir un controlador
de dominio de Windows Server 2003 R2 en el bosque. La razn es que la
simulacin se realiza mediante un servicio que nicamente est presente en los
controladores de dominio de Windows Server 2003.
Para llevar a cabo una consulta de modelado de Directiva de grupo, el usuario
emplea Group Policy Modeling Wizard (Asistente para modelado de Directiva de
grupo). Una vez finalizado el asistente, aparece un nuevo nodo en el rbol de
consola de Group Policy Management (Administracin de directivas de grupo)
bajo Group Policy Modeling (Modelos de Directiva de grupo) en el que se muestran
los resultados. La solapa Contenido del panel de detalles de modelado de Directiva
de grupo muestra un resumen de las consultas de modelado de Directiva de
grupo que ha realizado el usuario.
RESULTADOS DE DIRECTIVA DE GRUPO
Los datos que se incluyen en los resultados de Directiva de grupo son similares
a los datos del modelado de Directiva de grupo. Sin embargo, al contrario de lo
que ocurre con los datos del modelado de Directiva de grupo, los datos de los
resultados no son una simulacin. Se trata de los datos reales obtenidos del
equipo de destino. De forma predeterminada, este acceso se otorga a todos los
usuarios en Microsoft Windows XP, pero no ocurre as en Windows Server 2003
R2.
513
Clase terica 32
Al contrario de lo que ocurre en el modelado de Directiva de grupo, los datos de
los resultados de Directiva de grupo se obtienen desde el cliente y no se realiza
una simulacin en el controlador de dominio. Tcnicamente, un controlador de
dominio de Windows Server 2003 R2 no necesita estar en el bosque si desea
tener acceso a los resultados de Directiva de grupo.
No obstante, el cliente debe estar ejecutando Windows XP o Windows Server
2003. No es posible obtener los datos de los resultados de Directiva de grupo
desde un cliente que ejecute Microsoft Windows 2000.
De forma
predeterminada,
nicamente los usuarios
con privilegios
locales de administrador
en el equipo de destino
pueden tener acceso
remotamente a los datos
de los resultados de
Directiva de grupo. Para
poder recopilar estos
datos, el usuario que
realiza la consulta debe
tener acceso para poder
visualizar remotamente el
registro de sucesos.
Nota
Administracin de un entorno de usuarios mediante Directivas de grupo 514
Clase prctica 32
Administracin de Entornos de usuario mediante Directiva de Grupo
Men Inicio (clic)
Ejecutar (clic)
Introducir cmd (sin las comillas) (presionar la tecla ENTER) Abrir una consola de
DOS
En la lnea de comandos introducir lo siguiente:
Edit banner.bat (presionar la tecla ENTER) crear un archivo llamado banner.bat
Colocar lo siguiente en el interior del archivo:
@echo off
echo Creando Carpeta temporal
echo.
Md c:\documents and settings\Carpeta_Temporal
echo Probando conexin con el Servidor
echo.
Ping t mgp-srv04.megapack.com
Presionar la tecla Alt para acceder a la barra de men y luego seleccionar la opcin
Salir y responder de manera afirmativa a la pregunta de si se desean guardar los
cambios
Edit banner2.bat (presionar la tecla ENTER) crear un archivo llamado banner2.bat
Colocar lo siguiente en el interior del archivo:
@echo off
echo Eliminando Carpeta temporal
echo.
rd c:\documents and settings\Carpeta_Temporal
pause
Copiar los archivos banner.bat y banner2.bat al directorio
c:\windows\sysvol\sysvol\megapack.com\policies\{seleccionar el que tenga la fecha
actual}\user\scripts\logon (banner2.bat debe colocarse en la carpeta logoff)
Mediante la realizacin de esta prctica usted podr realizar la implementacin de
entornos de usuario coherentes.
concreta.
Ejercicio 2:
Disco local (C:) (doble clic)
Men Archivo (clic)
Nuevo (clic)
Carpeta (clic)
Colocar Usuarios (sin las comillas) como nombre de la nueva carpeta y presionar la
tecla ENTER Crear una nueva carpeta llamada usuarios
Usuarios (clic con el botn derecho del Mouse)
Compartir (clic) Acceder a las opciones de compartir recurso
Botn Aceptar (clic) Crear el nuevo recurso compartido
Usuarios (doble clic)
Men Archivo (clic)
Nuevo (clic)
Carpeta (clic)
Colocar Sistemas (sin las comillas) como nombre de la nueva carpeta y presionar la
tecla ENTER Crear una nueva carpeta llamada Sistemas
Men Archivo (clic)
Nuevo (clic)
Carpeta (clic)
Colocar DBA (sin las comillas) como nombre de la nueva carpeta y presionar la tecla
ENTER Crear una nueva carpeta llamada DBA
Men Archivo (clic)
Nuevo (clic)
Carpeta (clic)
Colocar Desarrollo (sin las comillas) como nombre de la nueva carpeta y presionar la
tecla ENTER Crear una nueva carpeta llamada Desarrollo
Cerrar la ventana del explorador (haciendo clic en el icono con forma de X que se
encuentra en la esquina superior derecha de la ventana)
Ejercicio 3:
Men Inicio (clic)
Propiedades (clic) despliega las propiedades de la UO
Solapa Poltica de grupo (clic)
Botn Nueva (clic) Crear una nueva poltica de grupo
Colocar Poltica Tecnologa (sin las comillas) como nombre de la poltica y presionar la
tecla ENTER
Poltica Tecnologa (doble clic) Editar la poltica de grupo
Configuracin de Windows (doble clic)
Administracin de un entorno de usuarios mediante Directivas de grupo 516
Secuencia de comandos (inicio de sesin/cierre de sesin) (clic)
Iniciar sesin (doble clic) despliega la ventana q permite la seleccin de los archivos
de comando que se ejecutaran al iniciar la sesin
Botn Agregar (clic) Agregar un nuevo archivo de comandos
Colocar banner.bat (sin las comillas) en el cuadro de texto Nombre del archivo de
comandos: y presionar la tecla ENTER
Botn Aceptar (clic)
Cerrar sesin (doble clic) despliega la ventana q permite la seleccin de los archivos
de comando que se ejecutaran al cerrar la sesin
Botn Agregar (clic) Agregar un nuevo archivo de comandos
Colocar banner2.bat (sin las comillas) en el cuadro de texto Nombre del archivo
de comandos: y presionar la tecla ENTER
Botn Aceptar (clic)
Redireccionamiento de carpetas (doble clic)
Escritorio (clic con el botn derecho del mouse)
Propiedades (clic)
De la lista desplegable seleccionar la opcin Avanzado: especificar ubicaciones para
diversos grupos de usuarios
Botn Agregar (clic)
o Pertenencia a grupo de seguridad: MEGAPACK0\Sistemas
o Ubicacin de la carpeta de destino: Crear una carpeta para cada usuario en la
ruta raz
o Ruta de acceso raz: \\mgp-srv04\usuarios\sistemas
Botn Aceptar (clic)
Botn Agregar (clic)
o Pertenencia a grupo de seguridad: MEGAPACK0\DBA
ruta raz
o Ruta de acceso raz: \\mgp-srv04\usuarios\DBA
Botn Aceptar (clic)
Botn Agregar (clic)
o Pertenencia a grupo de seguridad: MEGAPACK0\Desarrollo
ruta raz
o Ruta de acceso raz: \\mgp-srv04\usuarios\desarrollo
Botn Aceptar (clic)
Botn Aceptar (clic) cierra la ventana de redireccionamiento de Escritorio
Mis documentos (clic con el botn derecho del mouse)
Propiedades (clic)
De la lista desplegable seleccionar la opcin Avanzado: especificar ubicaciones para
diversos grupos de usuarios
Botn Agregar (clic)
o Pertenencia a grupo de seguridad: MEGAPACK0\Sistemas
ruta raz
o Ruta de acceso raz: \\mgp-srv04\usuarios\sistemas
Botn Aceptar (clic)
Botn Agregar (clic)
o Pertenencia a grupo de seguridad: MEGAPACK0\DBA
ruta raz
o Ruta de acceso raz: \\mgp-srv04\usuarios\DBA
Botn Aceptar (clic)
Botn Agregar (clic)
o Pertenencia a grupo de seguridad: MEGAPACK0\Desarrollo
ruta raz
o Ruta de acceso raz: \\mgp-srv04\usuarios\desarrollo
Botn Aceptar (clic)
Botn Aceptar (clic) cierra la ventana de redireccionamiento de Mis documentos
Cerrar todas las ventanas
Verificar el correcto funcionamiento iniciando sesin en l estacin de trabajo con al menos
1 usuario de cada grupo (Sistemas, Desarrollo y DBA)
518
Implementacin de plantillas administrativas y directivas de auditora
Implementacin de plantillas administrativas y
directivas de auditora
Clase terica 33
DERECHOS DE USUARIO
Cuando un usuario inicia la sesin, recibe un smbolo de acceso en el que se
incluyen los derechos de usuario. Un derecho de usuario autoriza a un usuario
que inicia la sesin en un equipo o red para llevar a cabo determinadas acciones
en el sistema. Si un usuario no tiene los derechos adecuados para realizar una
accin, se bloquear cualquier intento de llevarla a cabo.
Los derechos de usuario pueden aplicarse tanto a usuarios individuales como a
grupos. Sin embargo, se administran mejor cuando se asignan a grupos. Esto
garantiza que un usuario que inicia la sesin como miembro de un grupo,
automticamente reciba los derechos asociados a ese grupo. Windows Server
2003 R2 permite al administrador asignar derechos a usuarios y grupos.
A continuacin se especifican los derechos de usuario comunes:
Iniciar la sesin de forma local. Permite a un usuario iniciar la sesin en un
dominio o un equipo local desde otro equipo local.
Modificar la hora del sistema. Permite al usuario establecer la hora del reloj
interno del equipo.
Apagar el sistema. Permite al usuario apagar un equipo local.
Obtener acceso a este equipo desde una red. Permite al usuario obtener
acceso a un equipo en el que se ejecuta Windows Server 2003 R2 desde
cualquier otro equipo de la red.
Un administrador puede asignar derechos de usuario especficos a cuentas de
grupo o a cuentas de usuario individuales. Estos derechos autorizan a los usuarios
a realizar acciones especficas, como iniciar la sesin en un sistema de forma
interactiva o hacer copias de seguridad de archivos o directorios. Los derechos
de usuario son diferentes de los permisos porque los primeros se asocian a
cuentas de usuario y los segundos a objetos.
PERMISOS DE USUARIO
Los permisos definen el tipo de acceso ofrecido al usuario o grupo para un objeto
o propiedad de objeto. Por ejemplo, se pueden dar permisos de lectura y escritura
un grupo para un archivo. Tambin puede dar permisos para cualquier objeto
seguro como archivos, objetos del servicio de directorios de Active Directory u
objetos del Registro. Se pueden dar permisos a cualquier usuario, grupo o equipo.
Es recomendable acostumbrarse a asignar permisos a grupos.
519
Clase terica 33
Puede conceder permisos para objetos a:
Grupos, usuarios e identidades especiales del dominio.
Grupos y usuarios de ese dominio o cualquier dominio de confianza.
Grupos y usuarios locales del equipo en el que reside el objeto.
Cuando se proporciona acceso a los recursos de archivo de un equipo con
Windows Server 2003 R2, se puede controlar quien obtiene acceso a los recursos
y el motivo por el que tiene acceso si proporciona los permisos correspondientes.
Los permisos definen el tipo de acceso a cualquier recurso asignado a un usuario
o un grupo.
DIRECTIVAS DE SEGURIDAD
Una directiva de seguridad es una combinacin de configuraciones de seguridad
que afectan a la seguridad de un equipo. Se puede utilizar una directiva de
seguridad para establecer directivas de cuentas y directivas locales de un equipo
local y de Active Directory.
Se puede utilizar una directiva de seguridad de un equipo local para modificar
directamente directivas locales y de cuentas, de clave pblica y de seguridad IP
(IPSec, Internet Protocol Security) para un equipo local.
Con una directiva de seguridad local se puede controlar:
Quin obtiene acceso a un equipo.
Qu recursos de un equipo pueden utilizar los usuarios.
Guardar las acciones de un usuario o de un grupo en un registro de sucesos.
Si la red no utiliza Active Directory, puede configurar la directiva utilizando Directiva
de seguridad local del men Herramientas administrativas de los equipos con
Windows Server 2003 R2.
DIRECTIVAS DE SEGURIDAD DE ACTIVE DIRECTO RY
Las directivas de seguridad de Active Directory tienen la misma configuracin
que las de los equipos locales. Sin embargo, los administradores de redes
Para dar permisos a
archivos o carpetas
individuales, W indows
Server 2003 R2 utiliza el
sistema de archivos
NTFS (NTFS file
system). Tambin se
pueden controlar los
permisos de acceso a
impresoras de red y
recursos de carpetas
compartidas.
Nota
Definir permisos de usuario: Definir drechos de usuario:
A
c
t
i
v
i
d
a
d
520
De forma
predeterminada, las
plantillas de seguridad
predefinidas se
almacenan en
razdelsistema/security/
templates.
Nota
basadas en Active Directory pueden ahorrar mucho tiempo utilizando Directiva
de grupo para implementar la directiva de seguridad.
Se puede editar o importar la configuracin de seguridad en un objeto de Directiva
de grupo para cualquier sitio, dominio o unidad organizativa y la configuracin
de seguridad se implementar automticamente cuando se inicien los equipos.
PLANTILLAS DE SEGURIDAD
Una plantilla de seguridad es una coleccin de valores de configuracin de
seguridad configurados. Windows Server 2003 R2 proporciona una plantilla de
seguridad predefinida que contiene los valores de configuracin de seguridad
recomendados para diferentes situaciones.
Se pueden utilizar las plantillas de seguridad predefinidas para crear directivas
de seguridad personalizadas que satisfagan las diferentes necesidades
organizativas. Se personalizan con el complemento Plantillas de seguridad y
una vez personalizadas las plantillas predefinidas de seguridad, pueden ser
utilizadas para configurar la seguridad de un solo equipo o de miles.
Utilizacin de las plantillas de seguridad
Se pueden configurar equipos individuales con el complemento Configuracin y
anlisis de seguridad, con la herramienta de lnea de comandos secedit o
importando la plantilla en la Directiva de seguridad local. Tambin se pueden
configurar varios equipos importando una plantilla a Configuracin de seguridad
que es una extensin de Directiva de grupo.
Tambin se puede utilizar la plantilla de seguridad como lnea de base para
analizar un sistema en busca de infracciones de seguridad potenciales o llevadas
a cabo utilizando el complemento Configuracin y anlisis de seguridad.
Seguridad predeterminada (Setup security.inf)
Especifica la configuracin de seguridad predeterminada.
Especifica la configuracin de seguridad predeterminada
actualizada de Setup security.inf para un controlador de
dominio.
Modifica los permisos y la configuracin del Registro del grupo
Usuarios para habilidad la mxima compatibilidad entre
aplicaciones.
Mejora los valores de la seguridad que tienen menos
probabilidad de afectar a la compatibilidad entre aplicaciones.
Aumenta las restricciones de la configuracin de seguridad.
Especifica permisos para la raz de la unidad de sistema.
PLANTILLA DESCRIPCIN
Seguridad de raz del sistema (Rootsec.inf)
Seguridad predeterminada de un controlador de
dominio (DG security.inf)
Compatible (Compatws.inf)
Proteccin (Securedc.inf y Securews.inf)
M ayor proteccin (Hisecdc.inf y Hisecws.inf)
521
Clase terica 33
Plantillas predefinidas
Windows Server 2003 proporciona las siguientes plantillas predefinidas:
Seguridad predeterminada (Setup security.inf) : La plantilla Setup security.inf se
crea durante la instalacin del sistema operativo en cada equipo y representa la
configuracin de seguridad predeterminada que se aplica durante la instalacin,
incluyendo los permisos de archivo para la raz de la unidad de sistema. Puede
variar de un equipo a otro, dependiendo de si la instalacin era limpia o era una
actualizacin. Se puede utilizar esta plantilla en servidores y equipos cliente,
pero no en controladores de dominio. Puede aplicar partes de esta plantilla como
recuperacin de desastres.
La configuracin de seguridad predeterminada se aplica slo para instalaciones
limpias de Windows Server 2003 R2 en una particin NFTS. La seguridad no
sufre modificaciones cuando se actualiza desde la versin 4.0 de Windows NT.
Adems, cuando se instala Windows Server 2003 R2 en un sistema de archivos
FAT (file allocation table,Tabla de asignacin de archivos), la seguridad no se
aplica al sistema de archivos.
Seguridad predeterminada de un controlador de dominio (DC security.inf): La
plantilla DC security.inf se crea cuando el servidor se promociona a controlador
de dominio. Refleja la configuracin de seguridad predeterminada en archivos,
claves del Registro y servicios del sistema. Volver a aplicarla restablece estos
valores de configuracin a los predeterminados, sin embargo, podra sobrescribir
los permisos en los archivos nuevos, las claves del Registro y los servicios del
sistema creados por otras aplicaciones. Puede aplicarla usando el complemento
Anlisis y configuracin de seguridad o la herramienta de la lnea de comandos
secedit.
Compatible (Compatws.inf): Los permisos predeterminados para estaciones de
trabajo y servidores se dan principalmente a tres grupos locales: Administradores,
Usuarios avanzados y Usuarios. Los Administradores tienen la mayora de los
privilegios y los Usuarios tienen menos.
Proteccin (Secure*.inf): Las plantillas Secure definen una configuracin de
seguridad mejorada que probablemente afecta a la compatibilidad de aplicaciones.
Por ejemplo, las
plantillas Secure definen una configuracin de contrasea ms segura, de bloqueo
y de auditora.
Mayor proteccin (hisec*.inf): Las plantillas Highly Secure son sper conjuntos
de las plantillas Secure. Imponen mayores restricciones en los niveles de cifrado
Definir plantilla secure*.inf: Definir plantilla de seguridad:
A
c
t
i
v
i
d
a
d
522
y firma que se requieren para la autenticacin y para los datos que fluyen en
canales protegidos y entre clientes y servidores SMB (server message block,
Bloque de mensajes de servidor).
Seguridad de raz del sistema (Rootsec.inf): De forma predeterminada,
Rootsec.inf define los permisos para la raz de la unidad de sistema. Se puede
utilizar esta plantilla para volver a aplicar los permisos del directorio raz si es que
se han modificado por error o bien, se puede modificar la plantilla para aplicar los
mismos permisos de raz a otros volmenes. Como se ha especificado, la plantilla
no sobrescribe los permisos explcitos definidos en objetos secundarios. Slo
propaga los permisos heredados por los objetos secundarios.
Valores de configuracin de plantillas de seguridad
Las plantillas de seguridad contienen valores de seguridad para todas las reas
de seguridad. Pueden aplicarse a equipos individuales o implementarlas en grupos
de equipos usando Directiva de grupo. Cuando se aplica una plantilla a una
configuracin de seguridad existente, los valores de la plantilla se fusionan con
los valores de seguridad del equipo.
Se pueden configurar y analizar los valores de seguridad de los equipos usando
la extensin de Directiva de grupo de configuracin de seguridad o Configuracin
y anlisis de seguridad.
HERRAMIENTA CONFIGURACIN Y ANLISIS DE SEGURIDAD
La herramienta ms comn utilizada para analizar la seguridad de un equipo es
la Configuracin y anlisis de seguridad.
Esta herramienta compara la configuracin de seguridad del equipo local con
una configuracin alternativa importada de una plantilla (un archivo .inf) y
almacenada en una base de datos separada (un archivo .sdb). Cuando finaliza
el anlisis, explora la configuracin de seguridad en el rbol de la consola para
ver los resultados. Las diferencias se marcan con una bandera roja. Las
coherencias se marcan con una marca de verificacin verde. Los valores de
configuracin que no estn marcados con una marca ni con otra no estn
configurados en la base de datos.
Despus de analizar los resultados utilizando Configuracin y anlisis de
seguridad, puede realizar varias tareas, incluyendo:
Eliminar las incoherencias configurando los valores en la base de datos
para que coincidan con los valores de configuracin del equipo.
Importar otro archivo de plantilla, fusionando los valores y sobrescribiendo
los que tengan algn conflicto.
Exportar los valores actuales de la base de datos a un archivo de plantilla.
523
Clase terica 33
AUDITORA
Una auditora es un proceso que realiza el seguimiento de las actividades de un
usuario o un sistema operativo y guarda los tipos de sucesos seleccionados en
el registro de seguridad de un servidor o una estacin de trabajo. Los registros de
seguridad contienen diferentes entradas de auditora que ofrecen la siguiente
informacin:
La accin realizada
El usuario que realiz esa accin
Si el suceso produjo un error o no y cundo ocurri
Informacin adicional, como el equipo en el que ocurri el suceso
Habilitar una auditora o supervisarla permite:
Crear una lnea de base de las operaciones normales de la red y de los
equipos.
Detectar intentos de entrada en la red o un equipo.
Determinar qu sistemas y datos se han puesto en peligro durante o despus
de un incidente en la seguridad.
Evitar ms daos en la red y en los equipos despus de que un atacante
entrara en la red.
Las necesidades de seguridad ayudan a determinar la cantidad de auditoras
utilizadas. Por ejemplo, una red mnimamente segura auditara intentos de inicio
de sesin fallidos para controlar posibles ataques fsicos. Una red de gran
seguridad auditara tanto los inicios de sesin fallidos como los aceptados para
realizar un seguimiento de cualquier usuario no autorizado que hubiera obtenido
acceso a la red.
Aunque las auditoras proporcionan informacin valiosa, realizarlas de forma
excesiva llenara el registro de auditoras con informacin innecesaria. Esto puede
afectar al rendimiento del sistema y dificultara extremadamente la bsqueda de
informacin importante.
Definir auditora: Definir plantilla rootsec.inf:
A
c
t
i
v
i
d
a
d
524
Tipos de sucesos que se pueden auditar
Los tipos de sucesos ms comunes se producen cuando:
Se obtiene acceso a objetos, como archivos o carpetas.
Se administran cuentas de usuarios o de grupos
Los usuarios inician la sesin y la cierran desde el sistema.
DIRECTIVA DE AUDITORA
Establecer una directiva de auditora es una parte importante de la seguridad.
Controlar la creacin y modificacin de los objetos proporciona la manera de hacer
un seguimiento de los problemas de seguridad, ayuda a asegurar la responsabilidad
del usuario y proporciona pruebas en caso de infraccin en la seguridad.
Una directiva de auditora define los tipos de sucesos de seguridad que almacena
Windows Server 2003 R2 en el registro de seguridad de cada equipo. Windows
Server 2003 R2 escribe los sucesos en el registro de seguridad del equipo
especfico en el que produjo el suceso.
Cuando se implemente una directiva de auditora:
Se deber especificar las categoras de sucesos que se desea auditar.
Algunos ejemplos de categoras son: inicio de sesin de usuario, cierre de
sesin de usuario o administracin de cuentas. Las categoras de sucesos
que especifique constituirn la directiva de auditora. No existen directivas
de auditora predeterminadas.
Se deber establecer el tamao y el comportamiento del registro de
seguridad. Se podr ver el registro de seguridad con el Visor de sucesos.
Se deber determinar los objetos en los que se desea controlar el acceso y
el tipo de acceso que se desea supervisar, si se desea auditar el acceso al
servicio de directorios o el acceso a objetos. Por ejemplo, si se desea auditar
los intentos de los usuarios de abrir un archivo determinado, se pueden
configurar los valores de la directiva en la categora de sucesos de acceso
a objetos de modo que los intentos correctos o errneos de leer el archivo
queden registrados.
PLANIFICAR UNA DIRECTIVA DE AUDITORA
Realizar una auditora de muchos tipos de sucesos puede crear cargas excesivas
que disminuiran el rendimiento del sistema.
Se recomienda seguir las siguientes instrucciones cuando se planifique una
directiva de auditora:
525
Clase terica 33
Determinar los equipos en los que se va a realizar la auditora. Planificar lo
que se debe auditar para cada equipo, puesto que Windows Server 2003
R2 audita los sucesos en cada equipo por separado.
Determinar los tipos de sucesos que se van a auditar, como los que
se muestran a continuacin:
Obtener acceso a archivos y carpetas
Usuarios que inician la sesin o la cierran
Apagar o reiniciar un equipo que utiliza Windows Server 2003 R2
Cambios en cuentas de usuario y de grupo
Auditar sucesos llevados a trmino o fallidos, o ambos tipos. Hacer un
seguimiento de sucesos llevados a trmino puede proporcionar la frecuencia
con que Windows Server 2003 R2 o los usuarios obtienen acceso a
archivos especficos o impresoras. Se puede utilizar esta informacin para
planificar los recursos. Hacer un seguimiento de sucesos fallidos puede
alertar sobre posibles infracciones de seguridad.
Determinar la necesidad de hacer un seguimiento de la tendencia de uso
del sistema. Si se lo considera necesario, se deberan guardar los registros
de sucesos.
Revisar los registros de seguridad frecuentemente y de forma regular
siguiendo una planificacin. La configuracin de auditoras no alerta de
infracciones de seguridad por s misma.
Atencin
De forma predeterminada, slo los miembros del grupo Administradores tienen privilegios para configurar
auditoras. Puede delegar la tarea de configurar una auditora para sucesos del servidor en otra cuenta de
usuario asignando el derecho Administrar auditoras y registros de seguridad en Directiva de grupo.
Prcticas recomendables para configurar una auditora
Auditar sucesos llevados a trmino en la categora de acceso al servivio de directorios.
Auditar sucesos llevados a trmino en la categora de acceso a objeto.
Auditar sucesos llevados a trmino y fallidos en la categora del sistema.
Auditar sucesos llevados a trmino y fallidos en la categora de cambio de directiva en controladores
de dominio.
Auditar sucesos llevados a trmino y fallidos en la categora de administracin de cuentas.
Auditar sucesos llevados a trmino en la categora de inicio de sesin.
Auditar sucesos llevados a trmino en la categora de inicio de sesin de cuenta en controladores de
dominio.
Establecer el tamao adecuado del resgistro de seguridad.
526
Los archivos de registro de seguridad tambin se almacenan en el directorio
razdelsistema/system32/config. Los registros de seguridad pueden exportarse
y guardarse con los formatos de archivo especificados a continuacin:
Archivo de registro de sucesos (.evt) (Predeterminado)
Delimitado por comas (.csv)
Archivo de texto (.txt)
En un registro de seguridad se muestran muchos sucesos. A continuacin pueden
verse algunas de las situaciones ms comunes que pueden ocurrir y sugerencias
para diagnosticar problemas utilizando el registro de sucesos.
DESCRIPCIN DEL SUCESO
Inicio de sesin correcto.
Intento de inicio de sesin incorrecto.
Intenta iniciar una sesin en una cuenta bloquesada.
Cambio de posesin del archivo.
Registro de seguridad borrado
El sistema est apagado
INICIO DE SESIN
Identificador de sucesos 528
POSESIN DE ARCHIVOS
REGISTRO DE SEGURIDAD
A P A G A R
De forma predeterminada, el tamao mximo que puede alcanzar el registro
de seguridad antes de que el comportamiento de sobrescritura se inicie, es
de 512 KB.
Se puede cambiar el tamao mximo del archivo de registro en un solo
equipo en las propiedades del registro de seguridad o en varios equipos
usando las plantillas de seguridad o editando el Registro.
El tamao mximo que se
puede establecer para el
tamao total de todos
los registros de sucesos
es de 300 MB. Cada
suceso de seguridad
ocupa entre 350 y 500
bytes, de modo que un
registro de sucesos de
10 MB contendr
aproximadamente de
20.000 a 25.000 sucesos
de seguridad.
Nota
Clase prctica 33
Men Inicio (clic)
Ejecutar (clic)
Colocar mmc (sin las comillas) en el cuadro de texto y presionar la tecla ENTER
Ejecuta una consola
Men Consola(clic)
Agregar o quitar complemento (clic) Desplegar la ventana para agregar o quitar
complementos de consola
Botn Agregar (clic)
Editor de objetos de directiva de grupo (doble clic) Seleccionar el complemento
Directiva de grupo
Botn Agregar (clic)
Botn Examinar (clic)
Solapa Equipos (clic)
Otro equipo (clic) Indica que se trabajar sobre las directivas de otro equipo
Colocar mgp-srv05.megapack.com en el cuadro de texto y presionar la tecla ENTER
Botn Finalizar (clic)
Botn Cerrar (clic) Cerrar la ventana Agregar o quitar complemento independiente
Botn Aceptar (clic) Volver a la consola
Directiva mgp-srv05.megapack.com (doble clic)
Plantillas administrativas (doble clic)
Componentes de Windows (doble clic)
Internet Explorer (doble clic)
Del panel de la derecha seleccionar la opcin Deshabilitar el cambio de configuracin
de clasificacin y hacerle doble clic
Habilitada (clic) Impide a los usuarios cambiar las clasificaciones que ayudan a
controlar el tipo de contenido de Internet que se puede ver
Botn Aceptar (clic)
Panel de control de Internet (clic)
Mediante la realizacin de esta prctica usted podr entender el uncionamiento de las
plantillas administrativas para brindar diferentes niveles de seguridad dentro de un dominio
as como su posterior auditoria.
concreta.
528
Del panel de la derecha seleccionar la opcin Deshabilitar pgina Seguridad y hacerle
doble clic
Habilitada (clic) Quita la ficha Seguridad de la interfaz en Opciones de Internet
Botn Aceptar (clic)
Del panel de la derecha seleccionar la opcin Deshabilitar pgina Contenido y hacerle
doble clic
Habilitada (clic) Quita la ficha Contenido de la interfaz en Opciones de Internet
Botn Aceptar (clic)
Del panel de la derecha seleccionar la opcin Deshabilitar pgina Conexiones y
hacerle doble clic
Habilitada (clic) Quita la ficha Conexiones de la interfaz en Opciones de Internet
Botn Aceptar (clic)
Del panel de la derecha seleccionar la opcin Deshabilitar pgina Programas y hacerle
doble clic
Habilitada (clic) Quita la ficha Programas de la interfaz en Opciones de Internet
Botn Aceptar (clic)
Mens del explorador (clic)
Del panel de la derecha seleccionar la opcin Deshabilitar la opcin Guardar este
programa en disco y hacerle doble clic
Habilitada (clic) Impide a los usuarios guardar un programa o un archivo de Internet
Explorer al disco rgido
Botn Aceptar (clic)
Del panel de la derecha seleccionar la opcin Deshabilitar el men contextual y
hacerle doble clic
Habilitada (clic) Impide que aparezca el men contextual cuando los usuarios hacen
clic con el botn derecho mientras utilizan Internet Explorer
Botn Aceptar (clic)
Explorador de Windows (doble clic)
Del panel de la derecha seleccionar la opcin Ocultar estas unidades especficas en
Mi PC y hacerle doble clic
Habilitada (clic)
Seleccionar la opcin Restringir slo las unidades A y B de la lista desplegable Elegir
una de las siguientes combinaciones
Botn Aceptar (clic)
Del panel de la derecha seleccionar la opcin Quitar Conectar a unidad de red y
Desconectar de unidad de red y hacerle doble clic
Habilitada (clic) Impide a los usuarios conectarse o otros equipos o cerrar conexiones
abiertas
Botn Aceptar (clic)
Del panel de la derecha seleccionar la opcin Oculta el elemento Administrar del men
contextual del Explorador de Windows y hacerle doble clic
Habilitada (clic) Oculta el elemento Administrar del men contextual que aparece
cuando se hace clic con el botn derecho del mouse sobre el icono Mi PC
Botn Aceptar (clic)
Microsoft Management Console (doble clic)
Complementos restringidos/permitidos (clic)
Del panel de la derecha seleccionar la opcin Usuarios y equipos de Active Directory
y hacerle doble clic
Deshabilitada (clic) Prohbe que se utilice este complemento
Botn Aceptar (clic)
Del panel de la derecha seleccionar la opcin Dominios y confianzas de Active Directory
Botn Aceptar (clic)
Del panel de la derecha seleccionar la opcin Administracin de equipos y hacerle
doble clic
Botn Aceptar (clic)
Del panel de la derecha seleccionar la opcin Administrador de dispositivos y hacerle
doble clic
Botn Aceptar (clic)
Del panel de la derecha seleccionar la opcin Administracin de discos y hacerle
doble clic
Botn Aceptar (clic)
Men Inicio y barra de tareas (clic)
Del panel de la derecha seleccionar la opcin Quitar el men Buscar del men Inicio
Habilitada (clic) Quita el elemento buscar del men Inicio y deshabilita algunos
elementos de bsqueda del Explorador de Windows
Botn Aceptar (clic)
Del panel de la derecha seleccionar la opcin Agregar cierre de sesin al men Inicio
Habilitada (clic) Agrega un elemento para cerrar sesin en el men Inicio
Botn Aceptar (clic)
Del panel de la derecha seleccionar la opcin Deshabilitar mens contextuales para la
barra de tareas y hacerle doble clic
Habilitada (clic) Deshabilita el men contextual que aparece cuando se hace clic
con el botn derecho sobre la barra de tareas
Botn Aceptar (clic)
Cerrar la consola (hacer clic en el icono con forma de X que se encuentra en la
Botn Si (clic)
Colocar Directivas (sin las comillas) como nombre de la nueva consola y presionar la
tecla ENTER
Men Inicio (clic)
Directiva de seguridad del dominio (clic) abrir la consola de administracin de
directivas que afecta a todo el dominio
Configuracin de seguridad (doble clic)
Directivas locales (doble clic)
Directiva de auditoria (clic)
Del panel de la derecha seleccionar la opcin Auditar cambio de directivas y
hacerle doble clic
Definir esta configuracin de directiva (clic) Habilitar directiva
Marcar ambas opciones (correcto y error)
Botn Cerrar (clic)
Del panel de la derecha seleccionar la opcin Auditar la administracin de cuentas
Botn Cerrar (clic)
530
Del panel de la derecha seleccionar la opcin Auditar sucesos de inicio de sesin y
hacerle doble clic
Botn Cerrar (clic)
Del panel de la derecha seleccionar la opcin Auditar sucesos del sistema y hacerle
doble clic
Marcar la opcin Error
Botn Cerrar (clic)
Cerrar la consola de directiva de seguridad del dominio
Reiniciar el equipo (mgp-srv05) para verificar los cambios al Internet Explorer, Men inicio y
Explorador de Windows y visor de sucesos (en ambos servidores).
532
Migracin de Dominios a Windows 2003 R2 Server
Clase terica 34
INTRODUCCIN
El proceso de migrar una infraestructura de dominios, establece la condicin
de actualizar los sistemas operativos que realizan funciones administrativas de
red y que se encuentran en produccin, como los controladores de dominio, a
versiones actualizadas en otros equipos, pero sin afectar el normal
funcionamiento de estos.
SELECCIONAR LA VERSIN DE WINDOWS 2003 R2 A LA CUAL MIGRAR
Una de las primeras decisiones a tomar al momento de planificar la migracin
es definir que versin de Windows 2003 R2 cubrir mejor las necesidades. Como
se mencion en la clase terica 25, Windows 2003 R2 se presenta en 4 versiones
a repasar rpidamente:
Windows 2003 R2 Standard Server Edition: Diseado para pequeas
infraestructuras de red, la versin estndar provee un servidor de archivos e
impresoras eficiente, conectividad segura a Internet, repositorio de aplicaciones
de escritorio y soluciones de Web. La edicin estndar proporciona niveles
altos de confiabilidad, escalabilidad, y seguridad. Disponible en 32 y 64 bits.
Windows 2003 R2 Enterprise Server Edition: Diseado para infraestructuras de
red medias a grandes. La versin de empresa es el sistema operativo
recomendado para los servidores que deben ejecutar aplicaciones Web de
comercio electrnico, mensajera instantnea, bases de datos y sistemas ERP
o C R M. Disponible en 32 y 64 bit.
Windows 2003 R2 Datacenter Server Edition: Diseado para infraestructuras
de red que exigen los niveles ms altos de escalabilidad, disponibilidad, y
fiabilidad, la versin Datacenter permite dar soluciones para bases de datos de
misin crtica, recurso empresarial de ingeniera de software, permite el
procesamiento de transacciones de gran volumen en tiempo real y la
consolidacin de los servidores. Disponible en 32 y 64 bit.
Windows 2003 Web Server Edition: Diseado por construir y servir aplicaciones
Web, pginas de Web, y servicios Web XML, esta versin provee una solucin
de propsito nico para ISP, desarrolladores de aplicaciones y otros que solo
desean utilizar o desplegar una funcionalidad Web especfica.
MIGRACIN A UN SISTEMA OPERATIVO EQUIVALENTE
Como primer paso para escoger el mejor sistema operativo, hay que determinar
el equivalente ms cercano al sistema operativo que actualmente se encuentra
funcionando y se desea migrar. La versin Web, que es ideal para montar
servidores Web dedicados, es un sistema operativo completamente nuevo, razn
por la cual no posee un equivalente dentro de la familia de servidores Windows
Diccionario
ERP
Enterprise Resource
Planning Systems -
Sistemas de
Planificacin de
Recursos
Empresariales. Estos
son sistemas de
informacin
gerenciales que
integran y manejan
muchas de las
prcticas de los
negocios asociados
con las operaciones
de produccin y de
los aspectos de
distribucin de una
compaa
comprometida en la
produccin de bienes
o servicios.
C R M
Customer
Relationship
Management -
Gestin de relaciones
con el cliente. Este
tipo de plataforma
permite recolectar
datos de los clientes
de una empresa y de
esta manera generar
valor en la relacin.
X M L
Extensible Markup
Language - Lenguaje
de marcado
extensible. es un
lenguaje extensible
de etiquetas
desarrollado por el
W orld Wide Web
Consortium (W3C)
533
Clase terica 34
Definir CRM: Definir ERP:
2000. Las versiones equivalentes se detallan en el siguiente cuadro:
Standard Server Edition
Enterprise Server Edition
Datacenter Server Edition
W eb Edition
Server
Advanced Server
Datacenter Server
No hay equivalente
Windows 2003 R2 Windows 2000
Solamente se puede
actualizar a un sistema
operativo equivalente o
ms alto. No se puede
realizar el proceso
inverso de pasar a una
versin anterior, a un
sistema operativo menos
poderoso, ya que gran
parte de las
funcionalidades se
perderan el en proceso.
Por ejemplo, esto
significa que no podr
actualizarse desde
cualquier versin de
W indows 2000, hacia
W indows 2003 W eb
Server Edition sin
eliminar el sistema
operativo anterior y
realizar una nueva
instalacin.
Nota
Atencin
La creacin de unidades organizacionales por cualquier otra razn fuera de las
expuestas en
Estructuras OU
deber ser justificada.

VERIFIQUE LAS NECESIDADES DE SISTEMA Y COMPATIBILIDAD DE
H A R D WARE
Antes de realizar una migracin a un sistema Windows 2003 Server, es
indispensable asegurarse de que el host que recibir la migracin de plataforma,
alcanza los requerimientos mnimos de hardware recomendados y que adems,
todos ellos son compatibles con la nueva plataforma.
Uno de los pasos ms importantes antes de realizar la migracin de la plataforma,
es confirmar que el hardware destino es compatible con la plataforma Windows
2003 R2 Server. Esto puede verificarse ejecutando la herramienta de
compatibilidad de pre-instalacin que acompaa el CD / DVD de instalacin o
simplemente verificando la informacin de compatibilidad de hardware (HCL)
disponible en el sitio de Microsoft Windows 2003 R2 Server.
Tambin, como parte de la verificacin de compatibilidad de hardware, es
importante poseer los controladores de dispositivos en su ltima versin
disponible y de ser necesaria tambin la ltima versin disponible del firmware
del BIOS y para los host basados en microprocesadores Itanium posiblemente
sea necesario actualizar la EFI.
Las versiones de 64 bit
W indows 2003 Server,
versiones Enterprise y
Datacenter, slo son
compatible con los
sistemas basados en
INTEL Itanium, mientras
que las nuevas versiones
mejoradas, W indows
2003 R2 Server, son
compatibles con
tecnologas x64 de AMD.
Nota
A
c
t
i
v
i
d
a
d
534
Diccionario
EFI
Extensible Firmware
Interface - Interfaz
extensible del
Firmware. La EFI de
Intel se utiliza en
equipos Macintosh
de Apple con
procesador Intel
para controlar la I/O
bsica, una especie
de equivalente al
BIOS de las PC.
Si el host destino trabaja con algn controlador de hardware de almacenamiento
masivo de terceros tales como SCSI, RAID, o adaptador fibra para su disco
rgido, se debe confirmar que es compatible con la plataforma Windows 2003
R2 Server.
Si el hardware de almacenamiento masivo es compatible con Windows 2003
R2, pero este no posee el controlador necesario para su funcionamiento, se
deber solicitar al fabricante que suministre el controlador necesario para el uso
con la nueva plataforma. Antes de comenzar el proceso de migracin es necesario
colocar el controlador provisto por el fabricante en un disco flexible para utilizarlo
posteriormente.
Durante el principio de la migracin, un pequeo mensaje instar a presionar F6
si posee un controlador externo para un dispositivo de almacenamiento masivo.
DEFINIR LA MEJOR OPCION: ACTUALIZAR, INSTALACIN NUEVA O
MIGRAR
La decisin ms importante a tomar es el mtodo a utilizar, si actualizar, realizar
una instalacin limpia, o migrar la plataforma a un nuevo equipo.
La actualizacin se refiere a reemplazar una plataforma Windows 2000 o
Windows NT 4.0 (Service Pack 5 o posterior) en produccin, con un sistema
operativo Windows 2003 R2 Server.
Una instalacin limpia hace referencia a eliminar por completo el sistema operativo
previo o instalar Windows 2003 R2 Server en un volumen sin sistema operativo
previo.
Migrar hace referencia a traspasar todos los archivos, configuraciones y
aplicaciones de una computadora vieja a una nueva sin detener el funcionamiento
del sistema y sin perder ninguna de las caractersticas previas.
MOTIVOS PARA ACTUALIZAR
Especialmente en pequeas infraestructuras de red, la comodidad de hacer una
actualizacin antes que una nueva instalacin, puede tener sentido. Con una
actualizacin, la configuracin es generalmente ms simple, y sus usuarios,
configuraciones, grupos, derechos, y permisos en funcionamiento son
mantenidos.
Una actualizacin no requiere la reinstalacin de archivos y aplicaciones.
Se recomienda realizar una copia de respaldo del sistema antes de realizar la
actualizacin de la plataforma.
Si se elige realizar la actualizacin y adems utilizar las mismas aplicaciones
que con la plataforma anterior, se recomienda repasar los datos sobre las
aplicaciones en la pgina de compatibilidad de software del catlogo de Windows
535
Clase terica 34
Definir 2 motivos para actualizar:
2003 R2 Server.
MOTIVOS PA R A REALIZAR UNA INSTALACIN LIMPIA O MIGRAR
Existen buenas razones para realizar una instalacin limpia o migracin antes
que una actualizacin, especialmente al tratar sobre infraestructuras muy grandes
y complejas.
Para clientes que buscan consolidar su infraestructura de Windows 2000,
utilizando una plataforma Windows 2003 R2 Server, una instalacin limpia es la
mejor opcin.
Si se desea practicar una administracin cuidadosa en un servidor de misin
crtica (alta disponibilidad), se recomienda realizar una nueva instalacin en lugar
de una actualizacin. Esto es especialmente recomendable en servidores en
que el sistema operativo se ha actualizado en varias ocasiones.
Es posible instalar edicin de empresa y tambin permita que la computadora a
veces corra otro sistema operativo. Preparar la computadora por este camino,
sin embargo, presenta complejidades debido a los asuntos de sistema de
archivos.
HERRAMIENTA DE MIGRACIN DE ACTIVE DIRECTO RY (ADMT V2)
ADMT fue diseada para migrar una estructura de Active Directory de un bosque
a otro, tanto si esto conlleva un cambio del sistema operativo como si no.
ADMT no slo soporta la migracin de Windows NT 4.0 a Active Directory, sino
que tambin realiza la migracin entre bosques, es decir, consolidando dominios
que viven en bosques independientes y en el interior de los bosques, migrando
dominios que forman parte del mismo bosque.
La funcin de ADMT como herramienta para mover estructuras es importante,
porque una vez implementada una estructura de Active Directory, ser imposible
modificarla directamente. Si se necesita realizar un cambio, se debe borrar la
estructura y empezar desde cero, a menos que se utilice ADMT, ya que permite
migrar a distintas estructuras sin tener que comenzar de nuevo.
El host en el que instale ADMT debe ser miembro del dominio de origen o del de
destino.
ADMT puede utilizarse
para migrar usuarios,
grupos y equipos desde
un dominio a otro y para
analizar la repercusin de
la migracin antes y
despus del proceso real
de migracin.
Nota
ADMT v2 se encuentra
disponible en el CD /
DVD de W indows 2003
Server, en la carpeta
I386\Admt\
Nota
A
c
t
i
v
i
d
a
d
Definir ADMT:
536
Migracin en el mismo bosque
La migracin en el mismo bosque no requiere ninguna configuracin especial de
los dominios. La cuenta que se utilice para ejecutar ADMT debe tener los permisos
suficientes para realizar las acciones solicitadas por ADMT. Por ejemplo, la cuenta
debe tener los derechos para eliminar cuentas en el dominio de origen y para
crearlas en el de destino.
La migracin en el mismo bosque es una operacin de movimiento y no de copia.
Se dice que estas migraciones son destructivas porque despus del movimiento,
los objetos migrados ya no existen en el dominio de origen. Dado que el objeto se
mueve en lugar de copiarse, algunas acciones que en una migracin entre
bosques son opcionales se producen automticamente. En concreto, el SID
History y la contrasea se migran de forma automtica durante todas las
migraciones en el mismo bosque.
Migracin entre bosques
ADMT requiere los siguientes permisos para ejecutarse correctamente:
Derechos de administrador en el dominio de origen:
Derechos de administrador en cada equipo que migre.
Derechos de administrador en los equipos en los que necesite mayor nivel
de seguridad.
Antes de migrar un dominio basado en Windows 2000 a un dominio basado en
W indows 2003 R2 Server, se deben configurar algunas opciones de seguridad y
de los dominios. La migracin de equipos y la aplicacin de otros grados de
seguridad no requieren ninguna configuracin especial en los dominios. Sin
embargo, cada equipo que se desee migrar debe tener los recursos
administrativos compartidos C$ y ADMIN$.
La cuenta que utilice para ejecutar ADMT debe tener suficientes permisos para
completar las tareas necesarias. La cuenta debe tener permiso para crear
cuentas de equipo en la unidad organizativa y el dominio de destino, y debe ser
miembro del grupo local Administradores en cada equipo que se vaya a migrar.
Migracin de usuarios y grupos
Se debe configurar el dominio de origen para que confe en el de destino. Tambin
puede configurarse el dominio de destino para que confe en el de origen. Aunque
Atencin
Se puede activar la migracin de contraseas entre bosques si se instala una DLL que se ejecute en el contexto
de LSA (Autoridad local del sistema). Al ejecutarla en este contexto protegido, se impide que las contraseas
sean vistas en texto sin cifrar, ni siquiera por el sistema operativo. La instalacin de la DLL se protege con una
clave secreta que debe ser creada mediante A D M T e instalada por un administrador.
537
Clase terica 34
Definir ROL de un servidor:
ROLES DE UN SERVIDOR
Las host que funcionan como servidores dentro de un dominio pueden tener
uno de dos roles: servidor miembro o controlador de dominio. Los servidores
que no se encuentran en un dominio se los denomina Stand-alone (solitario).
Servidor miembro
Un servidor miembro es un host que:
Ejecuta una plataforma Windows 2000 Server o Windows 2003 R2
Server. Pertenece a un dominio.
No es controlador de dominio.
Un servidor miembro no procesa los inicios de sesin de cuentas de usuario,
no participa la replicacin de Active Directory, y no almacena informacin
sobre las polticas de seguridad del dominio.
El servidor miembro generalmente cumple alguna de las siguientes funciones
como servidor: de archivos, de aplicaciones, de base de datos, de pginas
Web, firewall, de certificados, y de acceso remoto.
Las siguientes caractersticas relacionadas a la seguridad, son comunes a
todos los servidores miembro:
Servidores miembro se adhieren a las polticas de grupo configuradas
para el sitio, dominio o unidad organizacional.
Control de accesos para los recursos que se encuentran disponibles en
un servidor miembro.
Los usuarios de un servidor miembro poseen derechos asignados.
Servidores miembro contienen una base de datos de cuentas de
seguridad local, S A M.
esto puede facilitar la configuracin, no es obligatorio para realizar la migracin
con ADMT.
A
c
t
i
v
i
d
a
d
Diccionario
S A M
Security Accounts
Manager -
Administrador de
cuentas de
seguridad.
Definir servidor miembro:
538
Controlador de Dominio
Un controlador de dominio es un host que:
Ejecuta una plataforma Windows 2000 Server o Windows 2003 R2 Server.
Almacena una copia de lectura-escritura de la base de datos del dominio.
Participe en la replicacin entre controladores de dominio|.
Autentica los inicios de sesin de cuentas de usuario.
Los controladores de dominio almacenan informacin del directorio y administra
la comunicacin entre usuarios y dominio, incluyendo los procesos de inicio de
sesin de usuarios en el sistema, autenticacin, y bsquedas en el directorio.
Los controladores de dominio sincronizan la informacin del directorio utilizando
la replicacin de controladores de dominio, asegurando la consistencia de la
informacin constantemente.
Active Directory soporta replica de datos, entre todos los controladores de dominio
en un dominio; sin embargo, la rplica entre controladores no es apropiada para
cierta informacin del directorio. En este caso, un controlador de dominio,
denominado maestro de operaciones, procesar los datos. En un bosque de
Active Directory, hay al menos cinco roles de maestro de operaciones que son
asignados a uno o ms controladores de dominio.
Como las necesidades de una infraestructura de red pueden cambiar, podra
podra ser necesario cambiar el rol de un servidor. Utilizando el asistente de
instalacin de Active Directory, se puede promover un servidor del rol de miembro
al rol de controlador de dominio, o como caso contrario tambin se puede
degradar un rol de controlador de dominio a un rol de servidor miembro.
Servidor Stand-Alone
Un servidor stand-alone es un host que:
Ejecuta una plataforma Windows 2000 Server o Windows 2003 R2 Server.
No es un miembro de un dominio.
Si un servidor es instalado como miembro de una red de trabajo en grupo, este
se convierte en un servidor stand-alone.
Los servidores stand-alone pueden compartir recursos con otros host en la red,
pero no reciben los beneficios que provee Active Directory.
Elevar el nivel funcional del un servidor
Los dominios pueden operar en tres niveles funcionales:
Nivel funcional Windows 2000 mixto: configuracin por defecto que incluye
539
Clase terica 34
controladores de dominio ejecutando plataformas Windows 2000, Windows NT
4.0, y Windows 2003.
Nivel funcional Windows 2000 nativo: que incluye controladores de dominio
ejecutando plataformas Windows 2000 y Windows 2003 R2.
Nivel funcional Windows 2003: incluye slo controladores de dominio ejecutando
Windows 2003 R2.
Una vez que todos los controladores de dominio se estn ejecutando bajo la
plataforma Windows 2003 R2 Server, se pueden elevar las funciones de Dominio
y Bosque de los servidores al nivel funcional Windows 2003 mediante el
complemento Active Directory Confianzas y Dominios.
El siguiente cuadro muestras las caractersticas que soporta cada uno de los 3
niveles funcionales de dominio:
Una vez que se eleva el
nivel funcional de un
dominio, los
controladores de
dominio que ejecutan
versiones anteriores de
la plataforma no pueden
ser incluidos en el
dominio. Por ejemplo, si
se eleva el nivel
funcional a Windows
2003, los controladores
de dominio que ejecutan
W indows 2000 no
podrn ser ingresados en
el dominio.
Nota
Herramienta para
renombrar el
dominio.
Actualizar el
cronometro de
entrada al sistema.
Kerberos KDC teclea
la versin cuenta.
Contrasea de
usuario sobre el
objeto
InetOrgPerson.
Grupos universales.
Grupos anidados.
Convertir grupos
Historia del SID
Caracterstica del
Dominio
Windows 2000 mixto Windows 2000 nativo Windows 2003 server
Deshabilitado.
Deshabilitado.
Deshabilitado.
Deshabilitado.
Habilitado para los grupos
de distribucin.
Deshabilitado para los
grupos de seguridad.
Habilitado para grupos de
distribucin. Deshabilitado
para grupos de seguridad,
excepto para los grupos de
seguridad local del dominio
que posean grupos
globales como miembros.
Deshabilitado.No se
permiten las conversiones
de grupos.
Deshabilitado
Deshabilitado.
Deshabilitado.
Deshabilitado.
Deshabilitado.
Habilitado.Se permiten
grupos de seguridad y de
distribucin.
todos los grupos anidados.
Habilitado.Se permite la
conversin entre grupos de
seguridad y grupos de
distribucin.
migracin de directivas de
seguridad de un dominio a
otro.
Habilitado.
Habilitado.
Habilitado.
Habilitado.
grupos de seguridad y de
distribucin.
todos los grupos anidados.
conversin entre grupos de
seguridad y grupos de
distribucin.
migracin de directivas de
seguridad de un dominio a
otro.
540
ELEVAR EL NIVEL FUNCIONAL DE UN BOSQUE
Los funcionalidad de bosque habilita caractersticas a travs de todos los
dominios dentro de del bosque. Hay disponibles dos niveles de funcionalidad de
Bosque:
Windows 2000: Soporta controladores de dominio ejecutando
plataformas Windows NT 4.0, Windows 2000, y Windows 2003.
Windows 2003: Soporta solamente controladores de dominio
ejecutando la plataforma Windows 2003.
Si se encuentra actualizando el primer dominio de Windows NT, este se convierte
en el primer dominio de un nuevo bosque Windows 2003.
Por defecto, los bosques operan a nivel funcional de Windows 2000. Se puede
elevar el nivel funcional de bosque a Windows 2003. Una vez que nivel funcional
del bosque se ha elevado, los controladores de dominio que ejecutan versiones
anteriores de la plataforma no pueden ser incluidos en el bosque.
El siguiente cuadro muestras las caractersticas que se activan al elevar el nivel
funcional del bosque:
Configurar la replicacin del catalogo global
Desafectar objetos del Esquema
Confianza entre Bosques
Replicacin de valor asociada
Renombrar el Dominio
Algoritmos de replicacin mejorados
Classes auxiliares dinmicas
Cambios en las classes del objeto InetOrgPerson
Deshabilitado.
Deshabilitado.
Deshabilitado.
Deshabilitado.
Deshabilitado.
Deshabilitado.
Deshabilitado.
Deshabilitado.
Habilitado.
Habilitado.
Habilitado.
Habilitado.
Habilitado.
Habilitado.
Habilitado.
Habilitado.
Caracterstica del Bosque Windows 2000 Windows 2003
CONTROLADORES DE DOMINIO
La actualizacin a Active Directory se puede realizar de manera gradual y sin
interrumpir las operaciones normales. Si se siguen las recomendaciones para
actualizacin de un dominio, nunca debera ser necesario interrumpir el
funcionamiento del dominio para realzar el proceso de actualizacin de un
controlador de dominio, un servidor miembro o una estacin de trabajo.
En Active Directory, un dominio es una coleccin de computadoras, usuarios, y
objetos de grupo definidos por el administrador. Estos objetos comparten una
base de datos de directorio comn, polticas de seguridad, y relaciones de
confianza seguras con otros dominios.
541
Clase terica 34
Cuntos niveles funcionales posee un bosque?
Un bosque es una coleccin de unos o ms dominios de Active Directory que
comparten las mismas definiciones de atributos y classes (esquema), replicacin
de informacin y sitio (configuracin), y capacidades de bsqueda en todo el
bosque (catlogo global).
Dominios en el mismo bosque son asociados con relaciones de confianza
transitivas en ambos sentidos.
Para preparar actualizaciones en un dominio que posee controladores de dominio
basados en la plataforma Windows 2000, se recomienda aplicar la ltima versin
disponible del Service Pack sobre todos los controladores del dominio.
Antes de actualizar un controlador de dominio bajo plataforma Windows 2000 a
la plataforma Windows 2003, o de instalar Active Directory en el primer controlador
de dominio ejecutando la plataforma Windows 2003, hay que asegurarse de que
el servidor, el bosque, y el dominio se encuentran listos.
Las siguientes herramientas de consola son tiles al realizar el proceso de
actualizacin de un controlador de dominio:
Winnt32: Utilizar Winnt32 para verificar la compatibilidad del servidor con
la actualizacin.
Adprep: Utilizar Adprep en el Maestro de Operaciones de Esquema
(Schema Operations Master) para preparar el bosque. Correr Adprep en el
Maestro de Operaciones de Esquema actualiza el esquema, que a su
vez, replica a todos los otros controladores de dominio en el bosque.
Hasta no haber utilizado
la herramienta Adprep
para preparar el bosque
y los dominios dentro de
este, no se podr realizar
la actualizacin de los
controladores de
dominio bajo plataforma
W indows 2000 a la
plataforma W indows
2003, o aadir
controladores de
dominio bajo W indows
2003 a dominios de
W indows 2000.
Nota
A
c
t
i
v
i
d
a
d
Definir funcin de ADPREP:
Migracin de Dominios a Windows 2003 R2 Server 542
Clase prctica 34
Migrar dominios y renombrarlos desde W2k a W2k3 con ADMT v2
Para esta prctica se asumir que el alumno tiene los suficientes conocimientos como para
reconocer un archivo ejecutable e instalar el mismo.
En el Servidor 1 (MGP-SRV04) Ejercicio 1:
simultneamente las teclas ctrl+alt+supr para poder acceder a la interfaz de inicio de sesin.
Una vez en el escritorio se proceder de la siguiente manera para promover al servidor a
controlador de dominio:
Men Inicio (clic)
Ejecutar (clic)
Ingresar dcpromo (sin las comillas) en el cuadro de texto y presionar la tecla ENTER
ejecutar el asistente de instalacin de Active Directory.
Dominio en un nuevo bosque (clic) Establece que se desea crear un nuevo dominio y
que la el equipo ser el primer controlador del dominio
No, Solo instalar y configurar DNS. establece que se desea instalar el servidor DNS
localmente.
Colocar megapack.com (sin las comillas) en el cuadro de textos Nombre DNS completo
del nuevo dominio: establecer el nombre DNS del dominio a megapack.com
Colocar MEGAPACK0 (sin las comillas) en el cuadro de textos Nombre NetBIOS del
dominio: Establecer el nombre NetBIOS a MEGAPACK
Verificar que la configuracin sea como la siguiente:
Ubicacin de la base de datos: C:\WINNT\NTDS
Ubicacin del registro: C:\WINNT\NTDS
Verificar que la configuracin sea como la siguiente:
Ubicacin de la carpeta: C:\WINNT\SYSVOL
Permisos compatibles solo con sistemas operativos de servidor Windows 2000 o Windows
Server 2003 (clic) Establece que no se dispondr de soporte para versiones anteriores
a Windows 2000
Establecer la siguiente configuracin en la ventana Contrasea de administrador del
modo de restauracin de servicios de directorio:
Mediante la realizacin de esta prctica usted comprender y aplicar el concepto de migracin, lo que
le permitir desarrollar esquemas de actualizacin de servidores desde versiones anteriores y
posteriormente ejecutarlos.
Contrasea de modo remoto: MgP393pDC
Botn Siguiente (clic) Cerrar la ventana de resumen y comenzar el proceso de
instalacin.
Colocar el CD de Windows Server 2003 R2 cuando sea requerido y hacer clic en el botn
Aceptar Instalar el servidor DNS requerido para Active Directory.
Botn Finalizar (clic) Finaliza el proceso
Botn Reiniciar Ahora (clic) Reiniciar el equipo para realizar los cambios
Verificar la diferencia en el tiempo que tarda en levantar los servicios una vez instalado
Active Directory
Ejercicio 2:
simultneamente las teclas ctrl+alt+supr para poder acceder a la interfaz de inicio de sesin.
Icono Disco cdrom (D:) (doble clic) Ingresar en la unidad de CDROM (en este
caso identificada como D pero puede variar la letra)
Botn Siguiente (clic) Pasar la pantalla de bienvenida
Acepto (clic) Aceptar el contrato de licencia
Botn Siguiente (clic) Comienza la instalacin de ADMT
Botn Siguiente (clic) Establece que se desea utilizar las opciones por defecto
para la base de datos
Botn Siguiente (clic) Especifica q no se desean importar datos de una base de
datos de ADMT v2
Botn Finalizar (clic) finaliza el proceso de instalacin
Ejercicio 3:
Men Inicio (clic)
DNS (clic) Ejecuta el complemento administrador DNS
MGP-SRV04 (clic con el botn derecho del mouse)
Propiedades (clic)
Solapa Reenviadores Configurar servidores a los que se reenviaran las consultas
que el servidor local no pueda resolver
Colocar 172.16.1.1(sin las comillas) en el cuadro de texto Lista de direcciones IP
del reenviador de dominio seleccionado y hacer clic en el botn Agregar Establece
la comunicacin con el servidor DNS de mgp-srv01
Botn Aceptar (clic) Cerrar las propiedades de MGP-SRV04
MGP-SRV04 (clic con el botn derecho del mouse)
Zona nueva (clic) ejecuta el asistente para la creacin de una nueva zona
Migracin de Dominios a Windows 2003 R2 Server 544
Zona secundaria (clic) Especifica que se desea crear una copia de una zona de otro
servidor
Botn Siguiente (clic) acepta la configuracin por defecto (zona de bsqueda
directa)
Colocar megapack.com.ar (sin las comillas) en el cuadro de dialogo Nombre de la
zona
Colocar 172.16.1.1(sin las comillas) en el cuadro de texto Direccione IP: y hacer
clic en el botn Agregar Establece la comunicacin con el servidor DNS de mgp-
srv01
Botn Finalizar (clic) finaliza el asistente y crea la nueva zona
Observar que se ha agregado la nueva zona de bsqueda directa megapack.com.ar y
todos sus subdominios y hosts
Cerrar el complemento Administrador DNS
Repetir el mismo proceso en mgp-srv01 estableciendo megapack.com como zona
secundaria
Ejercicio 4:
Men Inicio (clic)
Herramienta de migracin Active Directory (clic) Ejecuta ADMT
Herramienta de migracin Active Directory (clic con el botn derecho del mouse)
Asistente para la migracin de cuentas de usuario (clic)
Botn Siguiente (clic) Pasar la ventana de bienvenida del asistente.
Origen
Dominio: megapack
Controlador de dominio: <Cualquier controlador de dominio>
Destino
Dominio: MEGAPACK0
Controlador de dominio: \\mgp-srv04.megapack.com
Seleccionar usuarios desde dominio Establece q los usuarios se seleccionaran
directamente conectndose al dominio
Botn Agregar (clic)
Botn Avanzadas (clic)
Botn Buscar ahora (clic) comienza la bsqueda de objetos
Seleccionar todos los usuarios y hacer clic en el botn Aceptar
Botn Aceptar (clic) Confirma la seleccin
Botn Examinar (clic) Buscar una unidad organizativa
Users (doble clic) Selecciona la unidad organizativa Users
Botn Aceptar (clic)
Generar contraseas complejas (clic) Establece que se no desea conservar las
contraseas originales de los usuarios
No actualizar contraseas de usuarios existentes (clic para marcar) Establece que
no se desea que sean modificadas las contraseas de los usuarios que ya existen en el
dominio
Destino igual al origen las cuentas de usuario debern conservarse como en el origen
(las que estn habilitadas quedan habilitadas y las que no, son deshabilitadas)
Convertir perfiles mviles
Actualizar derechos de usuario
Migrar grupos de usuario asociados
Actualizar objetos previamente migrados
Revisar la pertenencia a grupos de usuarios
Botn Siguiente (clic) Establece que no se desean migrar los objetos que presenten
conflicto
Botn Finalizar (clic) comienza el proceso de migracin
Una vez finalizado el proceso cerrar la ventana de progreso de la migracin y verificar
como han sido migrados los usuarios en Usuarios y equipos de Active Directory.
546
Clase terica 35
Diccionario
Kerberos
Kerberos es un
protocolo de
autenticacin de
redes que permite a
dos computadoras
en una red insegura
demostrar su
identidad
mutuamente de
manera segura.
LDAP
Lightweight
Directory Access
Protocol - Protocolo
liviano de acceso a
directorio. Es un
protocolo de red
que permite el
acceso a un servicio
de directorio
ordenado y
distribuido para
buscar diversa
informacin en un
entorno de red.
LDAP puede
considerarse una
base de datos
(aunque su sistema
de almacenamiento
puede ser
diferente) al que
pueden realizarse
consultas.
INTRODUCCIN
Windows 2003 R2 Server incluye el Servicio de Nombres de Dominio de Microsoft
(DNS), el cual puede ser utilizado para instalar y administrar el servidor DNS de
Windows 2003 R2. Como con otros servicios, Windows 2003 R2 proporciona
una consola de administracin (MMC), la cual permite administrar el servidor
DNS, zonas, y registrar recursos.
VISIN GENERAL DE LA CONSOLA DNS
La consola DNS incluida en el servicio DNS permite administrar y configurar un
servidor DNS, crear y administrar zonas, y crear y administrar el registro de
recursos. En resumen, la consola DNS es una herramienta que simplifica la
administracin integral de un servidor DNS.
Por defecto, la consola DNS solo muestra el servidor local, pero se puede
conectar a cualquier servidor DNS basado en la plataforma Windows 2003 R2 o
Windows 2000.
Despus de conectar un servidor DNS local o remoto, en el panel izquierdo de la
consola MMC se muestran dos opciones en forma de raz, que descienden desde
el icono que representa al servidor:
Zona de bsqueda directa: En esta zona se encuentran los registros
que asocian un nombre de host con una direccin IP.
Zona de bsqueda inversa: En esta zona se encuentran los registros
que permiten asociar una direccin IP con un nombre de host.
Los contenidos de un objeto raz de la consola DNS dependen de si la zona
representa un dominio Active Directory Windows 2003 o a un simple dominio
DNS. Si representa un dominio Active Directory Windows 2003, aparecern races
adicionales para servicios y objetos relacionados con el dominio, tales como
Kerberos,LDAP, sitios, y ms.
REGISTRO DE RECURSOS
Posterior a la creacin de una zona, pueden ingresarse los registros de recursos.
De la misma manera que se crea una zona, el servidor DNS Windows 2003 R2
crea de manera automtica registros SOA y NS en la nueva zona.
Desde la consola administrativa del servidor DNS Windows 2003 R2, pueden
crearse fcilmente distintos tipos de registros, tales como Nuevos Host, Nuevo
Alias, Intercambiador de correos. Algunos de los registros ms comunes a crear
547
Clase terica 35
Definir Registro Alias (CNAME): Definir LDAP:
en un servidor DNS son:
Registro de Host (A): Los registros de Host o A, combinan un nombre de host
con una direccin IP y es el principal mtodo por el cual se realiza la resolucin
de nombres. Cada host que se desee hacer visible a travs de DNS, debe tener
un registro de Host o A en la zona correspondiente.
Al crear un nuevo registro de Host, se debe especificar el nombre de host y la
direccin IP. Si existe una zona inversa automticamente se crear un registro
de puntero asociado (PTR) el cual permitir al servidor DNS responder las
consultas de resolucin inversa que cualquier host le realice.
Registro alias (CNAME): Los registros del tipo Alias, o CNAME, combinan
nombres de alias existentes con los nombres F Q D N. Por ejemplo, el
administrador del dominio proet.mx posee un servidor en su red con el nombre
srv1, el cual posee su registro correspondiente en el servidor DNS, para que
apunte a la direccin de IP del servidor.
El administrador de proet.mx decide utilizar el servidor como un servidor Web,
as que se crea una alias paraqu el www apunte a srv1.proet.mex. A partir
de esta configuracin, cuando los usuarios se conecten a www.proet.mx, el
DNS en realidad redirigir de manera transparente las peticiones a
srv1.proet.mex.
Al crear un registro del tipo alias, se debe especificar el nombre de alias y el
nombre FDQN del host al que el alias apunta.
Registro de Intercambiador de correo (MX): Los registros de intercambiador de
correo o MX, permiten a los protocolos de mail, dirigir los mensajes a travs de
un dominio o hacia l.
Estos tipos de registro especifican qu intercambiadores o servidores de correo,
procesan correo para un dominio. Para los registros MX, se debe especificar el
nombre simple para el intercambiador de correo en el campo de host o de dominio.
Si este campo se deja en blanco, el nombre del intercambiador de correo, por
defecto, es igual al nombre de dominio raz.
En el campo servidor de correo, se debe especificar el FQDN del servidor
que acta como intercambiador de correo. El FQDN que se especifica aqu,
debe resolverse a un registro de host (A) en la zona, de esta manera puede
asegurarse que se crea un registro para el intercambiador de correo as como
Diccionario
F Q D N
Fully Qualified
Domain Name -
Nombre de Dominio
Completamente
Calificado. Es un
nombre entendible
por personas que
incluye el nombre de
la computadora y el
nombre de dominio
asociado a la misma.
A
c
t
i
v
i
d
a
d
548
el registro MX.
Registro de ubicacin de servicios (SRV): Los registros de ubicacin de servicio
o SRV, son otro tipo de registros que ofrecen una excelente flexibilidad si un
dominio contiene mltiples servidores para servicios especficos, como pueden
ser servidores HTTP mltiples. Los registros SRV habilitan la posibilidad de
mover fcilmente un servicio de un host a otro y para designar host como
servidores primarios de un servicio dado y otros como secundarios para ese
mismo servicio. Por ejemplo, se puede designar un servidor Web (HTTP) como
primario y otros dos como servidores secundarios que puedan aceptar peticiones
http, para cuando el servidor principal se encuentre congestionado o apagado.
Los reenviadores que soportan registros SRV, someten un pedido al servidor
DNS para servidores en el dominio que proporcionan un servicio de TCP/IP
especfico (como HTTP). El servidor de DNS responde con una lista de todos
los servidores en el dominio que tenga un registro SRV correspondiente al tipo
de servicio pedido.
MLTIPLES DIRECCIONES EN UN SERVIDOR DNS
Por defecto, el servicio de DNS atiende en todas las IP a travs de las cuales
solicitan informacin al servidor. La performance del servidor no enfrenta ninguna
penalizacin en la ejecucin real al habilitar el servicio de DNS para responder
en todas las direcciones IP que le soliciten informacin, pero en ciertas
situaciones, se puede querer reducir las direcciones a las que el servidor
responder, nicamente para las asociadas al servidor DNS.
Si el servidor que mantiene el servicio DNS posee mas de un adaptador de red
con una direccin IP asociada a cada adaptador, solo se recomienda utilizar
dos direcciones IP en las que el servidor DNS atender peticiones de resolucin.
De esta manera una IP podra ser el servidor primario y una segunda IP el servidor
secundario.
Hay que tener en cuenta que al especificar un conjunto de direcciones IP en las
cuales el servicio DNS escucha peticiones, las demas IP pertenecientes al
servidor pueden destinarse a otros servicios.
CONFIGURAR SERVIDORES RACES
Configurar servidores races, permite que un servidor de nombres reenve
peticiones de resolucin a los servidores de niveles mas altos o para sub-
rboles en diferentes espacios de nombres de DNS, y de esta manera
proporcionar un mapa de caminos para un servidor DNS que le permita resolver
peticiones para dominios fuera de su rea de autoridad.
Para los servidores DNS que poseen salida a Internet, los servidores races
deben apuntar al servidor de nombres raz de Internet. Para los servidores DNS
que proporcionan servicios slo a una red privada, los servidores races deben
apuntar al servidor de nivel ms alto para su dominio u organizacin. Los
549
Clase terica 35
Nombrar una razn para integrar Active Directory
con DNS
Definir la funcin de un servidor raz:
servidores con la funcin de reenviadores para la resolucin de nombres de
Internet para clientes locales, debe tener sus servidores races apuntando a los
servidores raz de Internet, mientras que los otros servidores de nombre en el
dominio deben apuntar al servidor de nivel mas alto local para la red privada.
Por defecto, el servicio DNS de Windows 2003, utiliza un archivo cache.dns
que contiene la lista de los servidores raz de Internet.
Al examinar el archivo cache.dns con Notepad, muestra que el archivo
contiene entradas de registro NS y A para los servidores DNS raz de Internet.
Si se desea conectar un servidor DNS a Internet, se debe utilizar el archivo
cache.dns para asegurar que tiene los servidores raz apropiados. Sin embargo,
si se desea crear un servidor DNS para una red interna, se debe utilizar un
archivo cache.dns que contenga los registros NS y A para los servidores DNS
de mas alto nivel en el espacio de nombres local, antes que los servidores raz
de Internet.
Se puede editar el archivo cache.dns directamente usando Notepad, si fuera
necesario modificar sus entradas. Si se prefiere, tambin se puede utilizar la
interfaz provista por la consola DNS para modificar el archivo cache.dns.
Si se esta corriendo un servidor DNS interno, que no necesita configurar
servidores races para ubicar los servidores ms altos en la red local, se debe
eliminar el conjunto de configuraciones que se refieren a los servidores races.
La manera ms fcil para hacer esto es renombrar o borrar el archivo
cache.dns y luego detener e iniciar nuevamente el servidor DNS.
DNS Y ACTIVE DIRECTO RY
El servicio DNS de Windows 2003 proporciona integracin con Active Directory
para proporcionar al servicio DNS las ventajas inherentes en la seguridad de
Active Directory, la comodidad administrativa y replicacin. En realidad, la
integracin de DNS con el AD es requerida por los controladores de dominio
(DC) porque el servicio Netlogon de Windows 2003 Server utiliza DNS para
localizar los controladores de dominio. Un controlador de dominio puede ejecutar
el servicio DNS, pero un servidor de nombre que soporte actualizaciones
dinmicas y que es autoritario para el dominio debe estar presente.
Integrar DNS en Active Directory proporciona una medida de tolerancia a fallos
para DNS, porque los datos de DNS para zonas integradas es duplicado a lo
Nota
%systemroot%\System32\DNS
El archivo cache.dns
se encuentra localizado
en
A
c
t
i
v
i
d
a
d
Las entradas en el
archivo cache.dns
consisten de un registro
de NS y su
correspondiente registro
A, para cada servidor
DNS, localizado en dos
lneas separadas. La
primera lnea especifica
el registro de NS, esta
lnea comienza con un
smbolo @, seguido por
un espacio, luego el
registro NS, otro
espacio, y el FQDN del
servidor raz. En la otra
lnea, se especifica el
FQDN del servidor, un
espacio, y una A para
indicar un registro A,
otro espacio, y
finalmente la direccin
de IP del servidor.
Nota
550
largo de los controladores de dominio, cualquier controlador de dominio
ejecutando el servicio DNS puede manejar las solicitudes de clientes para la
resolucin de nombres en los dominios alojados. Esto significa que un servidor
puede estar fuera de lnea y otros puede continuar procesando solicitudes para
el dominio.
Cambios de registros en una zona de Active Directory integrada, replicados
automticamente a otros controladores de dominio ejecutando el servicio DNS.
La sincronizacin de las zonas de integradas de Active Directory, es tambin
potencialmente ms eficiente que una zonas de transferencia estndar, ya que
los datos se transfieren selectivamente, en vez de transferir una zona entera.
TRANSFERENCIA DE ZONA
La transferencia de zona es el proceso en el que un archivo de zona se replica
en otro servidor DNS. Las transferencias de zona se producen cuando las
asignaciones de nombres y direcciones IP cambian en el dominio. Cuando esto
ocurre, los archivos de zona modificados se copian desde un servidor maestro
a sus servidores secundarios.
TRANSFERENCIA DE ZONA INCREMENTAL
En Windows Server 2003, la informacin de una zona se actualiza mediante
transferencias de zona incrementales (IXFR), que slo replican los cambios
realizados en el archivo de zona, en lugar de replicar todo el archivo. Los
servidores DNS que no admiten IXFR solicitan el contenido entero de un archivo
de zona cuando inician una transferencia de zona. Esto se conoce como AXFR
o transferencia de zona completa.
El proceso de transferencia de zona se inicia cuando se produce una de las
siguientes situaciones:
Un servidor maestro enva al servidor o servidores secundarios una
notificacin anunciando que se ha producido un cambio en la zona. Cuando
el servidor secundario recibe la notificacin, consulta los cambios en el
servidor maestro.
Cada servidor secundario consulta peridicamente un servidor maestro
para comprobar si hubo cambios en el archivo de zona, incluso si no se le
ha notificado ningn cambio. Esto ocurre cuando se inicia el servicio
Servidor DNS en el servidor secundario o cuando transcurre el intervalo
de actualizacin en el servidor secundario.
DNS DINMICO
DNS dinmico (DDNS) permite que un servidor DNS de Windows 2003 pueda
actualizar de forma automtica los registros de recursos para clientes, si sus
nombres de host o direcciones de IP cambian.
551
Clase terica 35
Definir DDNS: Definir transferencia de zona:
El cambio de nombre de host puede ocurrir cuando la computadora remota
cambia su nombre o se convierte en miembro de otro dominio (que modifique
su FQDN). El uso de DHCP es otro argumento para DDNS. Cuando el leasing
de un DHCP expira, la direccin de una computadora cliente puede, y es probable
que cambie. Esto hace difcil mantener un registro DNS exacto para un host de
la red que utiliza DHCP. DDNS resuelve este problema eficazmente.
DDNS funciona a travs de un mecanismo de servidor - cliente. Los clientes
D H C P de Windows 2000, 2003 y XP, soportan DDNS y puede realizar
directamente una solicitud de actualizacin de datos dinmica a un servidor
DNS de Windows 2003 cuando sus configuraciones cambian. Los servidores
DHCP de Windows 2003 pueden tambin realizar solicitudes en nombre de los
host clientes. Un servidor de DHCP puede, adems, pedir al DNS la actualizacin
nombre de host y del registro PTR.
A
c
t
i
v
i
d
a
d
CONFIGURAR DDNS
La mayor parte de la configuracin para soportar DDNS ocurre en el lado de
cliente. Sin embargo, ciertos pasos de configuracin se realizan del lado de
servidor. Se deben habilitar las actualizaciones dinmicas zona por zona, y
configurar los tipos de actualizaciones permitidas, lo que depende del tipo de
zona de Active Directory en la que se encuentra almacenada.
Las zonas integradas de Active Directory permiten configurar actualizaciones
seguras, mediante la utilizacin de ACLs para determinar que cliente puede
ejecutar una actualizacin en la zona. Las zonas estndar o que no se encuentran
integradas a Active Directory solo se pueden configurar para realizar
actualizaciones no seguras o no realizar actualizaciones.
Los clientes W indows
2003, por defecto,
intentaran ejecutar una
actualizacin no segura,
si esto falla entonces
intentarn una
actualizacin segura. Si
se presentan problemas
al intentar actualizar
registros de cliente
desde servidores o
clientes fuera de un
dominio, se deber
verificar que la zona no
se encuentra configurada
para aceptar solo
actualizaciones seguras.
Nota
Atencin
Para optimizar la seguridad, se debe evitar utilizar un controlador de dominio como servidor DHCP, porque
las actualizaciones del servidor DHCP siempre tienen xito, an si la zana se encuentra configurada para
actualizaciones seguras nicamente.
Cliente Windows 2000 o
posterior
Windows 2003 R2 DNS
Server
Windows 2003 R2
Cliente Windows 9x
Pide actualizar un
registro
PTP
No pide actualizar
Actualiza registro
El servidor DHCP pide

actualizar los registros
para los clientes Windows2000 y 9X
552
Servicio WINS de Windows 2003 R2
INTRODUCCIN
NetBIOS es una herencia API que durante muchos aos fue el medio a travs
del cual se conectaba a los sistemas de archivos y otros recursos en red de las
L.A.N.
Al hacerse TCP/IP ms popular, NetBIOS fue quedando relegado, de esta manera
la solucin para seguir utilizando NetBIOS fue colocarlo junto a TCP/IP, de esta
manera en las plataformas Windows TCP/IP trabaja conjuntamente con NetBIOS.
El sistema de nombres de Internet de Windows (WINS), fue desarrollado por
Microsoft para proporcionar un nombre de NetBIOS parecido a DNS (NBNS)
para combinar nombres de NetBIOS con direcciones de IP.
WINS es ms que slo un servicio de resolucin de nombre basado en NetBIOS
e IP, ya que permite centralizar el manejo de zonas de nombres NetBIOS,
eliminando la necesidad de manejar remotamente mltiples archivos LMHOSTS
(ejecuta la misma funcin para bsqueda NetBIOS que los archivos HOST
realizan para bsqueda DNS).
WINS tambin ayuda a reducir el broadcast que NetBIOS genera en la red,
aumentando al mximo utilizacin de ancho de banda, ya que los clientes pueden
pedirle al servidor WINS una resolucin de nombre a direccin, permitindoles
comunicarse directamente con los host remotos, en vez de generar trfico de
broadcast en la red.
WINS es necesitado en viejas redes de Windows, porque la nica va en que los
sistemas operativos de bajo nivel puedan establecer su presencia en la red es
por NetBIOS.
WINS es tambin esencial para resolver nombres NetBIOS sobre subredes de
comunicacin TCP/IP. NetBIOS no es ruteable, y la nica va para coexistir en el
mundo ruteable de las direcciones IP es por medio de WINS.
La estrategia de Microsoft, en conjunto con constructores de Internet, es erradicar
por completo NetBIOS y dar soporte nicamente a TCP/IP y sus sucesores
como el nico protocolo estndar para las redes. Esta estrategia permite a los
administradores de red a quitar gradualmente NetBIOS de sus redes
reemplazando los sistemas de bajo nivel y dispositivos de NetBIOS y les permite
cambiar a un sistema Windows 2003 nativo lo cual es mucho ms seguro y
escalable.
Sin embargo, se espera que WINS y NetBIOS sigan existiendo durante muchos
aos. Las razones para mantener WINS en funcionamiento son muy grandes si
consideran los dos siguientes hechos:
Diccionario
API
Application
Programming
de Programacin de
Aplicaciones. Uno de
los principales
propsitos de una
API consiste en
proporcionar un
conjunto de
funciones de uso
general, por
ejemplo, para
dibujar ventanas o
iconos en la
pantalla. De esta
forma, los
programadores se
benefician de las
ventajas de la API
haciendo uso de su
funcionalidad,
evitndose el
trabajo de
programar todo
desde el principio.
NBNS
NetBIOS Name
Service - Servicio de
nombres NetBIOS.
Las comunicaciones de
WINS tienen lugar en
datagramas sobre el
puerto de UDP 137, que
es reservado para NBNS.
Nota
553
Clase terica 35
Definir conexin Persistente: Definir NBNS:
La inversin en los sistemas heredados: NetBIOS ha sido la fuerza de impulso
en las redes de Windows desde el advenimiento de las computadoras personales
en red. En todos esos aos, Windows se convirti en el sistema operativo ms
difundido, y ahora se dirige a convertirse en el sistema operativo para servidores
dominante.
La realidad es que nadie sabe realmente cuntas copias de Windows estn
circulando en el mundo. Las estimaciones indican que en el orden de los diez
millones a cientos de millones de copias, as una inversin enorme en herencia,
o los llamados sistemas de bajo nivel Windows. Todava existen, desde simples
clientes a mega servidores que utilizan estos sistemas y es probable que esto
sea as durante muchos aos ms.
La inversin en las aplicaciones heredadas: Muchas aplicaciones todava utilizan
NetBIOS en su cdigo fuente, lo que significa que hasta que todas las aplicaciones
basadas en NetBIOS dejen de utilizarlo, los sistemas Windows debern soportar
WINS y NetBIOS por varios aos ms.
EL NUEVO WINS
Aunque WINS ofreci en gran medida tolerancia a fallos en intranets pequeas,
en grandes infraestructuras de red fue todo lo contrario, conexiones perdidas,
problemas de rplica con otros servidores WINS y generando datos basura en
sus bases de dato.
A menudo, las comunicaciones de dominios entre sitios, podan caerse porque
los registros no eran actualizados y los clientes no podan realizar conexiones a
servicios crticos en otros dominios. Debido a estos sucesos Microsoft decidi
reconstruir por completo el servicio WINS y presentarlo con Windows 2000
Server.Ahora, WINS es un sistema muy diferente bajo Windows 2000 y Windows
2003.
CONEXIONES PERSISTENTES
WINS nunca debe ponerse en prctica como una solucin de servidor nico a
menos que un porcentaje muy pequeo de usuarios dependa del servicio y que
la infraestructura pueda afrontar el tiempo muerto y bajos niveles del servicio.
Para las redes que mantienen una gran cantidad de usuarios u oficinas pequeas
que necesitan mantener conexiones crticas a travs de la Intranet, WINS debe
ponerse en prctica en grupos de dos o ms servidores.
A
c
t
i
v
i
d
a
d
554
No todos los servidores necesitan estar en la misma subred de comunicacin,
sin embargo, si un servidor WINS es inaccesible, el cliente puede utilizar un
servidor WINS secundario en otra subred de comunicacin porque conoce la
direccin esttica (va DHCP).
Los servidores WINS coexisten entre ellos pero no funcionan como una nica
unidad lgica. Despus de que un cliente se registra con WINS o que se elimina
un registro de WINS, la informacin es replicada a los servidores de WINS que
son configurados como socios de rplica.
Con frecuencia, la rplica en los entre los viejos WINS en NT 4.0, no se realizaba
porque los pedidos de restablecimiento de comunicacin fallaba. Esto generaba
que las bases de datos de WINS se encontraran dispersadas e inconsistentes y
sin relaciones mutuas con los demas servidores WINS.
Los usuarios en la intranet dependen del mantenimiento de conexiones entre
clientes y servidores colocados en sectores opuestos de la red. Si los servidores
WINS no pueden cumplir con las solicitudes, el usuario normalmente recibe un
error indicando que no se encuentra el camino de red y la conexin fracasa.
Este mensaje pareciera sugerir que el host se encuentra cado, pero a menudo
WINS es culpable, as primero se debera tratar de realizar un ping al host, para
descartar un problema de WINS.
El servicio WINS de Windows 2003 puede ser configurado para mantener una
conexin permanente a travs de la intranet con cada uno o todos los socios de
rplica. La replicacin persistente ofrece dos ventajas:
Gastos generales significativos asociados con iniciar y parar conexiones,
son reducidos. La herencia WINS necesitara restablecer conexiones con
los socios de rplica cada vez que necesite replicar. Siempre existe la
posibilidad de que en una Intranet grande, una conexin no pueda ser
establecida de forma automtica y requiera de la intervencin del
administrador.
La velocidad de rplica tambin ha sido mejorada, debido a que las
actualizaciones pueden enviarse directamente al socio de rplica, obviando
la necesidad de establecer primero la conexin.
REPLICACIN DE WINS
Aunque un servidor WINS puede admitir ms de 5.000 clientes en condiciones
normales de carga de trabajo, puede instalar tambin un
segundo servidor para proporcionar tolerancia a errores
en la resolucin de nombres NetBIOS. Dicho servidor
permitir, al mismo tiempo, localizar el trfico de
resolucin. De esta forma, si se produce un error en uno
de los servidores WINS, el otro servidor continuar
realizando la resolucin de nombres NetBIOS en la red.
Diccionario
Ping
Se trata de una
utilidad que
comprueba el estado
de la conexin con
uno o varios equipos
remotos, por medio
de paquetes de
solicitud de eco y de
respuesta de eco
(definidos en el
protocolo de red
ICMP) para
determinar si un
sistema IP especfico
es accesible en una
red. Es til para
diagnosticar los
errores en redes o
enrutadores IP.
WINS Server
A
WINS Server
B
Replicacin
W I N S
Host
A
Host
B
Subnet 1
Subnet 2
555
Clase terica 35
Definir replicacin Pull: Definir replicacin Push:
A
c
t
i
v
i
d
a
d
Cada servidor WINS de una red mantiene su propia base de datos WINS. Por lo
tanto, si hay varios servidores WINS en la red, debern configurarse para replicar
los registros de su base de datos en el resto de los servidores WINS. La
replicacin de bases de datos WINS garantiza que un cliente WINS configurado
para usar un servidor WINS distinto, pueda resolver nombres registrados con
un servidor WINS.
Existen 2 tipos de replicacin en el servicio WINS de Windows 2003:
Push: La replicacin Push es el proceso de copia de los registros
actualizados desde un servidor WINS a otros, siempre que el servidor
WINS que contenga datos actualizados, alcance un valor especificado de
cambios.
Pull: La replicacin Pull es el proceso de copia de los registros actualizados
desde un servidor WINS a otros servidores WINS, en intervalos especficos
de tiempo.
ELIMINACIN MANUAL DE REGISTROS
Se pueden marcar manualmente registros para su eliminacin utilizando la nueva
caracterstica de eliminacin manual de registros provista con el servicio WINS
de Windows 2003. Esto significa que solicitudes de eliminacin manuales
consiguen una propagacin ordenada y consistente a los socios de rplica. En
el servicio WINS de Windows NT, la eliminacin manual de registros en un
servidor era problemtica, porque exista la posibilidad de que un socio de replica
restableciera el registro borrado manualmente de alguno de los servidores.
Si se elimina manualmente un registro, la informacin es propagada a todos los
socios de rplica (lo que ocurre rpidamente con la opcin de conexin
persistente).
556
Clase prctica 35
WINS y DNS
Para esta prctica se deber disponer del servidor MGP-SRV04 ejecutando los servicios de
Active Directory (con todos los usuarios, grupos y perfiles) y el servidor DHCP correctamente
configurado
En el servidor 1 (MGP-SRV04) Ejercicio 1:
simultneamente las teclas ctrl+alt+supr para poder acceder a la interfaz de inicio de sesin
(Iniciar como Supervisor).
Men Inicio (clic)
Panel de control (clic) Abrir panel de control
Icono Agregar o quitar programas (doble clic) Despliega la ventana de Agregar o
quitar programas
Botn Agregar o quitar componentes de Windows (clic) Despliega la ventana de
componentes de Windows
Servicios de Red (doble clic) Despliega la ventana de servicios de red
Marcar la opcin Servicio WINS haciendo clic en el casillero en blanco Selecciona
para instalar el servidor WINS
Botn Aceptar (clic)
Botn Siguiente (clic) Comenzar proceso de instalacin (es posible que pida el CD
con los archivos de instalacin de Windows 2000)
Botn Finalizar (clic) Cerrar la ventana
Botn Cerrar (clic) Cerrar Agregar o quitar programas
Cerrar el panel de control (hacer clic en el icono en forma de X en la esquina superior
derecha de la ventana
Ejercicio 2:
Men Inicio
Men Archivo (clic)
Nuevo (clic)
Mediante la realizacin de esta prctica usted ser capaz de identificar las nuevas caractersticas de
los sistemas DNS y WINS provistos con Windows 2003 R2 Server, as como tambin de realizar la
correcta instalacin e implementacin de estos servicios.
Carpeta (clic) Crear una nueva carpeta
Colocar WINSBackup (sin las comillas) como nombre de la carpeta y presionar la tecla
ENTER Asignar el nombre WINSBackup a la nueva carpeta
Carpeta WINSBackup (clic con el botn derecho del Mouse)
Compartir (clic)
Botn Aceptar (clic) Crea un nuevo recurso compartido a partir de la carpeta
WINSBackup
Cerrar la ventana del explorador
Men Inicio (clic)
WINS (clic) Ejecutar la consola de administracin WINS
MGP-SRV04 [172.16.1.3] (podra llegar a ser [192.168.0.3]) (clic con el botn derecho
del mouse)
Propiedades (clic)
Ruta predeterminada de la copia de seguridad predeterminada:
c:\winsbackup Establece donde se localizar la copia de seguridad
predeterminada
Hacer copia de la base de datos con el servidor inactivo (clic en el
casillero de verificacin
Cerrar la consola de administracin WINS
Men Inicio (clic)
Ejecutar (clic)
DOS
Net stop wins (presionar la tecla ENTER) Detener el servicio WINS ya que de
lo contrario no se podra trabajar sobre el archivo de la base de datos
Del c:\winnt\system32\wins\*.mdb (presionar la tecla ENTER) Eliminar la
base de datos de WINS
Net Start wins (presionar la tecla ENTER) Iniciar el servicio WINS
Verificar el error que se produce
Botn Aceptar (clic) Cerrar la ventana de informacin del error
Del c:\winnt\system32\wins\*.* (presionar la tecla ENTER)
Responder de manera afirmativa a la pregunta de si esta seguro que desea
eliminar los archivos Eliminar el resto de los archivos ya que podran llegar a
causar conflictos si no son reemplazados
Copy c:\winsbackup\wins_bak\new\*.* c:\winnt\
system32\wins (presionar la tecla ENTER) Restaurar de manera manual la
copia de seguridad de la base de datos WINS
Net Start wins (presionar la tecla ENTER) Iniciar el servicio WINS
Esta vez el servicio debe iniciarse sin ningn problema
558
simultneamente las teclas ctrl+alt+supr para poder acceder a la interfaz de inicio de sesin
(Iniciar como Supervisor).
Icono Mis sitios de red (clic con el botn derecho del Mouse)
Propiedades (clic) despliega la ventana de Conexiones de red y de acceso telefnico
Icono Conexin de rea local (clic con el botn derecho del Mouse)
Propiedades (clic) despliega la ventana de Propiedades de Conexin de rea local
Protocolo Internet (TCP/IP) (doble clic) despliega la ventana de Propiedades de
Protocolo Internet (TCP/IP)
Botn Avanzada (clic) Acceder a la configuracin avanzada
Solapa WINS (clic) Configurar opciones WINS
Botn Agregar (clic) Agregar la direccin de un nuevo servidor WINS
Introducir 172.16.1.3 (sin las comillas) en el cuadro de texto Servidor WINS: y
presionar la tecla ENTER
Desmarcar la opcin Habilitar la bsqueda de LMHOSTS Especifica que no se
desea utilizar el archivo LMHOSTS para la resolucin de nombres
Botn Aceptar (clic) Activar la nueva configuracin y salir
Cerrar la ventana de Conexiones de red y de acceso telefnico (haciendo clic en la X
que se encuentra en el ngulo superior derecho de la ventana.)
Una vez en el escritorio se proceder de la siguiente manera para verificar la nueva configuracin:
Men Inicio (clic)
Ejecutar (clic)
DOS
Ping mgp-srv04 (presionar la tecla ENTER) al no hacer una referencia
a una direccin IP el sistema consultar al servidor WINS para obtener la
IP correspondiente al nombre NetBIOS Introducido. En caso de obtener
una respuesta del tipo Haciendo ping a mgp-srv04.megapack.com
[172.16.1.3] , significara que el nombre no fue resuelto por el servidor
WINS sino por el servidor DNS (de ah la aparicin del .megapack.com).
En este caso se deber desactivar el cliente DNS en esta mquina.
Exit (presionar la tecla ENTER) cerrar la consola de DOS
En el Desktop (MGP-Desk01): Ejercicio 1:
Una vez iniciado el equipo, se deber presionar simultneamente las teclas ctrl+alt+supr para
poder acceder a la interfaz de inicio de sesin
Botn Aceptar (clic) Pasar el banner de inicio de sesin
Introducir Supervisor (sin las comillas) como Nombre de usuario:
Introducir MgP393pDC (sin las comillas) como Contrasea:
Botn Aceptar (clic) Iniciar sesin como el usuario Supervisor
Una vez en el escritorio se proceder de la siguiente manera para verificar la asignacin WINS
a travs del servidor DHCP:
Men Inicio (clic)
Ejecutar (clic)
DOS
Ping mgp-srv04 (presionar la tecla ENTER) al no hacer una referencia
a una direccin IP el sistema consultar al servidor WINS para obtener
la IP correspondiente al nombre NetBIOS Introducido. En caso de obtener
una respuesta del tipo Haciendo ping a mgp-srv04.megapack.com
[172.16.1.3] , significara que el nombre no fue resuelto por el servidor
WINS sino por el servidor DNS (de ah la aparicin del .megapack.com).
En este caso se deber desactivar el cliente DNS en esta mquina.
Exit (presionar la tecla ENTER) cerrar la consola de DOS
Men Inicio (clic)
DNS (clic) Ejecutar la consola de administracin DNS
MGP-SRV04 [172.16.1.3] (doble clic)
Zonas de bsqueda directa (doble clic)
megapack.com (clic con el botn derecho del mouse)
Dominio nuevo (clic)
colocar administracin en el cuadro de texto Escriba el nombre del nuevo dominio:
y presionar la tecla ENTER Crea un subdominio llamado administracin
colocar cobranzas en el cuadro de texto Escriba el nombre del nuevo dominio: y
presionar la tecla ENTER Crea un subdominio llamado cobranzas
colocar gerencia en el cuadro de texto Escriba el nombre del nuevo dominio: y
presionar la tecla ENTER Crea un subdominio llamado gerencia
administracin (clic con el botn derecho del mouse)
Host nuevo (clic) Crear un nuevo host para el subdominio administracin
Nombre: maq1
(marcar la opcin Crear registro del puntero (PTR) asociado)
Botn Aceptar (clic)
Botn Realizado (clic) cerrar la ventana para agregar nuevo host
cobranzas (clic con el botn derecho del mouse)
Nombre: maq1
Botn Aceptar (clic)
560
gerencia (clic con el botn derecho del mouse)
Nombre: maq1
Botn Aceptar (clic)
Host nuevo (clic) Crear un nuevo host para el dominio megapack.com
Nombre: www
Direccin IP: 192.168.0.254
Botn Aceptar (clic)
Cerrar la consola de administracin DNS
Men Inicio (clic)
Ejecutar (clic)
DOS
Ping www.megapack.com (presionar la tecla ENTER) Consulta al servidor
DNS para obtener la IP de la maquina con nombre www que pertenece al
dominio megapack.com (el resultado debera ser 192.168.0.254)
Exit (cierra la consola de DOS)
Men Inicio (clic)
Ejecutar (clic)
DOS
Ping maq1.administracion.megapack.com (presionar la tecla ENTER) Consulta
al servidor DNS para obtener la IP de la maquina con nombre maq1 que pertenece
al subdominio administracin del dominio megapack.com
Exit (cierra la consola de DOS)
En el Desktop (MGP-Desk01): Ejercicio 2:
Men Inicio (clic)
Ejecutar (clic)
DOS
Ping maq1.cobranzas.megapack.com (presionar la tecla ENTER) Consulta al servidor
DNS para obtener la IP de la maquina con nombre maq1 que pertenece al subdominio cobranzas
del dominio megapack.com
Ping maq1.gerencia.megapack.com (presionar la tecla ENTER) Consulta al servidor
DNS para obtener la IP de la maquina con nombre maq1 que pertenece al subdominio gerencia
del dominio megapack.com
Nslookup (presionar la tecla ENTER) Ejecutar el cliente de resolucin de nombres
Name www.megapack.com (presionar la tecla ENTER) consultar la ip de www (el
resultado debera ser 192.168.0.254)
Exit (presionar la tecla ENTER) Salir de nslookup
Exit (presionar la tecla ENTER) cierra la consola de DOS
562
Clase terica 36
INTRODUCCIN
Windows 2003 Server posee un servicio DHCP integrado, que ofrece una
excelente funcionalidad para distribuir y manejar direcciones de red. El servicio
de servidor DHCP se encuentra diseado a partir de los estndares de la industria
(RFC) definidos por la IETF.Al estar diseado bajo estndares, se asegura, que
el servicio de DHCP de Windows 2003 pueda atender no solo peticiones de
clientes de Windows, sino tambin, de otros clientes, como ser UNIX, Linux,
Macintosh etc.
Como con otros servicios, para administrar un servicio DHCP en un servidor
Windows 2003 es necesario utilizar las consolas administrativas de Microsoft
(MMC). El complemento servicio DHCP permite administrar y crear mbitos
DHCP (un rango de direcciones y sus propiedades), asignar propiedades
globales, administrar asignaciones actuales, y ejecutar todas las dems tareas
de administracin de DHCP.
Adems de apoyar las normas de IETF, el servicio DHCP de Windows 2003
extiende la funcionalidad de DHCP para incluir inicios de sesin, monitoreo, y
otras caractersticas que integran DHCP con el sistema operativo Windows
2003. Adems, Microsoft ya haba aadido varias nuevas caractersticas en
W indows 2000 para mejorar la funcionalidad de DHCP, como administracin e
integracin con otros servicios, tales como DNS, y estas caractersticas se
mantienen en Windows 2003.
Diccionario
IETF
Internet Engineering
Task Force - Grupo
de Trabajo en
Ingeniera de
Internet. Es una
organizacin
internacional abierta
de normalizacin,
que tiene como
objetivos el contribuir
a la ingeniera de
Internet, actuando
en diversas reas,
tales como
transporte, ruteo y
seguridad.
DHCP reduce la complejidad y el trabajo administrativo usando configuracin
automtica de TCP/IP
Las direcciones IP se configuran manualmente en cada
computadora cliente
Posibilidad de configuraciones incorrectas o invlidas de
IP
La configuracin incorrecta puede producir fallas de
comunicaciones
Sobrecarga administrativa en las redes donde las
computadoras se mueven con frecuencia
Las direcciones del IP se asignan automticamente a
las computadoras cliente
Se asegura de que los clientes utilicen siempre la
informacin correcta de la configuracin
La configuracin del cliente se actualiza
automticamente para reflejar cambios en la estructura
de la red
Elimina el origen de problemas de red
Configuracin Manual de TCP/IP Configuracin Automtica TCP/IP
SOPORTE PA R A DNS DINMICO (DDNS)
El servicio DHCP de Windows 2003 permite la asignacin de direcciones
dinmicas, por lo tanto es difcil para los servidores DNS mantener una tabla de
ruteo (nombre host - direccin IP). Tan pronto como un host cambia su direccin,
563
Clase terica 36
Definir PTR:
A
c
t
i
v
i
d
a
d
las entradas en la base de datos del servidor DNS se convierten en invlidas. El
servicio DHCP de Windows 2003 puede integrarse con el servidor DNS,
habilitando de esta manera, al servidor DHCP y a los host de la red a generar
actualizaciones en la base de datos de DNS cuando sus direcciones o nombres
de host cambien. Esta capacidad permite a la base de datos de DNS mantenerse
actualizada.
DNS dinmico (DDNS) funciona a travs de un mecanismo de servidor - cliente.
Los clientes DHCP Windows 2000 y Windows XP soportan DDNS, y estos
pueden directamente generar una solicitud a un Servidor DNS Windows 2003
para que actualice sus registros (tambin llamados Registros A) cuando la
direccin IP o nombre de host de estos cambian. El servicio DHCP de Windows
2003 puede generar solicitudes en nombre de los clientes, para pedir una
actualizacin en los registros de host y puntero (PTR).
Los registros de host son utilizados para generar las tablas de ruteo (nombre de
host - direccin IP) mientras que los registros de puntero se utilizan para la
resolucin inversa (direccin IP - nombre de Host).
Un servidor DHCP de Windows 2003, tambin, puede actuar como un proxy
para clientes DHCP que no sean Windows 2000 o XP y poder ejecutar, de esta
manera, actualizaciones en DNS dinmicos. Por ejemplo, un servidor DHCP
Windows 2003 puede ejecutar actualizaciones para clientes Windows 95/98 y
Windows NT en las bases un DNS dinmico.
ASIGNACIN DE DIRECCIONES MULTICAST
Las direcciones de Multicast habilitan el trfico IP para ser difundido a un grupo
de hosts. Son comnmente utilizados para audio o teleconferencia de video.
Una direccin IP estndar es tambin conocida con el nombre de Unicast porque
el trfico es enviado a un solo host. Una direccin multicast, sin embargo, permite
enviar a un grupo de host los mismos paquetes de datos con una emisin de
broadcast, en vez de enviar broadcast a un grupo de direcciones de unicast.
El uso del multicast habilita a un grupo de host para recibir los mismos datos sin
duplicarlos, y de esta manera reducir el trfico en la red.
DETECCIN DE UN SERVIDOR DHCP NO AUTORIZADO
Los servidores DHCP no autorizados pueden causar problemas reales en una
Diccionario
RFC
Request For
Comments. Conjunto
de notas tcnicas y
organizativas donde
se describen los
estndares o
recomendaciones de
Internet
(originalmente
ARPANET),
comenzado en 1969.
Registro A
Address - Direccin.
Este registro se usa
para traducir
nombres de hosts a
direcciones IP
PTR
Pointer
Indicador.Tambin
conocido como
'registro inverso',
funciona a la inversa
del registro A,
traduciendo IPs en
nombres de dominio.
Definir direccin Multicast:
564
red, ya sea por distribuir configuraciones errneas o configuraciones duplicadas.
Por ejemplo, un usuario avanzado o un nuevo administrador de la red puede
instalar e iniciar un servidor DHCP, de improviso, mientras que ya existen en la
red uno o ms servidores DHCP, sin que nadie pueda evitar, controlar o supervisar
el ingreso de este servidor no deseado en la infraestructura de la red. Windows
2003 Server permite controlar este problema potencial.
El servicio de Active Directory de Windows 2003 almacena una lista de servidores
DHCP autorizados. Cuando un servidor DHCP Windows 2003 arranca en un
dominio, intenta determinar si se encuentra listado como un servidor autorizado
en Active Directory. Si el servidor DHCP Windows 2003 no se puede conectar a
Active Directory o no se encuentra listado como un servidor autorizado, Windows
2003 asume que est desautorizado y el servicio DHCP no acepta las solicitudes
de clientes DHCP de la red, en cambio, si el servidor se encuentra autorizado
en Active Directory, este comienza a procesar las solicitudes de los clientes
DHCP de la red.
Los servidores DHCP en estructuras de red de trabajo en grupo (servidores
autnomos que no pertenecen a un dominio) se comportan de manera
diferentemente. Cuando arranca un servidor DHCP perteneciente a una red de
trabajo en grupo, emite un mensaje DHCPINFORM.
Diccionario
DHCP INFORM
El cliente enva una
peticin al servidor
de DHCP: para
solicitar ms
informacin que la
que el servidor ha
enviado con el
DHCPACK original; o
para repetir los
datos para un uso
particular.
Cualquier servidor DHCP basado en dominio que se encuentre en la red y escuche
la peticin, responde con un mensaje DHCPACK y proporciona el nombre del
dominio al cual pertenece.
Si el servidor DHCP basado en trabajo en grupo recibe un mensaje de DHCPACK
de un servidor DHCP de un dominio en la misma red, el servidor de trabajo en
grupo asume que no est autorizado y no atiende las solicitudes de cliente DHCP.
Si un servidor de DHCP basado en trabajo en grupo no detecta ningn otro
servidor o detecta slo otros servidores DHCP basados en trabajo en grupo,
comienza a procesar las solicitudes de los clientes DHCP. Por lo tanto, los
servidores DHCP basados en trabajo en grupo no operarn en una red donde
se encuentren activos servidores DHCP basados en dominio, pero si pueden
coexistir servidores DHCP basados en trabajo en grupo en una misma red.
Active
Directory
Cliente DHCP
El cliente DHCP
recibe IP del
DHCP server autorizado
La autorizacin de DHCP es el proceso de registrar el servicio DHCP
Server en un dominio Active Directory para dar soporte a clinete DHCP
DHCP Server 2
X No autorizado
X NO responde solicitudes
DHCP Server 1
Autorizado
Solicitudes de DHCP
565
Clase terica 36
Definir Reserva: Definir DHCPINFORM:
CREAR MBITOS
Un mbito DHCP es un conjunto de propiedades que define un rango de
direcciones de IP y configuraciones relacionadas, tales como servidores DNS,
puertas de enlace, y otra informacin que el cliente necesite del servidor DHCP.
Antes de poder comenzar a utilizar DHCP para asignar direcciones, es necesario
crear al menos un mbito. Los mbitos pueden estar activados o desactivados,
as que tambin es necesario activar mbito, para que el servidor pueda comenzar
a distribuir configuraciones de red a los clientes.
CONFIGURAR OPCIONES GLOBALES EN EL SERVIDOR DHCP
Dentro de cada mbito, pueden configurarse propiedades tales como nombre
de dominio, puerta de enlace, y servidores DNS. Estas propiedades se aplican
a todos los leasings de direcciones IP entregadas por el servidor DCHP.Tambin
se pueden configurar estas propiedades para aplicarlas globalmente a todos
los mbitos definidos en el servidor.
Estas opciones globales son utilizadas a menos que entre en conflicto con una
propiedad del mbito asignado.
RESERVA S
Una reservacin mantiene una direccin de IP para una direccin M.A.C especfica
en la red.
La direccin de MAC es una direccin con base en hardware (nica) que
identifica a un adaptador de red en la red. Las reservaciones habilitan a un
adaptador especfico, para recibir la misma IP del servidor DHCP cada vez, e
impide que la direccin sea otorgada a cualquier otro adaptador de red. En efecto,
las reservaciones permiten utilizar la flexibilidad ofrecida por DHCP, para no
tener que realizar configuraciones de direcciones IP estticas en forma local.
Con las reservaciones, siempre se asegura que el adaptador de red especificado
reciba la misma direccin de IP, pero tambin recibir otras configuraciones de
manera dinmica, tales como el nombre de dominio, puerta de enlace, servidores
de DNS.
A
c
t
i
v
i
d
a
d
DHCP no asigna la
misma direccin IP a
host as porque as, la
reserva siempre se
encuentra asociada con
la direccin MAC del
adaptador de red del
host que se desea
mantenga una direccin
esttica, y no con el
nombre de host.
Nota
566
AUTORIZAR EL SERVIDOR
Un paso adicional a realizar en los servidores DHCP basados en dominio, es
autorizarlo. Al autorizar un servidor, se permite que este sea registrado por Active
Directory como un servidor DHCP autorizado.
Por defecto un servidor DHCP Windows 2003 se encuentra desautorizado y
solo es utilizable en redes de trabajo en grupo, donde no exista la presencia de
servidores DHCP que atiendan peticiones de un dominio.
DEFINIR Y PONER EN PRCTICA CLASES DE FABRICANTE Y USUARIO
Las clases de fabricante y usuario son nuevas caractersticas incorporadas en
el servicio DHCP de Windows 2003. Las clases fabricante, permiten crear
nuevos mbitos con configuraciones predefinidas. De esta manera se pueden
utilizar las clases de fabricantes para crear configuraciones especficas a un
dispositivo o plataforma operativa en particular, y luego asignar las
configuraciones basadas en las clases de usuario.
Utilizar clases de usuario, permite asignar configuraciones de mbito especficas
a clientes individuales. Por ejemplo, podra aplicarse a todos los usuarios de
computadoras mviles, una configuracin de DHCP especfica que, entre otras
cosas, determine que la expiracin del leasing de configuracin sea a las ocho
las horas de haberse otorgado o antes del tiempo de expiracin por defecto el
cual se encuentra definido en 8 das. Es posible definir otras propiedades
especiales.
CLASES DE FABRICANTE
En muchos aspectos, una clase de fabricante es realmente un objeto contenedor
que agrupa configuraciones DHCP realizadas a medida. Para crear una clase
de fabricante, es necesario especificar un nombre para identificar la clase, una
descripcin, y un ID. El nombre de identificacin es nicamente por conveniencia,
para poder diferenciarla de las demas clases dentro de la consola DHCP. El ID
nicamente identifica la clase de fabricante.
Las Opciones de Microsoft y Opciones de Microsoft Windows 2000, definen
tres opciones: NetBIOS deshabilitado, Liberar leasing DHCP al apagar, y Base
Mtrica del Router por Defecto. Se pueden utilizar estas opciones para poner
en prctica las caractersticas asociadas para clientes Windows 2000. No existen
opciones de mbito predefinidas para clientes Windows 98.
Clases de usuario
Aunque las clases de fabricante posibilitan definir nuevas opciones de mbito
para un servidor DHCP, las clases de usuario permiten asignar mbitos DHCP
(definiendo clases comunes o de fabricante) basndose cliente por cliente. Cada
cliente puede ser configurado con una o ms ID de clases de usuario. El servidor
W indows 2003 Server
incorpora tres clases
predefinidas de
fabricantes: Opciones de
Microsoft, Opciones de
Microsoft W indows
2000, y opciones de
Microsoft W indows 98.
Nota
567
Clase terica 36
Definir clase de fabricante:
responde con el leasing apropiado, tomando como referencia los parmetros
definidos para ese ID de clase de usuario.
Por ejemplo, se podra crear un ID de clase de usuario llamado Dispositivos
Mviles y configuras sus opciones de DHCP para disminuir el perodo de leasing,
o se podra tener un grupo de hosts que requieren de un conjunto diferente de
servidores DNS o puertas de enlace predefinidas. Se pueden utilizar los ID de
clase de usuario en todos estos casos para asignar las opciones a los clientes
DHCP en forma selectiva.
Cuando un cliente solicita un ID de clase a un servidor DHCP, el servidor
proporciona todas las opciones implcitas definidas para el mbito. Se pueden
asignar las opciones de DHCP usando las opciones por defecto para el mbito
y aplicar opciones selectivas con la clase de usuario. Esto significa que no se
deben duplicar las opciones por defecto para una clase de usuario; solo es
necesario configurar las opciones que son nicos para clientes en esa clase de
usuario.
CONFIGURAR UN CLIENTE PA R A UTILIZAR ID DE CLASES
Se pueden asignar mltiples ID de clases a clientes Windows 2000 y Windows
XP, aunque slo el ltimo asignado puede recuperar datos DHCP. Cada cliente,
por defecto, asume el ID de clase Clase BOOTP por defecto, que habilita a
los clientes Windows 2000/XP que requieren BOOTP para recibir configuraciones
desde el servidor DHCP.
El ID de clase que se asign ltimo toma precedencia y el cliente carga toda las
opciones de mbito globales ms las opciones de mbito asignadas para ese
ltimo ID de clase.
Las opciones de mbito no son acumulativas, esto significa que el cliente no
cargar todas las opciones de los ID de clase a los cuales pertenece el adaptador
en cuestin.
Para asignar un ID de clase a un cliente Windows 2000/XP, se debe utilizar el
comando de consola IPCONFIG. Se pueden asignar IDs de clase manualmente
por comandos de consola o mediante un script de arranque.
La sintaxis para asignar un ID de clase es:
ipconfig /setclassid [adapter] [ClassIDString]
Las clases de usuario
son soportadas a nivel
cliente. Slo clientes
como W indows 2000 y
W indows XP soportan
las clases de usuario.
Esta capacidad no se
encuentra los clientes de
W indows 98 o W indows
NT.
Nota
A
c
t
i
v
i
d
a
d
Definir clase de usuario:
568
Para configurar en un cliente el ID de clase Dispositivo Mvil en la
infraestructura de red (red local), se debe utilizar la siguiente sintaxis:
ipconfig /setclassid Red Local dispositivo mobil
Sper mbitos
Windows 2003 Server posee una caracterstica de DHCP llamada sper mbito,
una caracterstica administrativa que posibilita crear y manejar mbitos mltiples
como una nica entidad administrativa.
Los sper mbitos se pueden utilizar para asignar direcciones IP a clientes en
una subred, la cual es un segmento de red fsico que contiene redes IP lgicas
mltiples. Por ejemplo, podra soportar cuatro redes IP lgicas clase C en un
segmento de red fsico. Cada una de las cuatro subredes clase C son definidas
individualmente como un mbito hijo de un sper mbito.
En muchos casos, es poco probable plantear el uso de una red segmentada, ya
que utilizar una red IP sin segmentar es mucho ms simple desde un punto de
vista administrativo; sin embargo, es posible necesitar utilizar una red
segmentada, comnmente, debido a temas de crecimiento, seguridad o
simplemente disminucin de trfico.
Atencin
Se pueden utilizar sper mbitos para soportar clientes de DHCP remotos localizados en una subred distinta a la
que mantiene el servidor DHCP. En este caso pueden configurarse tanto un Servidor W indows 2003 como
Agente Relay o utilizar algn dispositivo fsico de interconexin como un Router con capacidad de Agente
Relay para unir lgicamente la red segmentada y permitir el paso de los mensajes DHCP clientes y servidor de
un segmento al otro.
Cliente 1 enva un paquete Broadcasts DHCPDISCOVER
El Relay agent re-enva el DHCPDISCOVER al DHCP server
El Server enva el DHCPOFFER al DHCP relay agent
El Server enva el DHCPACK al DHCP relay agent 7
6
5
4
3
2
1
DHCP Relay
Agent
DHCP Server
Router
Non-RFC 1542
Compliant
Cliente 1 Cliente 2
Cliente 2
El Relay agent enva el broadcast DHCPACK 8
El Relay agent enva el broadcast DHCPOFFER
El Cliente 1 enva el broadcast DHCPREQUEST
El Relay agent re-enva el DHCPREQUEST al DHCP server
569
Clase terica 36
Definir sper mbito:
Naturalmente, se podr asignar ciertas opciones de mbito, tales como la puerta
de enlace dentro de cada mbito. Se pueden asignar opciones globales que se
aplican a todos los mbitos en un sper mbito a nivel de servidor.Todos los
mbitos de un servidor DHCP, que se encuentren o no dentro de un sper mbito,
utilizaran por defecto las opciones globales cuando estas no se definan
especficamente dentro de los mbitos individuales. Por ejemplo, todos los
clientes DHCP pueden utilizar probablemente el mismo conjunto de servidores
DNS, as que podra definirse el conjunto de servidor DNS a nivel del servidor.
CREAR UN SPER MBITO
Se puede crear un sper mbito slo despus que se defina al menos un mbito
en el servidor (esto impide crear un sper mbito vaco). Windows 2003 Server
permite seleccionar que mbitos en funcionamiento se movern al sper mbito.
Tambin se puede crear mbitos adicionales dentro del sper mbito en forma
posterior.
Se pueden crear tambin sper mbitos mltiples y crear los mbitos, ambos
dentro y fuera de un sper mbito. Por lo tanto, un servidor dado puede tener
dos sper mbitos con cuatro mbitos cada uno, conjuntamente con tres mbitos
definidos a nivel del servidor que no son parte de uno u otro.
MANEJAR LA BASE DE DATOS DE DHCP
Windows 2003 Server permite fcilmente la tarea de realizar copias de respaldo
de la base de datos de DHCP y restaurarlas posteriormente en el caso de ser
necesario, lo que proporciona cierto grado de recuperacin ante fallos del servidor,
a demas generar de esta manera un buen medio para mover informacin de un
servidor DHCP a otro.
Los datos de DHCP que se puede respaldar mediante copia, incluye, todo los
mbitos, reservaciones, y leasings definidos, as como todas las configuraciones
realizadas en el servidor, mbito, reservacin, y los niveles de clase. La ubicacin
por defecto para la copia de respaldo es:
%systemroot%\System32\dhcp\backup.
A
c
t
i
v
i
d
a
d
Es importante mantener
la copia de respaldo de la
base de datos en un
servidor distinto al que
mantiene el servicio
DHCP, se recomienda
algn tipo de medio
como CD / DVD u otro
servidor en la red
destinado a mantener
copias de seguridad de
los servidores que se
encuentran en
produccin.
Nota
Establecer la ruta de la base de datos de respaldo de
DHCP:
570
COPIAS DE RESPALDO DE LA BASE DE DATOS DE DHCP Y SU
RESTAURACIN
El servidor DHCP de Windows 2003 proporciona tres mecanismos de respaldo
de datos. Automticamente genera una copia de respaldo de su base de datos
en la carpeta backup, del mismo servidor, una vez por hora, lo que Microsoft
llama un soporte sincrnico. Se puede iniciar tambin, manualmente, un una
copia de respaldo con la consola de DHCP, lo que Microsoft llama un soporte
asincrnico. El mtodo final es utilizar la utilidad de respaldo de datos de Windows
2003 o utilizar herramientas de respaldo de terceras partes.
Todos estos mtodos de respaldo mencionados anteriormente realizan una copia
de la base de datos del servidor DHCP, pero no genera una copia de respaldo
de las credenciales de autenticacin, entradas de registro, u otra informacin
de configuraciones globales de DHCP tales como registros de inicio de sesin
y la ubicacin de base de datos. Para respaldar estas opciones hay que guardar
la siguiente clave de registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DHCPServer\Parameters
Clase prctica 36
D H C P
simultneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz de inicio de sesin
(Iniciar como usuario Supervisor).
Men Inicio (clic)
Panel de control (clic) Abrir panel de control
Icono Agregar o quitar programas (doble clic) Despliega la ventana de Agregar o
quitar programas
Botn Agregar o quitar componentes de Windows (clic) Despliega la ventana de
componentes de Windows
Servicios de Red (doble clic) Despliega la ventana de servicios de red
Marcar la opcin Protocolo de configuracin dinamica de host (DHCP) haciendo clic
en el casillero en blanco Selecciona para instalar el servidor DHCP
Botn Aceptar (clic)
Botn Siguiente (clic) Comenzar proceso de instalacin
Botn Finalizar (clic) Cerrar la ventana
Botn Cerrar (clic) Cerrar Agregar o quitar programas
Cerrar el panel de control (hacer clic en el icono en forma de X en la esquina superior
derecha de la ventana
Ejercicio 2:
Men Inicio (clic)
DHCP (clic) Ejecutar el administrador DHCP
Mgp-srv04.megapack.com.ar [172.16.1.3] (doble clic)
Mgp-srv04.megapack.com.ar [172.16.1.3] (clic con el botn derecho del Mouse]
Autorizar (clic) Autorizar el servidor DHCP en Active Directory
Presionar la tecla F5 para actualizar la informacin de pantalla
Mgp-srv04.megapack.com.ar [172.16.1.3] (clic con el botn derecho del Mouse]
mbito Nuevo (clic) ejecutar el Asistente para crear un mbito
Mediante la realizacin de esta prctica usted ser capaz de identificar las nuevas caractersticas del
servicio DHCP provisto con Windows 2003 R2 Server, as como tambin de realizar la correcta instalacin
e implementacin de este servicio.
El servicio DHCP de Windows 2003 R2 Server 572
Nombre: mbito de MegaPack
Descripcin: Servidor DHCP
Iniciar direccion IP: 172.16.1.1
Fin de direccin IP: 172.16.1.200
Longitud: 16
Iniciar direccin IP:172.16.1.1
Botn Agregar (clic) Excluir a las direcciones ip especificadas de la
asignacin
Iniciar direccin IP:172.16.1.3
Botn Agregar (clic) Excluir a las direcciones ip especificadas de la
asignacin
Establecer la duracin de la concesin como se indica a continuacin:
0 dias, 2 horas, 0 minutos Indica que la concesin de las direcciones
tiene un periodo de caducidad de 2 horas
Configurar estas opciones ahora (clic)
Establecer la siguiente configuracin de Enrutador:
Botn Agregar (clic) Agregar la puerta de enlace
Establecer la siguiente configuracin de dominio y DNS:
Dominio primario: megapack.com
Botn Agregar (clic)
Botn Siguiente (clic) Agregar el dominio y servidor DNS
Establecer la siguiente configuracin de WINS:
Botn Agregar (clic)
Botn Siguiente (clic) Agregar el servidor WINS
Activar el mbito ahora (clic) Especifica que se desea activar el mbito inmediatamente
Botn Finalizar (clic) Finaliza el proceso
Cerrar la consola de administracin DHCP (Clic en el icono con forma de X en la
Ejercicio 3:
Men Inicio (clic)
Men Archivo (clic)
Nuevo (clic)
Carpeta (clic) Crear una nueva carpeta
Colocar DHCPBackup (sin las comillas) como nombre de la carpeta y presionar la tecla
ENTER Asignar el nombre DHCPBackup a la nueva carpeta
Carpeta DHCPBackup (clic con el botn derecho del Mouse)
Compartir (clic)
Botn Aceptar (clic) Crea un nuevo recurso compartido a partir de la carpeta
DHCPBackup
Cerrar la ventana del explorador
Men Inicio (clic)
Ejecutar (clic)
Regedit (presionar la tecla ENTER) Ejecuta el editor del registro de Windows
HKEY_LOCAL_MACHINE (doble clic)
SYSTEM (doble clic)
CurrentControlSet (doble clic)
Services (doble clic)
DHCPServer (doble clic)
Parameters (clic) Acceder a la configuracin del servidor DHCP de la mquina
En el panel de la derecha localizar el valor alfanumrico BackupDatabasePath y hacer
doble clic sobre el mismo Localizar la ruta donde se almacenan las copias de seguridad
de la base de datos del servidor DHCP
Informacin del valor: c:\DHCPBackup
Botn Aceptar (clic) Establecer DHCPBackup como la nueva ruta para la copia de
seguridad de la base de datos.
En el panel de la derecha localizar el valor dword BackupInterval y hacer doble clic
sobre el mismo Localizar el intervalo de creacin de las copias de seguridad de la
base de datos del servidor DHCP
Informacin del valor: 5 (en Decimal)
Botn Aceptar (clic) Establecer el intervalo de creacin de la copia de seguridad
en 5 minutos.
Cerrar el editor del registro (hacer clic en el icono en forma de X que se encuentra en
la esquina superior derecha de la ventana
Ejercicio 4:
Una vez en el escritorio proceder de la siguiente manera:
Men Inicio (clic)
Sistema de archivos distribuido (clic) Ejecutar la consola de administracin de
Sistema de archivos distribuido (DFS)
Sistema de archivos distribuido (clic con el botn derecho de Mouse)
Nueva raiz DFS (clic) Ejecuta el Asistente para crear nueva raz DFS
Crear una raz DFS de dominio (clic) Utilizar Active Directory para almacenar la
configuracin DFS
Botn Siguiente (clic) Dejar el dominio host por defecto para la raiz DFS (en este
caso megapack.com)
Botn Siguiente (clic) Dejar por defecto el servidor host para la raz DFS (en este
caso mgp-srv04.megapack.com)
Crear un recurso compartido nuevo (clic) Especifica que se desea crear un nuevo
recurso compartido que ser utilizado como raz DFS
El servicio DHCP de Windows 2003 R2 Server 574
Ejercicio 1:
Ruta de acceso al recurso compartido: c:\Raiz DFS
Nombre del recurso compartido: Raiz
Botn Si (clic) Especifica que se desea crear la carpeta Raiz DFS
Establecer la siguiente configuracin para el nombre de la raz DFS:
Nombre de la raz DFS: Raiz
Comentario: Raz del Sistema de archivos distribuido de MegaPack
Botn Finalizar (clic) Finalizar asistente y crear raz DFS
\\megapack.com\Raiz (clic con el botn derecho del Mouse)
Nuevo vnculo DFS (clic)
Nombre de vnculo: Backup DHCP
Enviar el usuario a esta carpeta compartida:\\Mgp-srv04\DHCPBackup
Comentario: Copia de Seguridad del base de datos del servidor DHCP
Los clientes mantienen en cach esta referencia durante: 300 segundos
Botn Aceptar (clic) Establece las propiedades del vnculo
Backup DHCP (clic con el botn derecho del Mouse)
Nueva rplica (clic) Crear una nueva rplica
Enviar el usuario a la siguiente carpeta compartida: \\Mgp-srv05\SYSVOL
Replicacin automtica
Botn Aceptar (clic) Finalizar la creacin de la nueva rplica
Manteniendo presionada la tecla ctrl hacer clic en \\Mgp-srv05\DHCPBackup y en
\\Mgp-srv05\SYSVOL para seleccionarlos
Botn Habilitar (clic) habilita la replicacin automtica
Botn Aceptar (clic) Finalizar la configuracin
Cerrar la consola de administracin del Sistema de archivos distribuido
En Desktop 1 (MGP-Desk01) con Windows XP:
Men Inicio (clic)
Ejecutar (clic)
Colocar ncpa.cpl (sin las comillas) en el cuadro de texto y presionar la tecla ENTER
Abrir la ventana de conexiones de red
Conexin de rea local (clic con el botn derecho del Mouse)
Propiedades (clic) abrir la ventana de propiedades de Conexin de rea local
Desmarcar la opcin Programador de paquetes QoS Establece que no se desea que
se reserve el 20% del ancho de banda para asegurar la calidad de servicio
Protocolo Internet (TCP/IP) (doble clic) Acceder a las propiedades de Protocolo de
Internet (TCP/IP)
Obtener una direccin IP automticamente (clic) Establece que se asignar una
direccin IP de manera dinmica (utilizando un servidor DHCP)
Botn Aceptar (clic) Guardar los cambios
Mostrar un icono en el rea de notificacin al conectarse (clic) Al marcar esta
opcin se agregar un icono en forma de 2 computadoras en la barra de tarea que
indicarn cuando hay conexin y transferencia
Botn Aceptar (clic) Guarda y activa los cambios
Cerrar la ventana de Conexiones de red
Reiniciar el equipo
Una vez iniciado el equipo ingresar lo siguiente:
Nombre de usuario: Administrador
Dominio: MEGAPACK0
Botn Aceptar (Clic) Iniciar la sesin en el dominio como Administrador
Men Inicio (clic)
Ejecutar (clic)
Ingresar lo siguiente en el cuadro de texto:
cmd (presionar la tecla ENTER) Ejecutar una consola de DOS
ipconfig /all (presionar la tecla ENTER) Muestra informacin detallada
sobre la configuracin IP
Verificar la asignacin IP, la creacin de la copia de la base de datos y la replicacin de la
misma.
576
Administracin de discos
Clase terica 37
Administracin de discos, MMC, es una utilidad del sistema que alberga todas las
tareas de administracin de discos para la administracin tanto local como remota
de Windows Server 2003 R2. Se puede lograr acceso a Administracin de discos
en la consola de Administracin de equipos, o puede crear una consola
independiente para ello.
Se puede utilizar Administracin de discos para configurar y administrar el espacio
de almacenamiento y para realizar todas las tareas de administracin de discos.
Tambin se puede utilizar esta herramienta para convertir el tipo de almacenamiento
de los discos, crear y extender volmenes, y realizar otras tareas de administracin
de discos, como la administracin de rutas y letras de unidad, y el mantenimiento
de Windows Server 2003 R2.
DiskPart es un intrprete de comandos en modo texto que permite administrar
objetos, como discos, particiones y volmenes, a travs de secuencias de
comandos o de entrada directa desde un smbolo del sistema. Los
administradores suelen escribir secuencias de comandos para realizar las tareas
repetitivas.
ADMINISTRACIN LOCAL Y REMOTA
Si se crea una consola independiente y agrega el complemento Administracin de
discos, se puede establecer el foco del complemento en el equipo local o en otro
equipo para administrar de forma remota ese equipo. Como miembro de los grupos
Administradores u Operadores de servidor, se puede administrar discos en equipos
con Windows Server 2003 R2 y que sean miembros del dominio, o de un dominio
en el que se confa, desde cualquier otro equipo de la red con Windows Server
2003 R2.
LA HERRAMIENTA DISKPART
Con la herramienta de la lnea de comandos DiskPart se pueden realizar muchas
tareas de administracin de discos desde la lnea de comandos. Se recomienda
utilizar DiskPart para realizar tareas relacionadas con los discos desde la lnea de
comandos como alternativa a Administracin de discos.
DiskPart es un intrprete de comandos en modo texto que permite administrar
objetos, como discos, particiones y volmenes, a travs de secuencias de
comandos o de entrada directa desde un smbolo del sistema. Los administradores
suelen escribir secuencias de comandos para realizar las tareas repetitivas.
Para poder utilizar un comando DiskPart, antes se debe mostrar y seleccionar el
objeto que se desea administrar para asignarle el foco. Si un objeto tiene el foco,
todos los comandos de DiskPart que escriba actuarn sobre l.
Con los comandos list disk,list volume y list partition puede mostrar los objetos
577
Clase terica 37
disponibles y determinar el nmero o la letra de unidad de un objeto. Los comandos
list disk y list volume muestran todos los discos y volmenes del equipo, mientras
que el comando list partition muestra solamente las particiones del disco que
tienen foco. Si utiliza los comandos list, aparece un asterisco (*) junto al objeto
que tiene el foco.
Para seleccionar un objeto utilice su nmero o letra de unidad, como disco 0,
particin 1, volumen 3 o volumen C. Si selecciona un objeto, el foco permanecer
en l hasta que seleccione otro. Por ejemplo, si se establece el foco en el disco 0
y selecciona el volumen 8 del disco 2, el foco cambia del disco 0 al disco 2,
volumen 8.
PARTICIONADO
La realizacin de particiones en un disco es una forma de dividir un disco fsico
en secciones, con el fin de que cada seccin, o particin, funcione como una
unidad independiente. Se pueden utilizar las particiones para dividir la unidad de
disco en varias letras de unidad, con el fin de facilitar la organizacin de los archivos
de datos. A cada particin se le asigna una letra de unidad diferente, como C o D.
Despus de crear una particin, hay que formatearla con un sistema de archivos
para poder almacenar datos en ella.
Nota
En los discos bsicos, el
foco de particin y el
foco de volumen son el
mismo. Si cambia el foco
en uno de estos
elementos, se cambia
tambin en el otro.
A
c
t
i
v
i
d
a
d
Un disco fsico se divide en secciones independientes
denominadas particiones.
Mediante la realizacin de particiones se pueden crear
hasta 24 letras de unidad.
Para poder realizar particiones, se debe inicializar y
formatear el disco primero.
Los discos bsicos pueden tener hasta:
Cuatro particiones primarias
O tres particiones primarias y una particin
extendida.
Las particiones extendidas pueden dividirse en unidades
lgicas
Las particiones primarias no se pueden subdividir
O BIEN
Extendidas con
unidades
lgicas
Primarias Primarias
Discos bsicos
C:
D:
E:
F:
C:
D:
E:
F:
G:
H:
Defina Herramienta Diskpart
Definir Particin
578
Inicializar un disco
Cuando se adjunta un disco nuevo al equipo, primero debe inicializarlo para poder
crear particiones. Al iniciar Administracin de discos por primera vez despus
de instalar un disco nuevo, aparece un asistente que proporciona una lista de los
discos nuevos detectados por el sistema operativo. Tras finalizar el asistente, el
sistema operativo inicia el disco escribiendo una firma de disco, el marcador del
final del sector (tambin denominado palabra de firma) y un registro principal de
inicio (Master Boot Record, MBR). Si se cancela el asistente antes de que se
escriba la firma de disco, el estado del disco permanecer como No inicializado.
Particiones primarias
Las particiones primarias se crean en los discos bsicos. Un disco bsico puede
tener un mximo de cuatro particiones primarias o tres particiones primarias y
una extendida. Las particiones primarias no se pueden subdividir. Las particiones
extendidas pueden dividirse en unidades lgicas.
Unidades lgicas
Las unidades lgicas son similares a las particiones primarias; sin embargo,
puede crear hasta 23 unidades lgicas por disco, si el sistema est equipado
con una unidad nica, pero est limitado a cuatro particiones primarias por
disco. Se pueden formatear las unidades lgicas y asignarles una letra de
unidad.
Particiones extendidas
Las particiones extendidas slo se pueden crear en los discos bsicos. A
diferencia de las primarias, a las particiones extendidas no se les formatea
con ningn sistema de archivos. En su lugar, en la particin extendida se
crean una o varias unidades lgicas y, a continuacin, se les formatea con un
sistema de archivos.
Formatear discos
Antes de utilizar un disco, debe ser formateado. Al formatear un disco se configura
la particin con una tabla de asignacin de archivos. El formateado prepara el
disco para la lectura y la escritura. Si formatea un disco, el sistema operativo
borra las tablas de asignacin de archivos que tenga, lo prueba para comprobar
que los sectores son fiables, marca los sectores defectuosos y crea tablas
internas de direcciones, que utiliza posteriormente para encontrar la informacin.
Eliminar particiones
La eliminacin de una particin destruye todos los datos que contiene. A
continuacin, la particin se restaura en un espacio sin asignar. Para eliminar
una particin extendida, antes hay que eliminar del disco todas sus unidades
lgicas.
Nota
Antes de eliminar o
crear particiones en un
disco duro, hay que
asegurarse de hacer una
copia de seguridad de
los contenidos del
disco, ya que la
creacin y eliminacin
de particiones destruye
todos los datos que
contenga. Al igual que
si se realiza algn
cambio importante en
los contenidos del
disco, se recomienda
hacer una copia de
seguridad de todos los
contenidos de este
antes de trabajar con las
particiones, aunque no
se tenga intencin de
realizar ningn cambio
en ellas.
579
Clase terica 37
A
c
t
i
v
i
d
a
d
Asignar letras de unidad
Windows Server 2003 R2 permite la asignacin esttica de letras de unidad a
particiones, volmenes y unidades de CD-ROM. Esto significa que se asigna
una letra de unidad a cada particin, volumen o unidad de CD-ROM especfica.
A veces, es til asignar letras de unidad a los dispositivos extrables, de forma
que estos dispositivos aparezcan detrs de las particiones y volmenes
permanentes del servidor.
Se puede utilizar hasta un mximo de 24 letras de unidad, desde C hasta Z. Las
letras de unidad A y B estn reservadas para las unidades de disquete. Sin
embargo, si slo se dispone de una unidad de disquete, puede utilizar la letra B
para una unidad de red. Si se agrega un disco nuevo al sistema del equipo, no
afectar a las letras de unidad ya asignadas.
PROPIEDADES DE LOS DISCOS
Para ver las propiedades del disco, las cuales nos ofrecen informacin sobre el
disco fsico y los volmenes que contiene, se puede utilizar el Administrador de
discos o DiskPart.
Las propiedades de los discos ofrecen la informacin ms reciente acerca del
disco. Para tener acceso a esta informacin, se utiliza DiskPart o Administracin
de discos para abrir el cuadro de dilogo Propiedades del disco. Las fichas
siguientes del cuadro de dilogo Propiedades muestran las propiedades de disco:
General: Indica el nmero y la ubicacin del disco.
Volmenes: Indica el nmero del disco, su tipo, estado, estilo de particin,
capacidad, espacio sin asignar y su espacio reservado.
Adems de la informacin de Administracin de discos, DiskPart ofrece el Id. de
disco y el tipo de disco, como IDE,ATA, SATA o SCSI.
Definir formateo de discos Definir unidad lgica
Diccionario
IDE
Integrated device
electronics,
lectrnicas de
dispositivos
integradas.
ATA
Advanced
Technology
Attachment,
Tecnologa Avanzada
de Conexin.
SATA
Serial Advanced Technology Attachment, Tecnologa Avanzada de Conexin Serial.
SCSI
small computer system interface, interfaz estndar de equipos pequeos.
580
UNIDAD MONTA D A
Una unidad montada es una unidad de almacenamiento independiente que se
administra a travs de un sistema de archivos NTFS. Con la Administracin de
discos se puede montar una unidad local en una carpeta vaca de un volumen
NTFS local, en lugar de en una letra de unidad. Este mtodo se asemeja a la
creacin de un acceso directo que seala a una particin de disco o a un volumen.
Montar una unidad en una carpeta permite utilizar un nombre intuitivo para la
carpeta, como Datos de programa. Los usuarios pueden guardar sus documentos
en la carpeta Datos de programa, en lugar de guardarlos en una letra de unidad.
Asignar rutas de accesos de unidad
Al montar una unidad local en una carpeta vaca de un volumen NTFS, el
complemento Administracin de discos asigna a la unidad una ruta de acceso,
en lugar de una letra. Las unidades montadas no estn sujetas al lmite de 24
unidades que imponen las letras de unidad, por lo que es posible utilizar unidades
montadas para tener acceso a ms de 26 unidades en el equipo. Windows Server
2003 R2 garantiza que las rutas de acceso de las unidades conservan su
asociacin con la unidad, por lo que se pueden agregar o reorganizar dispositivos
de almacenamiento sin que se produzca ningn error en la ruta de acceso de la
unidad.
Unificar sistemas de archivos dispares
Con las unidades montadas es posible unificar, en un solo sistema de archivos
lgico, sistemas de archivos dispares como NTFS 5.0, un sistema de archivos
FAT de 16 bits, y un sistema de archivos ISO-9660 de una unidad de CD-ROM,
etc. Ni los usuarios ni las aplicaciones necesitan informacin acerca del volumen
en que se encuentra un archivo especfico. Una ruta de acceso completa les
proporciona toda la informacin que necesitan para encontrar un archivo
determinado.
Se pueden reorganizar volmenes, sustituir volmenes o subdividir un volumen
en muchos volmenes sin que sea necesario que los usuarios o las aplicaciones
cambien la configuracin.
DISCOS BSICOS Y DISCOS DINMICOS
Los discos bsicos son el tipo de discos predeterminados de Windows Server
2003 R2 y ofrecen caractersticas limitadas para la configuracin de los discos.
Los discos dinmicos proporcionan ms flexibilidad que los bsicos para configurar
discos. Por ejemplo, la tolerancia a errores slo se puede implementar en los
discos dinmicos.
La ventaja de los discos bsicos es que proporcionan un espacio separado que
581
Clase terica 37
A
c
t
i
v
i
d
a
d
se puede utilizar para organizar los datos. Un disco bsico se puede dividir en
cuatro particiones primarias o en tres particiones primarias y una extendida, que
contiene una o varias unidades lgicas.
Las ventajas de los discos dinmicos son:
Los discos dinmicos se pueden utilizar para crear volmenes que abarquen
varios discos.
No hay lmite en el nmero de volmenes por disco que se pueden configurar
en un disco dinmico.
Los discos dinmicos se utilizan para crear discos de tolerancia a errores
que garanticen la integridad de los datos si se producen errores de hardware.
CONVERSIN DE DISCOS DINMICOS
Se puede convertir un disco de almacenamiento bsico en dinmico en cualquier
momento sin que se pierdan datos. Al convertir un disco bsico en dinmico, las
particiones del disco bsico se transforman en volmenes.
Atencin
Se recomienda que antes de realizar cualquier configuracin importante
de los dispositivos de almacenamiento de hardware, se realice una copia de seguridad de los datos en otro
disco o medio de almacenamiento.
Grupos de discos
Los discos dinmicos se asocian con grupos de discos. Un grupo de discos es
un conjunto de discos que se administran conjuntamente. Los grupos de discos
facilitan la organizacin de discos dinmicos. Cada uno de los discos del grupo
almacena copias de los mismos datos de configuracin. Estos datos se almacenan
en la zona de 1 megabyte (MB) que hay al final de cada disco dinmico.
Durante la conversin, Windows inicializa el disco con la identidad de un grupo
de discos y con una copia de la configuracin activa del grupo de discos. Windows
tambin agrega volmenes dinmicos a la configuracin, que representa las
particiones anteriores y las estructuras con tolerancia a errores del disco. Si no
hay discos dinmicos o en lnea ya existentes, se debe crear un grupo de discos
Definir Discos Bsicos Definir Discos Dinmicos
582
nuevo. Sin embargo, si los hay, se debe agregar el disco convertido al grupo de
discos existente.
VOLUMEN SIMPLE
Un volumen simple es un solo volumen que reside en un disco dinmico. Los
volmenes simples se pueden crear desde el espacio sin asignar de los discos
dinmicos. Un volumen simple es similar a una particin, excepto en que no
tiene los lmites de tamao de sta, ni hay ninguna restriccin en el nmero de
volmenes que se pueden crear en un solo disco.
Los volmenes simples utilizan los formatos de los sistemas de archivos NTFS,
FAT o FAT32. Sin embargo, los volmenes simples slo se pueden extender si
tienen el formato de la versin de NTFS que se utiliza en Windows 2000 o en
sistemas operativos Windows Server 2003 R2. Adems, incluso despus de
crear un volumen simple es posible agregarle espacio o extenderlo.
VOLUMEN EXTENDIDO
Para aumentar el tamao de un volumen simple existente, se deber extenderlo
al espacio sin asignar del mismo disco o de otro. Para extender un volumen
simple, este no debe tener formato o tener el formato de la versin de NTFS que
se utiliza en Windows 2000 o en la familia de sistemas operativos Windows
Server 2003.
Para poder utilizar espacio adicional sin necesidad de volver a configurar los
discos, se puede agregar espacio a los volmenes existentes en el disco. Las
excepciones son los volmenes que contienen alguna particin del sistema, la
particin de inicio o un archivo de paginacin activo.
VOLUMEN DISTRIBUIDO
Un volumen distribuido es un volumen simple que permite crear un solo volumen
lgico en funcin del espacio sin asignar que est disponible en los restantes
discos dinmicos del equipo. Con los volmenes distribuidos se puede utilizar
ms eficientemente el espacio de almacenamiento. Una vez que se extiende un
volumen, para eliminar una parte del mismo hay que eliminar todo el volumen
distribuido.
Los volmenes distribuidos slo pueden crearse con el sistema de archivos
NTFS. Estos volmenes no ofrecen tolerancia a errores. Si falla alguno de los
discos que contiene un volumen distribuido, falla todo el volumen y se pierden
todos los datos.
VOLUMEN SECCIONADO
Los volmenes seccionados almacenan datos en dos o ms discos fsicos,
para lo que se combinan reas de espacio libre en un volumen lgico de un
Slo puede extender los
volmenes creados
originalmente en discos
dinmicos. Aquellos
volmenes que se
crearon en discos
bsicos que,
posteriormente, se
convirtieron en discos
dinmicos no se pueden
extender.
Nota
583
Clase terica 37
disco dinmico. Los volmenes seccionados, tambin conocidos como RAID
0, contienen datos que se esparcen por varios discos dinmicos de unidades
independientes. Los volmenes distribuidos no se pueden seccionar.
Los datos que se escriben en el conjunto de bandas se dividen en bloques, que
se llaman secciones. Estas secciones se escriben simultneamente en todas
las unidades del conjunto de bandas. La ventaja principal de la creacin de
bandas es la velocidad. Para tener acceso a datos de varios discos, se utilizan
varios cabezales de unidad, lo que mejora el rendimiento considerablemente.
DISCO EXTERNO
Si se mueve un disco dinmico de un equipo a otro, Windows Server 2003 R2 lo
considera automticamente un disco externo. Si el complemento Administracin
de discos indica que el estado de un disco nuevo es externo, para tener acceso
a sus volmenes deber ser importarlo.
Es posible mover discos dinmicos a Windows Server 2003 R2 desde cualquier
equipo con Windows 2000, Windows XP Professional o Windows XP 64 bits, o
desde otro servidor con Windows Server 2003 R2.
Si se mueve al mismo tiempo todos los discos que contienen partes de un
volumen de un equipo a otro, el volumen y sus datos sern idnticos al estado
original despus de la importacin. Todos los volmenes simples de los discos
movidos vuelven a su estado original si se han reexaminado los discos.
En los volmenes no redundantes que abarcan varios discos, si se mueve
solamente algunos discos de un sistema a otro, el volumen se deshabilita durante
la importacin. El volumen tambin se deshabilita en el sistema original. Siempre
que no se elimine el volumen ni en el sistema original ni en el de destino, los
restantes discos se pueden mover posteriormente. Una vez que se han movido
todos los discos, el volumen vuelve a su estado original.
Si un disco falla durante un desplazamiento dentro del mismo sistema, puede
parecer que es externo. Los datos de configuracin de los discos dinmicos se
almacenan en todos los discos dinmicos, por lo que la informacin acerca de
cules son los discos que posee el sistema se pierde al fallar todos los discos
dinmicos.
DISCO SIN CONEXIN
El complemento Administracin de discos muestra el estado Sin conexin
cuando no hay acceso a un disco dinmico. Este disco puede estar daado o
estar disponible de forma intermitente. El estado Sin conexin tambin aparece
si se intenta importar un disco dinmico externo y la operacin falla. En ese
caso, aparece un icono de error en el disco sin conexin.
Nota
Los volmenes
seccionados se
utilizan para archivos
de paginacin, ya que
ofrecen el mejor
rendimiento posible
para archivos que se
utilizan con mucha
frecuencia.
Nota
El estado Sin conexin
aparece solamente en
los discos dinmicos.
Administracin de discos 584
Clase prctica 37
Procedimiento para realizar particiones en un disco con Administracin de discos
Para realizar particiones en un disco con Administracin de discos:
1. En Administracin de equipos, abra Administracin de discos.
2. Haga clic con el botn secundario del mouse (ratn) en una zona sin asignar de un disco
bsico y haga clic en Particin nueva o haga clic con el botn secundario del mouse en el
espacio disponible de una particin extendida y, seguidamente, haga clic en Unidad lgica
nueva.
3. En el Asistente para particin nueva, haga clic en Siguiente.
4. En la pgina Seleccionar el tipo de particin, haga clic en Particin primaria y despus
en Siguiente.
5. En la pgina Especificar el tamao de la particin, escriba nnn (donde nnn es el tamao
en megabytes) y haga clic en Siguiente.
6. En la pgina Asignar letra de unidad o ruta de acceso, seleccione la letra de unidad y
haga clic en Siguiente.
7. En la pgina Formatear la particin:
a. Seleccione el sistema de archivos y el tamao de la unidad de asignacin
apropiados.
b. Escriba la etiqueta del volumen apropiada.
c. Seleccione o deseleccione las casillas de verificacin Dar formato rpido y Habilitar
compresin de archivos y carpetas.
8. Haga clic en Siguiente y, a continuacin, en Finalizar.
Ejercicio 1
Procedimiento para formatear discos con Administracin de discos
Para formatear un disco con Administracin de discos:
Ejercicio 2
Mediante la realizacin de esta prctica usted comprender la funcin y la correcta manera de Administrar
Discos en Windows 2003 Server R2
Procedimiento para eliminar una particin con Administracin de discos
Para eliminar una particin con Administracin de discos:
2. Haga clic con el botn secundario del mouse en la particin que desea eliminar y haga clic en
Eliminar particin.
Ejercicio 3
Procedimiento para realizar particiones en un disco con DiskPart
Para realizar particiones en un disco con DiskPart:
1. En el smbolo del sistema, escriba diskpart.
2. En el smbolo del sistema, escriba list disk y anote el nmero del disco en que desea crear
una particin primaria o extendida.
3. En la solicitud DISKPART, escriba select disk n (donde n es el nmero de disco en el que
desea crear la particin primaria o extendida).
4. En el smbolo del sistema de DISKPART, escriba una de las opciones siguientes (donde
nmero est en megabytes):
create partition primary size=nmero
.O bien.
create partition extended size=nmero
.O bien.
create partition logical size=nmero
Ejercicio 4
2. Haga clic con el botn secundario del mouse en la particin, unidad lgica o volumen bsico
al que desee formatear o volver a formatear, y haga clic en
Formatear.
3. Seleccione las opciones que desee en:
Etiqueta del volumen: asigne un nombre al disco.
Sistema de archivos: seleccione NTFS o FAT32.
Tamao de la unidad de asignacin: seleccione el tamao asignado del disco que
desea formatear.
4. Si est seguro que el disco no tiene daos, active la casilla de verificacin
Dar formato rpido.
5. Para comprimir los archivos y carpetas del disco, slo en volmenes NTFS, active Habilitar
compresin de archivos y carpetas.
Procedimiento para eliminar una particin con DiskPart
Para eliminar una particin con DiskPart:
1. Abra Smbolo del sistema y escriba diskpart.
2. En el smbolo del sistema de DISKPART, escriba list disk. Anote el nmero del disco del que
desea eliminar la particin.
3. En el smbolo del sistema de DISKPART, escriba select disk n (donde n es el disco del que
desea eliminar la particin).
4. En el smbolo del sistema de DISKPART, escriba list partition. Anote el nmero de la
particin que desea eliminar.
5. En el smbolo del sistema de DISKPART, escriba select partition n, donde n es el nmero de
la particin que desea eliminar.
6. En el smbolo del sistema de DISKPART, escriba delete partition.
Ejercicio 5
Procedimiento con Administracin de discos
Para asignar, cambiar o quitar letras de unidad con Administracin de discos:
2. Haga clic con el botn secundario del mouse en una particin, unidad lgica o volumen, y
seguidamente haga clic en Cambiar la letra y rutas de acceso de unidad.
3. Siga uno de estos procedimientos:
Para asignar una letra de unidad, haga clic en Agregar y, seguidamente, en la letra de
unidad que desea utilizar.
Para modificar una letra de unidad, haga clic en ella, haga clic en Cambiar y, a
continuacin, en la letra de unidad que desea utilizar.
Para quitar una letra de unidad, haga clic en ella y, a continuacin, en Quitar.
Procedimiento con DiskPart
Para asignar, cambiar o quitar una letra de unidad con DiskPart:
2. En el smbolo del sistema de DISKPART, escriba list volume. Anote el nmero del volumen
cuya letra de unidad desea asignar, cambiar o quitar.
3. En el smbolo del sistema de DISKPART, escriba select volume n (donde n es el nmero del
volumen cuya letra de unidad desea asignar, cambiar o quitar).
4. En el smbolo del sistema de DISKPART, escriba uno de los dos comandos siguientes:
a. assign letter=L (donde L es la letra de unidad que desea asignar o
cambiar)
b. remove letter=L (donde L es la letra de unidad que desea quitar)
Ejercicio 6
Ver propiedades de los discos
Para ver las propiedades de un disco con Administracin de discos:
2. En la vista grfica o en la lista de discos, haga clic con el botn secundario del mouse en un
disco y, a continuacin, haga clic en Propiedades.
3. Haga clic en la ficha General y grabe el nmero de modelo.
4. Haga clic en la ficha Volmenes y grabe los valores siguientes:
Disco
Tipo
Estado
Estilo de particin
Capacidad
Procedimiento con DiskPart
Para ver las propiedades de un disco con DiskPart:
1. Abra Smbolo del sistema.
2. Escriba los comandos siguientes y pulse ENTRAR despus de cada comando:
a. diskpart
b. select disk 0
c. detail disk
3. Registre el tipo.
Ejercicio 7
Ejercicio 8
Procedimiento para crear una unidad montada con Administracin de discos
Para crear una unidad montada con Administracin de discos:
2. Haga clic con el botn secundario del mouse en el volumen que desea montar y, seguidamente,
haga clic en Cambiar la letra y rutas de acceso de unidad.
3. Haga clic en Agregar, elija Montar en la siguiente carpeta NTFS vaca y escriba la ruta de
acceso a una carpeta vaca de un volumen NTFS o haga clic en Examinar para buscarla.
Procedimiento para eliminar una unidad montada con Administracin de discos
Para eliminar una unidad montada con Administracin de discos:
2. Haga clic con el botn secundario del mouse en el volumen que desea eliminar y, seguidamente,
haga clic en Cambiar la letra y rutas de acceso de unidad.
3. Para eliminar un volumen, haga clic en l y, a continuacin, en Quitar.
Procedimiento para crear una unidad montada con DiskPart
Para crear una unidad montada con DiskPart:
2. En la unidad NTFS o carpeta que desea montar en otro lugar, escriba diskpart
3. En el smbolo de sistema de DISKPART, escriba list volume y anote el nmero del volumen
que desea montar en otro lugar.
4. En el smbolo de sistema de DISKPART, escriba select volume n (donde n es el nmero del
volumen que desea montar en otro lugar).
5. En el smbolo de sistema de DISKPART, escriba assign mount=\Ruta (donde Ruta es la ruta
de acceso de la unidad montada que desea asignar al volumen).
Ejercicio 9
Procedimiento para convertir un disco bsico en dinmico con Administracin de discos
Para convertir un disco bsico en dinmico con Administracin de discos:
2. Haga clic con el botn secundario del mouse en el disco que desea convertir, haga clic en
Convertir en disco dinmico y siga las instrucciones.
Procedimiento para revertir un disco dinmico a bsico con Administracin de discos
Para revertir un disco dinmico a bsico con Administracin de discos:
1. Haga copias de seguridad de todos los volmenes del disco dinmico que desea convertir en
bsico.
3. Haga clic con el botn secundario del mouse en los volmenes del disco dinmico que desea
revertir a disco bsico y despus haga clic en la opcin Eliminar volumen de todos los
volmenes del disco.
4. Cuando haya eliminado todos los volmenes del disco, haga clic con el botn secundario del
mouse en el disco y, a continuacin, en Convertir endisco bsico.
5. Vuelva a crear las particiones y restaure los datos al disco bsico.
Ejercicio 10
Procedimiento para convertir un disco bsico en dinmico con DiskPart
Para convertir un disco bsico en dinmico con DiskPart:
2. En el smbolo del sistema de DISKPART, escriba list disk. Anote el nmero del disco que
desea convertir en dinmico.
3. En el smbolo del sistema de DISKPART, escriba select disk y escriba el nmero del disco que
va a convertir.
4. En el smbolo del sistema de DISKPART, escriba convert dynamic.
Crear un volumen simple con Administracin de discos
Para crear un volumen simple con Administracin de discos:
2. Haga clic con el botn secundario del mouse en el espacio sin asignar del disco dinmico en
el que desea crear el volumen simple y despus haga clic en Nuevo volumen.
3. En el Asistente para volumen nuevo, haga clic en Simple y siga las instrucciones.
Crear un volumen simple con DiskPart
Para crear un volumen simple con DiskPart:
2. En el smbolo del sistema de DISKPART, escriba list disk. Anote el nmero del disco en el que
desea crear un volumen simple.
3. En el smbolo del sistema de DISKPART, escriba create volume simple size= n disk= n
(donde size= n es el tamao del disco en megabytes y disk= n es el nmero del disco).
Ejercicio 11
590
Clase terica 38
Administracin de almacenamiento de datos
Una de las tareas de los administradores de sistemas es administrar los datos
que se almacenan en los dispositivos de almacenamiento de la red. Para administrar
el almacenamiento de los datos, se puede comprimir archivos y carpetas para
reducir su tamao y, por consiguiente, la cantidad de espacio que utilizan en las
unidades o en los dispositivos de almacenamiento extrables.
COMPRESIN DE ARCHIVOS
Windows admite dos tipos de compresin: Compresin de archivos NTFS y
Carpeta comprimida (en zip). Para ambos tipos de compresin se utiliza el
Explorador de Windows.
La compresin se utiliza cuando se necesita ms espacio en el disco. La
compresin reduce el tamao de archivos, carpetas y programas y, por
consiguiente, la cantidad de espacio que utilizan en las unidades y en los dispositivos
de almacenamiento extrables. Tambin pueden comprimirse las unidades de disco.
Los archivos que ms se pueden comprimir son los archivos de texto, las hojas de
clculo y los archivos de presentaciones. Los archivos que menos se pueden
comprimir son los archivos de grficos y los de vdeo. No deben comprimirse las
carpetas y los archivos del sistema porque el rendimiento del servidor puede resultar
afectado.
Compresin de archivos NTFS
Los volmenes, las carpetas y los archivos de los volmenes NTFS estn
comprimidos o descomprimidos. El estado de compresin de una carpeta no refleja
necesariamente el de sus archivos. Por ejemplo, es posible descomprimir
selectivamente algunos o todos los archivos de una carpeta comprimida.
Si un comando de una aplicacin o de un sistema operativo solicita acceso a un
archivo comprimido, Windows Server 2003 R2 descomprime automticamente el
archivo. Al cerrar o guardar el archivo, Windows Server 2003 R2 lo vuelve a
comprimir.
NTFS asigna espacio en disco en funcin del tamao del archivo descomprimido.
Si se copia un archivo comprimido en una particin NTFS que no tiene espacio
suficiente, aparecer un mensaje de error que indica que no hay suficiente espacio
en el disco para el archivo.
CARPETA COMPRIMIDA (EN .ZIP)
Los archivos y las carpetas que se comprimen con la caracterstica Carpeta
comprimida (en zip) se pueden comprimir en unidades FAT, FAT32 y NTFS.
Un icono del programa de compresin identifica los archivos y carpetas que se
591
Clase terica 37
A
c
t
i
v
i
d
a
d
comprimen con esta caracterstica. Desde estas carpetas comprimidas se pueden
abrir archivos directamente y tambin algunos programas, sin necesidad de
descomprimirlas. Estos archivos y carpetas comprimidos tambin pueden
moverse a cualquier unidad o carpeta del equipo, de Internet o de la red, y son
compatibles con otros programas y archivos de compresin de archivos.
La compresin de carpetas con Carpeta comprimida (en zip) no afecta al
rendimiento global del equipo. El rendimiento slo resulta afectado cuando se
obtiene acceso a Carpeta comprimida (en zip) para comprimir un archivo.
EL COMANDO COMPACT
Para comprimir archivos y carpetas, adems del Explorador de Windows tambin
se puede utilizar la herramienta de la lnea de comandos compact.
Si se utiliza sin parmetros, compact muestra el estado de compresin del
directorio actual y de los archivos que contiene. Por ejemplo, se puede utilizar la
siguiente lnea de comandos para comprimir todos los archivos y carpetas del
directorio Alumno:
compact /c c:\alumno\*.*
Funcin Parmetro
Comprime los archivos especificados. Se marcan los directorios para que se compriman
los archivos que se agreguen despus.
Descomprime los archivos especificados. Se marcan los directorios para que no se
compriman los archivos que se agreguen despus.
Realiza la operacin especificada en los archivos del directorio especificado y en todos
sus subdirectorios. El valor predeterminado es el directorio actual.
Muestra los archivos que tienen los atributos de ocultos y de sistema. De forma
predeterminada, estos archivos se omiten.
Sigue realizando la operacin especificada aunque se produzca un error. De forma
predeterminada, compact se detiene al encontrar un error.
Fuerza la operacin de compresin en todos los archivos especificados, incluso en
aqullos que ya estn comprimidos. De forma predeterminada, los archivos
comprimidos se omiten.
Proporciona solamente la informacin ms esencial acerca del patrn, archivo o
directorio especificado. Especifica un patrn, archivo o directorio.
/C
/A
/U
/S
/ I
/Q
/F
Definir comando compact Definir Carpeta Comprimida
592
MOVER Y COPIAR ARCHIVOS Y CARPETAS COMPRIMIDOS
El hecho de mover y copiar archivos y carpetas de un volumen de disco puede
cambiar sus estados de compresin, segn el estado de compresin que tengan
y el sistema en que se hayan creado. El estado de compresin de los archivos o
carpetas creados en una particin NTFS lo controlan sus atributos de compresin.
Copiar en una particin NTFS
Al copiar un archivo o una carpeta dentro de una particin NTFS, el archivo o la
carpeta hereda el estado de compresin de la carpeta de destino.
Por ejemplo, si copia un archivo o carpeta comprimida en una carpeta sin
comprimir, el archivo o la carpeta se descomprime automticamente.
Mover en particiones NTFS
Al mover un archivo o una carpeta dentro de una particin NTFS, el archivo o la
carpeta conserva su estado de compresin original.
Por ejemplo, si mueve un archivo o carpeta comprimida a una carpeta sin
comprimir, el archivo sigue estando comprimido.
Copiar entre particiones NTFS
Al copiar un archivo o una carpeta entre particiones NTFS, el archivo o la carpeta
hereda el estado de compresin de la carpeta de destino.
Por ejemplo, si copia un archivo comprimido en una carpeta sin comprimir, el
archivo se descomprime.
Mover entre particiones NTFS
Al mover un archivo o una carpeta entre particiones NTFS, el archivo o la carpeta
hereda el estado de compresin de la carpeta de destino. Dado que Windows
Server 2003 R2 trata los desplazamientos entre particiones como operaciones
de copia y despus de la eliminacin, los archivos heredan el estado de compresin
de la carpeta de destino.
Copiar archivos o carpetas en volmenes NTFS
Si copia un archivo en una carpeta que contiene un archivo con el mismo nombre,
el archivo copiado adopta el atributo de compresin del archivo de destino,
independientemente de cul sea el estado de compresin de la carpeta.
593
Clase terica 37
Mover y copiar archivos entre volmenes FAT16, FAT32 y NTFS
De forma similar a los archivos que se copian entre carpetas en los volmenes
NTFS, los archivos que se mueven o se copian de una carpeta de un volumen
FAT a una carpeta de un volumen NTFS heredan el atributo de compresin de la
carpeta de destino. Dado que los volmenes NTFS son los nicos que admiten
compresin, los archivos comprimidos que se mueven o se copian desde un
volumen NTFS a un volumen FAT se descomprimen automticamente.
PRCTICAS RECOMENDADAS PA R A COMPRIMIR ARCHIVOS O
CARPETA S
Dado que algunos tipos de archivo se pueden comprimir ms que otros, se
debe determinar qu tipos de archivo se van a comprimir en funcin del tamao
que prevea que va a tener el archivo comprimido.
Por ejemplo, si se tiene en cuenta que los archivos .bmp de Windows contienen
ms datos redundantes que los archivos ejecutables de las aplicaciones, el
primer tipo de archivos se puede comprimir ms que los archivos .exe. A menudo,
los mapas de bits pueden comprimirse hasta ocupar menos del 50 por ciento
de su tamao original, mientras que los archivos de aplicacin rara vez pueden
comprimirse para que ocupen menos del 75 por ciento del tamao original.
No se deben comprimir archivos ya comprimidos ni archivos de sistema.
Windows Server 2003 R2 intentar comprimir el archivo an ms, lo que supone
una prdida de tiempo del sistema sin lograr ms espacio de disco.
Se recomienda comprimir datos estticos, en lugar de datos que cambian con
frecuencia. La compresin y descompresin de archivos sobrecarga el sistema.
Si se opta por comprimir los archivos a los que se tiene acceso con poca
frecuencia, se reduce la cantidad de tiempo del sistema que se dedica a las
actividades de compresin y descompresin.
CIFRADO EFS
Una persona que desee realizar un ataque puede lograr acceso a un sistema
compartido iniciando otro sistema operativo. Tambin puede robar un equipo,
quitarle el disco, instalarlo en otro sistema y lograr acceso a los archivos
almacenados. Sin embargo, si la persona que realiza el ataque no tiene la clave
Los archivos
comprimidos que se
copian o se mueven
desde un volumen NTFS
a un disquete se
descomprimen
automticamente.
Nota
A
c
t
i
v
i
d
a
d
Que tipos de datos se recomienda comprimir, estticos o dinmicos? Justifique
594
para descifrarlos, los archivos que se cifran con el Sistema de archivos de cifrado
(EFS) aparecen como caracteres ininteligibles.
EFS proporciona cifrado a nivel de archivo a los archivos creados en volmenes
NTFS. Con EFS, se puede garantizar que los datos confidenciales estn ms
seguros y que ningn otro usuario puede leerlos ni descifrarlos con facilidad.
El cifrado y descifrado son las tareas principales de EFS. La configuracin
predeterminada de EFS no requiere ningn esfuerzo administrativo (los usuarios
pueden empezar a cifrar archivos de inmediato). EFS genera automticamente
un par de claves de cifrado para cada usuario, siempre que no exista ninguna.
Los usuarios tienen a su disposicin varias opciones de cifrado y de descifrado.
Pueden cifrar y descifrar archivos con el Explorador de Windows, con el comando
cipher o con el men contextual que aparece al hacer clic con el botn secundario
del mouse en un archivo o en una carpeta.
Las carpetas marcadas para cifrar no estn realmente cifradas. Slo lo estn
los archivos de dichas carpetas, as como los archivos que sean creados o que
se muevan a dichas carpetas.
Con EFS, los usuarios tienen el mismo acceso a los archivos cifrados que a los
archivos sin cifrar. Por consiguiente, si un usuario tiene acceso a un archivo
cifrado que est almacenado en disco, puede leer su contenido de forma normal.
Si el usuario vuelve a guardar el archivo en disco, EFS guarda los cambios de
forma cifrada.
Usar EFS para descifrar datos
Para descifrar un archivo, se debe desactivar la casilla de verificacin del cifrado
del cuadro de dilogo Propiedades del archivo. Una vez descifrado, el archivo
permanece en ese estado hasta que se lo vuelva a cifrar. Los archivos no se
El cifrado con EFS hace que los datos sean ininteligibles si no se dispone de la clave para descifrarlos
Usar EFS para cifrar los datos
Los usuarios pueden cifrar un archivo o carpeta configuracin la propiedad de cifrado.
Todos los archivos y carpetas creados o agregados a una carpeta cifrada tambin se cifran
automticamente.
Usar EFS para tener acceso a datos cifrados
Cuando los usuarios tienen acceso a un archivo cifrado, pueden leerlo de forma normal.
Cuando los usuarios cierran el archivo, EFS lo vuelve a cibrar.
Usar EFS para descifrar daros
El archivo permanece descifrado hasta que se vuelva a cifrar
El comando cipher se utiliza para mostar o modificar el cifrado de carpetas y archivos en volmenes NFTS
595
Clase terica 37
Defina EFS Defina cifrado
vuelven a cifrar de forma automtica, aunque se encuentre en un directorio
marcado como cifrado.
Los usuarios pueden descifrar un archivo desactivando la casilla de verificacin
del cifrado del cuadro de dilogo Propiedades del archivo o utilizando el comando
cipher.
El comando cipher se utiliza para mostrar o modificar el cifrado de carpetas y
archivos en volmenes NTFS. Si se utiliza sin parmetros, cipher muestra el
estado de cifrado de la carpeta actual y de los archivos que contiene.
Mover y copiar carpetas y archivos cifrados
Todos los archivos y carpetas creados en una carpeta marcada para cifrado se
cifran automticamente. El desplazamiento o la copia de archivos y carpetas
cifrados pueden cambiar el estado de cifrado del archivo o de la carpeta,
dependiendo de la situacin.
Si un archivo se mueve de una carpeta no cifrada a otra cifrada, el archivo
permanece cifrado.
Si se copia un archivo no cifrado en una carpeta cifrada, ste quedar cifrado. Si
se copia un archivo cifrado de una carpeta cifrada en una no cifrada, el archivo
permanece cifrado.
Si se copia un archivo cifrado de un volumen NTFS en un volumen FAT o FAT32,
el estado del archivo pasa a no cifrado. Si se copia un archivo de un volumen FAT
en una carpeta cifrada de un volumen NTFS, el archivo pasa a estar cifrado.
CUOTAS DE DISCO
Las cuotas de disco se utilizan para administrar los recursos del servidor mediante
la limitacin del espacio de almacenamiento de los usuarios. Tambin se pueden
utilizar las cuotas de disco para hacer un seguimiento del uso del disco por parte
de usuarios o grupos.
Configuracin de las cuotas de disco
Se puede utilizar la configuracin de las cuotas de disco para impedir que los
usuarios escriban ms datos en un volumen de disco despus de haber superado
A
c
t
i
v
i
d
a
d
Si se cifra una carpeta,
tambin se cifrarn todos
los archivos y las
subcarpetas que se
agreguen a ella en el
futuro.
Nota
596
el lmite de cuota que tienen asignado.
Si no se desea denegar a los usuarios el acceso a un volumen, pero s hacer un
seguimiento del uso que hace cada uno de ellos del espacio de disco, se pueden
habilitar cuotas sin limitar el espacio de disco. Tambin se puede especificar que
se registre un suceso cuando los usuarios sobrepasen su lmite de cuota o su
nivel de advertencia de cuota.
Se pueden habilitar cuotas en volmenes locales, volmenes de red y unidades
extrables, siempre que se los haya formateado con el sistema de archivos NTFS.
Adems, las unidades extrables y los volmenes de red deben compartirse,
estos ltimos desde el directorio raz del volumen.
No se comparten los archivos, sino la administracin. Si se habilitan cuotas de
disco en un volumen, a partir de ese momento se realiza automticamente un
seguimiento del uso del volumen que realizan todos los usuarios.
No es posible utilizar la compresin de archivos para evitar que los usuarios
excedan sus lmites de cuota, ya que el seguimiento de los archivos comprimidos
se realiza en funcin de su tamao sin comprimir. Por ejemplo, en el caso de un
archivo de 50 megabytes (MB) que se reduce a 40 MB despus de la compresin,
Windows utiliza el tamao original del archivo para asignar el lmite de cuota.
La habilitacin de cuotas de disco requiere una cantidad mnima de sobrecarga
de la CPU y la nica administracin que precisa es la configuracin inicial.
Implementaciones locales y remotas de cuotas de disco
Se pueden habilitar cuotas de disco en equipos locales y remotos. En los equipos
locales, se deben utilizar las cuotas para evitar que los usuarios utilicen demasiado
espacio de disco en una carpeta compartida del equipo y para limitar la cantidad
de espacio de que disponen los usuarios que inician sus sesiones en el equipo
local.
En los equipos remotos, las cuotas pueden asegurar que el espacio de disco de
los servidores no lo consumen entre uno o pocos usuarios, y que dichos usuarios
son responsables del uso del espacio de disco compartido utilizando el espacio
de disco solamente para los archivos necesarios.
Establecer cuotas en volmenes remotos
Se pueden establecer cuotas en volmenes remotos asignndolos con el
Explorador
de Windows o Mi PC. Tambin se pueden administrar volmenes NTFS en
equipos remotos con Windows 2000 y Windows Server 2003 R2. Los volmenes
deben estar
formateados con el sistema de archivos NTFS y compartirse desde la carpeta
raz del volumen.
Clase prctica 38
Comprimir archivos o carpetas de una unidad NTFS
Para utilizar la compresin de archivos NTFS para comprimir archivos o carpetas en unidades
NTFS:
1. En el Explorador de Windows, haga clic con el botn secundario del mouse
(ratn) en el archivo o carpeta que desea comprimir y haga clic
en Propiedades.
2. En el cuadro de dilogo Propiedades, en la ficha General, haga clic en Opciones
avanzadas, active la casilla de verificacin Comprimir contenido para ahorrar espacio en
disco y haga clic en Aceptar.
3. En el cuadro de dilogo Propiedades, haga clic en Aceptar.
4. Si aparece el cuadro de dilogo Confirmar cambios de atributos, haga clic en Aceptar.
Comprimir archivos o carpetas con Carpeta comprimida (en zip)
Para comprimir archivos o carpetas con Carpeta comprimida (en zip):
1. En el Explorador de Windows, en el panel de detalles, haga clic con el botn secundario del
mouse en cualquier rea vaca, haga clic en Nuevo y, despus, en Carpeta comprimida (en
zip).
2. Mueva o copie los archivos a la carpeta nueva para comprimirlos.
Comprimir archivos o carpetas con la herramienta de la lnea de comandos compact
Para comprimir archivos, carpetas o directorios con el comando compact:
2. Escriba compact /c c:\P R U E B A\*.* y, a continuacin, presione ENTRAR.
Ejercicio 1
Mediante la realizacin de esta prctica usted comprender la funcin y correcta implementacin de
tipos de almacenamiento ya sea en discos internos o externos a demas del manejo del sistema de
compresin y cifrado de datos propio de Windows 2003 Server R2
Administracin de almacenamiento de datos 598
Cifrar archivos o carpetas con el Explorador de Windows
Para cifrar un archivo o una carpeta con el Explorador de Windows:
1. En el Explorador de Windows, haga clic con el botn secundario del mouse en el archivo o
carpeta que desea cifrar y haga clic en Propiedades.
2. En el cuadro de dilogo Propiedades, en la ficha General, haga clic en Opciones
avanzadas.
3. En el cuadro de dilogo Atributos avanzados, active la casilla de verificacin Cifrar
contenido para proteger datos.
4. El texto del archivo cifrado de la carpeta cambia de color, lo que indica el estado cifrado del
archivo.
Cifrar archivos o carpetas sin conexin con el Explorador de Windows
Para cifrar un archivo o una carpeta sin conexin con el Explorador de Windows:
1. En el Explorador de Windows, en el men Herramientas, haga clic en Opciones de carpeta.
2. En la ficha Archivos sin conexin, active la casilla de verificacin Habilitar archivos sin
conexin y, a continuacin, active la casilla Cifrar los archivos sin conexin para proteger
los datos.
Cifrar archivos o carpetas con el comando cipher
2. Escriba el siguiente comando para cifrar una carpeta nombredearchivo, sus subdirectorios y
sus archivos:
cipher /e /a /s:\Secret
Ejercicio 2
Ejercicio 3
Habilitar cuotas de disco con el Explorador de Windows
Para habilitar cuotas de disco:
1. En el Explorador de Windows, haga clic con el botn secundario del mouse en el volumen de
disco en el que desea habilitar cuotas y haga clicen Propiedades.
2. En el cuadro de dilogo Propiedades, en la ficha Cuota, active la casilla de verificacin
Habilitar la administracin de cuota.
3. Seleccione una o varias de las siguientes opciones:
a. Denegar espacio de disco a usuarios que excedan el lmite de cuota
b. Limitar espacio de disco a _____
c. Registrar suceso cuando un usuario exceda su lmite de cuota
d. Registrar suceso cuando un usuario exceda su nivel de advertencia
Deshabilitar cuotas de disco con el Explorador de Windows
Para deshabilitar cuotas de disco:
disco en el que desea deshabilitar cuotas y haga clic en Propiedades.
2. En el cuadro de dilogo Propiedades, en la ficha Cuota, desactive la casilla de verificacin
Habilitar la administracin de cuota.
Agregar una nueva entrada de cuota de disco
Para agregar una nueva entrada de cuota de disco:
disco en el que desea agregar una nueva entrada de cuota de disco y haga clic en Propiedades.
2. En el cuadro de dilogo Propiedades, en la ficha Cuota, haga clic
en Valores de cuota.
3. En la ventana Entradas de cuota, en el men Cuota, haga clic en Nueva entrada de
cuota.
4. En el cuadro de dilogo Seleccionar Usuarios, en el cuadro de texto Escriba los nombres
de objeto que desea seleccionar, escriba el nombre de dominio o de grupo de trabajo,
seguido de una barra inversa (\) y del nombre de usuario al que desea imponer cuotas, y haga
clic en Aceptar.
5. En el cuadro de dilogo Agregar nueva entrada de cuota, especifique una de las siguientes
opciones:
a. No limitar uso de disco
b. Limitar espacio de disco a
Quitar una entrada de cuota de disco
Para quitar entradas de cuota de disco:
disco en el que desea agregar nuevas entradas de cuota de disco y haga clic en Propiedades.
2. En el cuadro de dilogo Propiedades, en la ficha Cuota, haga clic en Valores de cuota.
3. En la ventana Entradas de cuota, haga clic en las entradas de los usuarios que desea
eliminar y, a continuacin, en el men Cuota, haga clic en Eliminar entrada de cuota.
4. Si aparece el cuadro de dilogo Cuota de disco, haga clic en S, haga clic en los archivos o
las carpetas sobre los que desea realizar alguna accin y, a continuacin, en uno de los
siguientes botones: Eliminar, Tomar posesin, Mover.
Ordenar entradas de cuota
Para ordenar entradas de cuota:
1. En el Explorador de Windows, haga clic con el botn secundario del mouse en el volumen en
el que desea ordenar las entradas de cuota y haga clic en Propiedades.
2. En el cuadro de dilogo Propiedades, en la ficha Cuota, haga clic en Valores de cuota.
3. En la ventana Entradas de cuota, en el men Ver, elija Organizar elementos y haga clic en
una de las opciones siguientes:
a. por carpeta
Administracin de almacenamiento de datos 600
b. por nombre de usuario
c. por nombre de inicio de sesin
d. por estado
e. por cantidad utilizada
f. por lmite de cuota
g. por nivel de advertencia
h. por porcentaje usado
Exportar una configuracin de cuota a otro volumen
Para exportar una configuracin de cuota a otro volumen.
1. En el Explorador de Windows, haga clic con el botn secundario del mouse en el volumen del
que desea exportar la configuracin de cuota y haga clic en Propiedades.
2. En el cuadro de dilogo Propiedades, en la ficha Cuota, asegrese de activar la casilla de
verificacin Habilitar la administracin de cuota y haga clic en Valores de cuota. Haga clic
en la configuracin de cuota del usuario que desea exportar.
3. En el men Cuota, haga clic en Exportar. En el cuadro de dilogo Exportar valores de
cuota, especifique una carpeta de destino, escriba el nombre de archivo de la configuracin
guardada y haga clic en Guardar.
Importar una configuracin de cuota a otro volumen
Para importar una configuracin de cuota de otro volumen.
1. En el Explorador de Windows, haga clic con el botn secundario del mouse en el volumen al
que desea importar la configuracin de cuota y haga clic en Propiedades.
2. En el cuadro de dilogo Propiedades, en la ficha Cuota, haga clic en Valores de cuota y,
seguidamente, en la ventana Entradas de cuota, en el men Cuota, haga clic en Importar.
3. En el cuadro de dilogo Importar valores de cuota, seleccione el nombre del archivo que
contenga la configuracin de cuota que desea importar y haga clic en Abrir.
4. Al importar la configuracin de cuota, aparece un cuadro de dilogo si los valores importados
van a sobrescribir los valores actuales del usuario de un volumen. Especifique si desea sobrescribir
la configuracin de usuario existente.
Ejercicio 4
Configurar instantneas en el servidor
Para configurar instantneas:
1. En Administracin de equipos (Local), en el rbol de la consola, haga clic con el botn
Ejercicio 5
secundario del mouse en Carpetas compartidas, vaya a Todas las tareas y, a continuacin,
haga clic en Configurar instantneas.
2. Seleccione el volumen en el que desea habilitar las instantneas de las carpetas compartidas,
haga clic en Habilitar y, a continuacin, haga clic en S cuando se le pida habilitar las
instantneas.
Instalar el software cliente para instantneas
Para instalar el software cliente para instantneas en un equipo cliente:
1. En la lnea de comandos, escriba
\windows\system32\clients\twclient\x86\twcli32.msi y presione ENTRAR.
2. En Instalar Clientes de versiones previas, haga clic en Finalizar.
Procedimiento para ver versiones previas
Para ver la versin anterior de un archivo o carpeta:
1. En el men Inicio, haga clic en Ejecutar.
2. En el cuadro de dilogo Ejecutar, escriba \\NombreEquipo\Share (donde NombreEquipo es
el nombre del servidor en el que se encuentran las instantneas).
3. Haga clic con el botn secundario del mouse en cualquier archivo o carpeta y, a continuacin,
haga clic en Propiedades.
4. Haga clic en la ficha Versiones previas.
Programar instantneas
Para crear una programacin de instantneas:
1. En Administracin de equipos, en el rbol de la consola, haga clic con el botn secundario
del mouse en Carpetas compartidas, vaya a Todas las tareas y, a continuacin, haga clic
en Configurar instantneas.
2. En Seleccione un volumen, haga clic en el volumen para el que desea crear una
programacin y, a continuacin, haga clic en Configuracin.
3. En el cuadro de dilogo Configuracin, haga clic en Programacin y, a continuacin,
modifique la configuracin como sea necesario.
Restaurar una versin anterior
Para restaurar instantneas:
1. Desde el Explorador de Windows, localice el archivo o la carpeta que desea restaurar, haga
clic con el botn secundario del mouse en el icono y, a continuacin, haga clic en Propiedades.
2. En el cuadro de dilogo Propiedades, en la ficha Versiones previas, seleccione la versin
que desea restaurar y haga clic en Restaurar.
602 Administracin del sistema de respaldo de datos
Clase terica 39
Administracin del sistema de respaldo de datos
Un caso de error informtico es una prdida repentina e importante de datos. El mundo
depende hoy ms que nunca de sus datos fundamentales. Por ello, las empresas
refuerzan cada vez ms las polticas de proteccin de sus activos de tecnologa de la
informacin contra la prdida de datos y los errores de servidor.
La recuperacin en caso de error es el proceso por el cual se restablecen las
operaciones de un servidor normales tan rpido como sea posible, una vez concluido
el error. Lo ideal es poder usar los mtodos de recuperacin en caso de error para
restaurar los datos y los servicios al estado original en que se encontraban antes de
producirse el error.
Consideraciones aplicables a la recuperacin de datos en caso de error
Para cada sistema operativo y aplicacin presente en un entorno, se deben considerar
las siguientes preguntas relacionadas con la recuperacin en caso de error:
Consideraciones a tener en cuenta.
Mtodo de
recuperacin
Cules son los posibles casos reales de error?
Qu datos son fundamentales?
Con qu frecuencia se deben realizar copias de seguridad?
Cunto tiempo es preciso guardar las copias de seguridad antes de volver a
utilizar el medio?
En caso de error, cunto tiempo lleva restaurar la copia de seguridad ms
reciente? Resulta aceptable el periodo de tiempo perdido?
Dnde se almacenan las copias de seguridad? Tiene acceso a ellas el personal
adecuado?
Si el administrador de sistemas responsable no est presente, hay alguien ms que
conozca las contraseas adecuadas y los procedimientos para realizar copias de
seguridad y, si fuese necesario, restaurar el sistema?
Planificacin
de
recuperacin
Cuntos, de qu tipo y cules son los componentes independientes del equipo,
por ejemplo, discos rgidos, controladores, procesadores y RAM?
Cuntos y de qu tipo son, y dnde se encuentran los componentes externos
como enrutadores, puentes, conmutadores, cables y conectores?
Son redundantes el hardware y los servicios fundamentales?
Hardware
En qu medio, por ejemplo, cinta, disco compacto o disco, se almacenar la copia
de seguridad?
Se llevarn a cabo las copias de seguridad en lnea mientras los usuarios
trabajan, o se realizarn sin conexin?
Se realizarn las copias de seguridad manualmente o las programar para que se
lleven a cabo de forma automtica?
Cunto tiempo es preciso guardar las copias de seguridad antes de volver a
utilizar el medio?
Son redundantes los datos fundamentales? Con qu frecuencia se actualizan estos
datos?
Restauracin
de
datos
Si las copias de seguridad se realizan de forma automtica, cmo se comprobar
que se han llevado a cabo correctamente?
Cmo se garantizar que las copias de seguridad puedan utilizarse?
Comprobaciones
603
Clase terica 39
A
c
t
i
v
i
d
a
d
Crear un plan de recuperacin en caso de error para realizar las operaciones
de copia de seguridad rutinarias
Comprobar los archivos de copia de seguridad y su planificacin
Conservar dos conjuntos de archivos de copia de seguridad: Uno en la
empresa y otro duera de ella, por motivos de seguridad
Crear una copia de seguridad de los datos de Estado del sistema
Instalar la consola de recuperacin como opcin de inicio
Cobservar el disco compacto de instalacin en un lugar que pueda localizar
fcilmente.
COPIA DE SEGURIDAD DE LOS DATO S
La copia de seguridad es un proceso nico que copia archivos y carpetas de una
ubicacin a otra. Realizar copias de seguridad de forma regular en los discos
rgidos del equipo cliente y del servidor previene la prdida de datos provocada
por errores de la unidad de disco, interrupciones del suministro elctrico,
infecciones por virus y otros incidentes similares. Si tiene lugar una prdida de
datos y ha realizado copias de seguridad basadas en una cuidadosa planificacin,
podr restaurar los datos perdidos, ya se trate de un solo archivo o del disco duro
al completo.
FRECUENCIA DE LAS COPIAS DE SEGURIDAD
La frecuencia de la realizacin de copias de seguridad depende de:
Lo importante que son los datos para la organizacin. Se realizan copias
de seguridad de los datos fundamentales con ms frecuencia que de los
datos de menor importancia.
La frecuencia con la que cambian los datos. Por ejemplo, si los usuarios
crean o modifican informes nicamente los viernes, bastar con una sola
copia de seguridad de los archivos de los informes a la semana.
Defina Copia de seguridad y sus aplicaciones.
Tipos de datos de los que se realizan copias de seguridad
Los datos de estado del sistema son grupos de datos que definen la configuracin
del sistema operativo en un servidor. Si ocurriesen cambios accidentales o se
perdiesen los datos de alguno de los componentes que configuran los datos de
estado del sistema, podran ser restaurados mediante una copia de seguridad.
Esta accin restaura la configuracin del equipo a un estado correcto anterior
conocido.
Los datos fundamentales son aquellos datos que una organizacin necesita para
poder funcionar. Si se pierden estos datos que, por costumbre suelen
almacenarse en un servidor, la organizacin no puede seguir desarrollando el
negocio. Si los archivos se pierden accidentalmente o se daan, se pueden utilizar
los ltimos archivos de copia de seguridad correcta conocida para restaurar los
datos.
Se debe contar con ciertos permisos o derechos de usuario para poder realizar
copias de seguridad y restaurar archivos y carpetas. Un administrador, un
operador de copia de seguridad o un operador de servidor en un grupo local,
podrn realizar copias de seguridad y restaurar cualquier archivo o carpeta en el
servidor local al que se aplique el grupo local al que pertenece.
Permisos y derechos de usuario
Para poder realizar copias de seguridad y restaurar datos satisfactoriamente en
un equipo con Windows Server 2003, se debe contar con los permisos y derechos
de usuario adecuados, tal y como se describen en la siguiente lista:
Todos los usuarios pueden realizar copias de seguridad de sus propios
archivos y carpetas. Tambin pueden realizar copias de seguridad de los
archivos para los que tienen Permiso de lectura.
Los miembros de los grupos de administradores, operadores de copia de
seguridad y operadores de servidor pueden realizar copias de seguridad
de todos los archivos, independientemente de los permisos asignados.
Los miembros de estos grupos tienen los siguientes derechos de usuario
predeterminados: Copia de seguridad de archivos y directorios, as como
Modificar y Control total.
Restricciones de cuota de disco
Se debe estar seguro de que no hay restricciones de cuota de disco que puedan
limitar el acceso al disco rgido y, de esta forma, impedir que se realicen copias
de seguridad de los datos.
Restringir acceso
Se puede restringir el acceso a los archivos de copia de seguridad seleccionando
Se puede comprobar si
existe alguna restriccin
de cuota de disco
haciendo clic con el
botn secundario del
mouse en el disco en el
que desea guardar los
datos, haciendo clic en
Propiedades y, despus,
en la solapa Cuota.
Nota
605
Clase terica 39
Permitir slo al propietario y al administrador el acceso a los datos de copia de
seguridad en el cuadro de dilogo Informacin sobre el trabajo de copia de
seguridad.
Al seleccionar esta opcin, nicamente el administrador o la persona que cre el
archivo de copia de seguridad podr restaurar los archivos y carpetas.
D ATOS DE ESTADO DEL SISTEMA
El Estado del sistema es una coleccin de datos especficos del sistema que el
sistema operativo mantiene y que deben incluirse en una copia de seguridad
como una unidad. El equipo usa estos archivos del sistema para cargar, configurar
y ejecutar el sistema operativo.
Cundo se incluye este componente en el
Estado del sistema
Registro
Archivos de inicio, incluyendo los archivos del sistema
Base de datos del Servivio de Certificate Server
Servicio de directorios Active Directory
Directorio SYSVOL
Informacin de servivio de clster
Metadirectorio IIS
Archivos del sistema en Proteccin de archivos de
Windows
Siempre
Siempre
Si es un servidor de Servicios de Certificate
Server
Si es un dominio
Si es un controlador de dominio
Si est dentro de un clster
Si est instalado
Siempre
Componente
Copia de seguridad de datos de Estado del sistema
Si se realizan copias de seguridad o restauracin de los datos de Estado del
sistema, todos los datos de Estado del sistema relevantes del equipo se guardarn
en la copia de seguridad o se restaurarn. No es posible realizar copias de
seguridad o restaurar componentes de los datos de Estado del sistema de forma
individual, debido a las dependencias entre los componentes de Estado del
A
c
t
i
v
i
d
a
d
Defina Estado del Sistema. Desarrolle la respuesta.
sistema. Sin embargo, es posible restaurar datos de Estado del sistema en una
ubicacin alternativa.
Si esto se realiza, nicamente se restaurarn en una ubicacin alternativa los
archivos de registro, los del directorio SYSVOL, los de informacin de la base de
datos del clster y los de inicio del sistema. Active Directory, la base de datos del
Servicio de Certificate Server y la base de datos de registro de clase COM+ no
se restaurarn al restaurar los datos de Estado del sistema.
LA UTILIDAD DE COPIA DE SEGURIDAD
Copia de seguridad, la Utilidad de copia de seguridad de Windows Server 2003
R2, est diseada para proteger los datos frente a prdidas accidentales debidas
a un fallo en el hardware o en los medios de almacenamiento. Es la versin de
GUI, de la Utilidad de copia de seguridad.
Se debe utilizar Copia de seguridad para:
Realizar copias de seguridad de archivos y carpetas.
Realizar copias de seguridad de datos de Estado del sistema.
Programar un trabajo de copia de seguridad.
Instantneas de volmenes
Se debe utilizar Copia de seguridad para crear copias de seguridad de
instantneas de volmenes y copias exactas de los archivos, incluyendo todos
los archivos abiertos. Por ejemplo, es posible realizar copias de seguridad de las
bases de datos que nicamente se utilizan abiertas y de los archivos que se
abren por la actividad del operador o del sistema en el transcurso de una copia
de seguridad de la instantnea de un volumen. De esta forma, los archivos que
hayan cambiado durante el proceso de la copia de seguridad tambin se copiarn
correctamente.
Las copias de seguridad de instantneas de volmenes garantizan que:
Las aplicaciones pueden seguir escribiendo datos en el volumen durante
la copia de seguridad.
Los archivos abiertos no se omiten durante la copia de seguridad.
Las copias de seguridad se realizan en cualquier momento sin necesidad
de bloquear a los usuarios.
Diccionario
GUI
G raphical U ser
Grfica de Usuario
Es posible utilizar el
Asistente para copia de
seguridad para realizar
copias de seguridad de
todo el contenido de un
servidor, de parte de
dicho contenido o de los
datos de Estado del
sistema.
Nota
Atencin
Algunas aplicaciones administran la coherencia del almacenamiento de forma distinta mientras los archivos
estn abiertos; esto puede afectar a la coherencia de los archivos en la copia de seguridad.
607
Clase terica 39
Enumere tipos de copia de seguridad. Defina Instantnea.
La copia de instantnea de volumen se activa de forma predeterminada. Si
desactiva esta opcin, es probable que se omitan los archivos que estn abiertos
o en uso durante la copia de seguridad. Se recomienda que no desactivar esta
opcin.
TIPOS DE COPIAS DE SEGURIDAD
La Utilidad de copia de seguridad incluye cinco tipos de copias de seguridad que
especifican qu datos se copian; por ejemplo, se pueden copiar slo los archivos
que hayan cambiado desde la ltima copia de seguridad.
Ciertos tipos de copias de seguridad utilizan un atributo de archivo que indica que
un archivo se ha modificado desde la ltima copia de seguridad realizada. Cuando
se modifica un archivo, se establece el atributo del archivo; y cuando se realiza la
copia de seguridad, el atributo del archivo se borra o se restablece.
Existen cinco tipos de copias de seguridad: normal, de copia, diferencial,
incremental y diaria. Cada uno de estos tipos de copias de seguridad est destinado
a categoras especficas de archivos para los que se puede realizar la copia, por
ejemplo, archivos que han cambiado desde la ltima copia de seguridad o todos
los archivos de una carpeta determinada.
Copia de seguridad: Normal
Realiza copias de seguridad de todos los archivos seleccionados,
independientemente de la configuracin del atributo de archivo, y borra el atributo
de archivo de todos los archivos de los que se realizan copias de seguridad. Si el
archivo se modifica ms adelante, se establecer el atributo del archivo y se
indicar que es necesario volver a hacer una
copia de seguridad del mismo.
Se debe realizar una copia de seguridad normal la primera vez que se cree un
conjunto de copias de seguridad, para establecer la lnea de base en trabajos de
copia de seguridad en el futuro.
Copia de seguridad: De Copia
Idntica a la copia de seguridad normal, con la diferencia de que no cambia el
atributo del archivo y permite realizar otros tipos de copias de seguridad en los
A
c
t
i
v
i
d
a
d
archivos ms adelante.
Se recomienda utilizar este tipo de copia para crear una cinta o disco de copia
de seguridad adicional sin tocar los atributos del archivo.
Copia de seguridad: Diferencial
Crea copias de seguridad de los archivos que se han modificado desde la ltima
copia de seguridad normal. La presencia del atributo de archivo indica que el
archivo se ha modificado y que nicamente se han realizado copias de seguridad
de los archivos con este atributo. No obstante, el atributo de archivo de los archivos
no se modifica. Con ello se permite realizar otros tipos de copias de seguridad en
los archivos ms adelante.
Como la copia de seguridad diferencial no borra los atributos de archivo, si se
realiza dos copias de seguridad diferenciales en un archivo, todo el archivo se
guardar en la copia de seguridad cada vez.
Las copias de seguridad diferenciales utilizan ms medios que las copias de
seguridad incrementales, pero al restaurar el disco, nicamente se necesitar el
medio que contiene los archivos de la copia de seguridad normal y la copia de
seguridad diferencial ms reciente.
Copia de seguridad: Incremental
Est diseado para crear copias de seguridad de archivos que han sufrido
modificaciones desde la copia de seguridad normal o incremental ms reciente.
La presencia del atributo de archivo indica que el archivo se ha modificado y que
nicamente se ha realizado copia
de seguridad de los archivos con este atributo. Cuando se realiza la copia de
seguridad de un archivo, se borra su atributo.
Como la copia de seguridad incremental borra los atributos de archivo, si se
realizan dos copias de seguridad incrementales seguidas en un archivo, ste no
se incluir en la segunda copia de seguridad.
Las copias de seguridad incrementales utilizan la mnima cantidad de medios y
tambin ahorran tiempo, ya que no copian todos los archivos que han sufrido
modificaciones desde la ltima copia de seguridad completa. Sin embargo, no
se recomienda restaurar
un disco, ya que se debera cambiar los medios cada da de la semana.
Copia de seguridad: Diaria
Realiza copias de seguridad utilizando la fecha de modificacin del archivo mismo
y pasa por alto el estado actual del atributo de archivo. Si se ha modificado un
archivo el mismo da de la copia de seguridad, el archivo se guardar en la copia.
Este tipo de copia no modifica los atributos del archivo.
609
Clase terica 39
Defina el comando ntbackup Defina Copia de seguridad incremental
Accin realizada
Normal o Total
De copia
Diferencial
Incremental
Diaria
Archivos y carpetas seleccionados
Archivos y carpetas seleccionados
Archivos y carpetas seleccionados que hayan
cambiado desde la ltima copia de seguridad normal
o incremental
Archivos o carpetas seleccionados que hayan
cambiado desde la ltima copia de seguridad.
Archivos y carpetas que hayan cambiado a lo largo
del da.
Tipo Borrar el atributo
del archivo
S
N o
N o
S
N o
A
c
t
i
v
i
d
a
d
Copia de seguridad con ntbackup
Adems de la aplicacin Copia de seguridad, Windows Server 2003 R2
proporciona una herramienta de la lnea de comandos, ntbackup, que se puede
utilizar para realizar copias de seguridad y restaurar datos.
Se pueden realizar operaciones de copia de seguridad desde el smbolo del sistema
o desde un archivo por lotes utilizando el comando ntbackup, seguido de distintos
parmetros.
Existen dos limitaciones importantes en el uso de los archivos por lotes para
realizar copias de seguridad de los datos:
Si se utiliza el comando ntbackup, slo se pueden realizar copias de
seguridad de carpetas completas. No pueden designar archivos de forma
individual para la copia de seguridad. No obstante, se puede designar un
archivo de seleccin de copia de seguridad (archivo .bks) desde la lnea de
comandos que contenga una lista de los archivos que se desee incluir en la
copia de seguridad. Es necesario utilizar la versin GUI de la utilidad Copia
de seguridad para crear los archivos de seleccin de copia de seguridad.
El comando ntbackup no admite el uso de caracteres comodn. Por ejemplo,
si se escribe *.txt no se conseguir la copia de seguridad de los archivos
con extensin .txt.
RECUPERACIN AUTOMTICA DEL SISTEMA
La ASR, de la utilidad Copia de seguridad, ayuda a recuperar un sistema que no
se inicia. ASR contiene dos partes: copia de seguridad y recuperacin. ASR
tambin crea un disquete que se utiliza para almacenar las configuraciones del
disco durante el procedimiento de restauracin ASR.
Normalmente, despus de instalar o actualizar a Windows Server 2003 R2, se
debern crear un conjunto de discos ASR. El proceso ASR permite restaurar una
instalacin de Windows Server 2003 R2 a las condiciones del sistema operativo
existente en el momento en que cre el conjunto de copias de seguridad ASR.
El Asistente para copia de seguridad ASR realiza copias de seguridad de los
datos de Estado del sistema, de los servicios del sistema y de todos los discos
relacionados con los componentes del sistema operativo, pero no realiza copias
de seguridad de archivos de datos. Este asistente crea un disquete que contiene
informacin relativa a la copia de seguridad y a las configuraciones del disco e
incluye volmenes bsicos y dinmicos, as como el procedimiento de
restauracin.
INSTANTNEAS
Una instantnea es una funcin de Windows Server 2003 R2, que proporciona
copias momentneas de slo lectura de archivos en redes compartidas. Con las
instantneas de las carpetas compartidas es posible ver el contenido de las
carpetas de red tal y como eran en un momento dado. Para ver instantneas de
carpetas compartidas se debe instalar el software cliente.
Se pueden utilizar instantneas en los tres casos siguientes:
Recuperar archivos eliminados accidentalmente: Este caso es el equivalente
en red de un proceso de copia de seguridad local y restauracin a corto
plazo. Si un usuario elimina un archivo accidentalmente, es posible abrir
una versin anterior del archivo y copiarla en una ubicacin segura.
Recuperar archivos sobrescritos accidentalmente: Las instantneas de
carpetas compartidas pueden ser de gran utilidad en entornos en los que
se suelen crear archivos nuevos abriendo un archivo, realizando
modificaciones y guardndolo con un nombre distinto. Por ejemplo, es
posible abrir una hoja de clculo d, realizar modificaciones y, a continuacin,
guardar la hoja de clculo con un nombre distinto para crear uno nuevo. El
problema surge cuando se comete el error de no guardar el archivo con un
nombre distinto, ya que lo que se consigue es borrar el trabajo original. Se
pueden utilizar instantneas de carpetas compartidas para recuperar la
versin anterior del archivo.
Permitir la comprobacin de la versin mientras se trabaja con los
documentos: Se pueden utilizar las instantneas de carpetas compartidas
durante el ciclo normal de trabajo para comprobar las diferencias existentes
entre las dos versiones del archivo.
Diccionario
ASR
A utomated System
R ecovery -
Recuperacin
automtica del
sistema
611
Clase terica 39
Caractersticas
Las siguientes caractersticas se aplican a las instantneas:
Configurar instantneas no equivale a crear copias de seguridad peridicas.
Las instantneas son slo de lectura. No es posible modificar el contenido
de una instantnea.
Las instantneas se permiten en base al volumen. No es posible crear
instantneas en recursos compartidos especficos.
Una vez creadas instantneas en un volumen, stas se activan en todas
las carpetas compartidas del volumen.
Almacenamiento
La cantidad mnima de espacio de almacenamiento necesario para las
instantneas es de 100 megabytes (MB). El tamao mximo predeterminado de
almacenamiento es un 10 por ciento del volumen original o del volumen que se
copia, pero es posible cambiar este tamao en cualquier momento.
Cuando se alcanza el
lmite de
almacenamiento, las
versiones ms antiguas
de las instantneas se
eliminan y no es posible
restaurarlas.
Nota
612
Realizar copias de seguridad de archivos o del Estado del sistema mediante Copia de
seguridad
Para realizar copias de seguridad de los archivos con la utilidad Copia de seguridad:
1. En el men Inicio, vaya a Todos los programas, Accesorios,
Herramientas del sistema y, por ltimo, haga clic en Copia de seguridad.
2. En la pgina de Bienvenida del Asistente para copia de seguridad
o restauracin, haga clic en el vnculo Modo avanzado.
3. En el cuadro de dilogo Utilidad de copia de seguridad, en la ficha Copia
de seguridad, haga clic en Nuevo en el men Trabajo.
4. En Para hacer copia de seguridad de una unidad, carpeta o archivo,
haga clic en su casilla de verificacin, haga clic en el cuadro situado junto
a cada archivo o carpeta de la que desea realizar la copia de seguridad
o haga clic en el cuadro situado junto a System State.
5. En el cuadro Destino de la copia de seguridad, lleve a cabo una de las
siguientes acciones:
Seleccione Archivo si quiere guardar los archivos o carpetas de la copia
de seguridad en un archivo.
Seleccione un dispositivo de cinta.
6. En el cuadro Hacer copia de seguridad del medio o del archivo, lleve a
cabo una de las siguientes acciones:
Si est realizando la copia de seguridad de archivos y carpetas
en un archivo, escriba la ruta de acceso y el nombre del archivo de copia
de seguridad (.bkf) o haga clic en Examinar para buscar un archivo.
Si est realizando copias de seguridad de archivos y carpetas en una
cinta, seleccione la cinta que desea utilizar.
7. Para seleccionar las opciones de la copia de seguridad, en el men
Herramientas, haga clic en Opciones y, a continuacin, seleccione las
opciones que desea utilizar; por ejemplo, el tipo de copia de seguridad
o el tipo de registro de la copia.
8. Haga clic en Iniciar y, a continuacin, lleve a cabo los cambios necesarios
en el cuadro de dilogo Informacin sobre el trabajo de copia
de seguridad.
Ejercicio 1
Clase prctica 39
Mediante la realizacin de esta prctica usted comprender el funcionamiento del sistema de respaldo
de datos, mediante la aplicacin de bakups o instantneas .
Realizar copias de seguridad del sistema operativo y de los datos usando Copia de
seguridad
Para realizar copias de seguridad de los archivos mediante el Asistente para copia de seguridad
o restauracin:
1. En el men Inicio, vaya a Todos los programas, Accesorios,
Herramientas del sistema y, por ltimo, haga clic en Copia de seguridad.
2. En la pgina de Bienvenida del Asistente para copia de seguridad o
restauracin, haga clic en Siguiente.
3. En la pgina Copia de seguridad o restauracin, haga clic en Efectuar
una copia de seguridad de archivos y configuracin y, a continuacin,
4. En la pgina Qu desea copiar, haga clic en Toda la informacin de este
equipo y, a continuacin, haga clic en Siguiente.
5. En la pgina Destino y nombre del tipo de la copia de seguridad, haga
clic en Examinar.
6. En el cuadro de dilogo Guardar como, escriba D:\Complete.bkf
en el cuadro Nombre y, a continuacin, haga clic en Guardar.
7. Haga clic en Siguiente y, a continuacin, en Finalizar.
Ejercicio 2
Realizar copias de seguridad usando ASR
Para almacenar los archivos de copia de seguridad ASR en el disco:
1. En el men Inicio, vaya a Todos los programas, Accesorios, Herramientas del sistema
y, por ltimo, haga clic en Copia de seguridad.
2. En el Asistente para copia de seguridad o restauracin, haga clic en M o d o
avanzado.
3. En la ficha Bienvenido, haga clic en Asistente para la recuperacin automtica del
sistema.
4. En la pgina Asistente para preparacin de la recuperacin automtica del sistema,
5. En la pgina Destino de la copia de seguridad, seleccione Archivo en el cuadro Tipo de
medio de copia de seguridad, escriba C:\backup.bkf en el cuadro Hacer copia de seguridad
del medio o del archivo y, a continuacin, haga clic en Siguiente.
6. Haga clic en Finalizar y cuando se le pida, inserte un disco en la unidad A y haga clic en
Aceptar.
7. Cuando se le pida que extraiga el disco haga clic en Aceptar y cierre todas las ventanas.
Ejercicio 3
614
Programar un trabajo de copia de seguridad con el Asistente para copia de seguridad o
restauracin
Para programar un trabajo de copia de seguridad mediante el Asistente para copia de seguridad
o restauracin:
1. Abra Copia de seguridad y, a continuacin, en la pgina de Bienvenida del Asistente para
copia de seguridad o restauracin, haga clic en el vnculo Modo avanzado.
2. En el cuadro de dilogo Utilidad de copia de seguridad, en la ficha Copia de seguridad,
haga clic en Nuevo en el men Trabajo.
3. En Para hacer copia de seguridad de una unidad, carpeta o archivo, haga clic en su
casilla de verificacin, haga clic en el cuadro situado junto a cada archivo o carpeta de la
que desea realizar la copia de seguridad.
4. En el cuadro Destino de la copia de seguridad, lleve a cabo una de las siguientes acciones:
a. Seleccione Archivo si quiere guardar los archivos o carpetas de la copia de seguridad
en un archivo.
b. Seleccione un dispositivo de cinta.
5. Para seleccionar las opciones de la copia de seguridad, en el men Herramientas, haga clic
en Opciones y, a continuacin, seleccione las opciones que desea utilizar, por ejemplo el tipo
de copia de seguridad o el tipo de registro de la copia.
6. En el men Trabajo, haga clic en Guardar selecciones para guardar las selecciones como
archivo de trabajo de copia de seguridad.
7. Haga clic en Iniciar, lleve a cabo los cambios necesarios en el cuadro de dilogo Informacin
sobre el trabajo de copia de seguridad y, por ltimo, haga clic en Programacin.
8. En el cuadro de dilogo Establecer informacin de cuenta, escriba el nombre de usuario y
la contrasea con los que desea ejecutar la copia de seguridad programada.
9. En el cuadro de dilogo Opciones de trabajos programados, en el cuadro Nombre de
tarea, escriba el nombre del trabajo programado y, a continuacin, en la ficha Datos de
programacin, haga clic en Propiedades para establecer la fecha, hora y los parmetros
de frecuencia de la copia de seguridad programada.
Ejercicio 4
Programar un trabajo de copia de seguridad con ntbackup
Para programar una copia de seguridad utilizando ntbackup:
1. Abra Bloc de notas.
2. Escriba el siguiente comando: ntbackup backup .C:. /j .Command line backup 1./f
.d:\full.bkf.
3. Guarde el archivo como backup.bat.
Ejercicio 5
4. Cierre Bloc de notas.
5. Abra el smbolo del sistema y escriba el siguiente comando: at 18:00 /every:M,T,W,TH,F
backup.bat El comando hace que se realice una copia de seguridad de la unidad C en
D:\full.bkf en el servidor a las 6:00 p.m. todos los das, de lunes
a viernes.
Restaurar archivos y carpetas usando Copia de seguridad
Para restaurar archivos y carpetas mediante Copia de seguridad:
2. En la ventana Utilidad de copia de seguridad . [Sin ttulo], haga clic en la ficha Restaurar y
administrar medios.
3. En el panel de la izquierda, expanda Archivo, haga lo mismo con el elemento de medios que
desea y active la casilla de verificacin de los elementos que desea restaurar.
4. En el cuadro Restaurar archivos en, lleve a cabo una de las siguientes acciones:
a. Haga clic en Ubicacin original si desea restaurar los archivos y carpetas copiados
en la carpeta o carpetas en las que se encontraban al realizar la copia de seguridad.
b. Haga clic en Ubicacin alternativa si desea que los archivos y carpetas copiados se
restauren en una carpeta elegida por usted. Esta opcin conserva la estructura de
carpetas de los datos copiados; todas las carpetas y subcarpetas aparecen en la carpeta
alternativa que seleccione.
c. Haga clic en Carpeta nica si desea que los archivos y carpetas copiados se restauren
en una carpeta elegida por usted. Esta opcin no conserva la estructura de carpetas de
los datos copiados; los archivos aparecen nicamente en la carpeta que seleccione.
5. Si ha seleccionado Ubicacin alternativa o Carpeta nica, escriba una ruta de acceso a
la carpeta en Ubicacin alternativa o haga clic en Examinar para buscarla.
6. En el men Herramientas, haga clic en Opciones y, a continuacin, realice una de las
acciones siguientes:
Haga clic en No reemplazar este archivo en mi equipo.
Haga clic en Reemplazar este archivo en mi disco slo si el archivo en el disco es
ms antiguo.
Haga clic en Reemplazar siempre el archivo en mi equipo.
7. Haga clic en Aceptar para confirmar las opciones que acaba de establecer.
Restaurar los datos de Estado del sistema
Para restaurar los datos de Estado del sistema utilizando Copia de seguridad:
2. En la ficha Restaurar y administrar medios, expanda el elemento de medios deseado y, a
continuacin, haga clic en System State.
Ejercicio 6
616
Recuperacin del Servidor en caso de error
Clase terica 40
Si ocurre un error en el servidor, Windows Server 2003 proporciona varias
opciones para restaurar el equipo y volverlo a su estado previo de buen
funcionamiento.
MODO SEGURO
Si un servidor no se inicia, este puede iniciarse en modo seguro. En modo seguro,
Windows utiliza la configuracin predeterminada, el modo de adaptador VGA, el
controlador del mouse, no recurre a conexiones de red y emplea los controladores
de dispositivo mnimos necesarios para iniciar Windows.
Existen tres opciones de modo seguro. Se debe iniciar la sesin en todos los
modos, ya sea utilizando la cuenta de administrador de dominio o la cuenta local
de Administrador de cuentas de seguridad, dependiendo de la opcin de modo
seguro que haya seleccionado. Dependiendo tambin de la opcin que se
seleccione, estarn o no disponibles las conexiones de red en el modo seguro.
Si un servidor no se inicia tras haber instalado software o hardware nuevo o un
nuevo controlador, este puede iniciarse con los servicios mnimos en modo seguro
y, posteriormente, modificar la configuracin del equipo, quitar el software nuevo
instalado o hacer lo propio con el hardware nuevo que pueda ser el causante del
problema. Se puede reinstalar un Service Pack o todo el sistema operativo, si
fuera necesario.
Uso del modo seguro para diagnosticar problemas
El modo seguro ayuda a diagnosticar problemas. Si el sntoma no vuelve a
aparecer al reiniciar el equipo en modo seguro, se puede descartar la configuracin
predeterminada y los controladores de dispositivo mnimos como posibles
causas. Si el nuevo dispositivo agregado o el controlador que se ha cambiado
resulta ser el problema, se puede utilizar el modo seguro para quitar el dispositivo
o deshacer el cambio.
OPCIONES DEL MODO SEGURO
Windows Server 2003 R2 incluye opciones avanzadas de inicio que se pueden
utilizar al solucionar problemas y reparar conflictos de inicio y al conectar el
servidor a un depurador. Estas opciones de inicio mejoran la capacidad de
diagnstico y resolucin de incompatibilidades de controladores, as como
problemas de inicio.
Diccionario
VGA
Video Graphics
Adapter - Adaptador
Grfico de Video
Service Pack
Paquete de
Reparacin. Un
paquete de
reparacin permite
mejorar
caractersticas de
seguridad entre
otros as como
tambin actualizar
archivos de sistema
a versiones
posteriores.
Para mostrar las
opciones avanzadas de
inicio, se debe presionar
la tecla F8 en la fase de
selecciones del sistema
operativo durante el
proceso de inicio de
W indows Server 2003 R2.
Nota
617
Clase terica 40
Enumere tipos de inicio con modo seguro Defina el Modo seguro
A
c
t
i
v
i
d
a
d
Descripcin
Modo seguro
Modo seguro con
funciones de red
Modo seguro con
smbolo del sistema
Se inicia nicamente con los archivos y
controladores bsicos
Se inicia nicamente con los archivos y
controladores bsicos y con las conexiones de red.
Se inica nicamente con los archivos y
controladores bsicos. Despus de iniciar
sesin, aparece el smbolo del sistema en lugar
del escritorio de Windows, el men Inicio y la
barra de tareas.
Opcin Uso
Si sospecha que una
aplicacin recin
instalada es la causa del
problema.
Si necesita comprobar
que el subsistema de red
est operativo.
Si necesita utilizar las
herramientas de
solucin de problemas
de la lnea de comando.
En los siguientes ejemplos se describe cundo se deben usar las opciones de
modo seguro:
Modo seguro: Se debe utilizar este modo cuando se sospeche que la causa
del problema es una aplicacin instalada recientemente.
Modo seguro con funciones de red: Se debe utilizar este modo cuando se
deba comprobar que el subsistema de red est operativo y cuando se necesite
tener acceso a la red para obtener los archivos.
Modo seguro con smbolo del sistema: Se debe utilizar este modo cuando
deba utilizar las herramientas de solucin de problemas de la lnea de
comandos. Se puede recurrir a este modo cuando no sea posible iniciar el
equipo con ninguno de los otros dos.
LTIMA CONFIGURACIN CORRECTA CONOCIDA
La opcin de inicio de ltima configuracin correcta conocida emplea la informacin
de registro y los controladores que Windows guard en el ltimo inicio de sesin
correcto.
Cuando se utiliza esta opcin para iniciar un servidor, los cambios realizados en la
configuracin de los controladores y en otras configuraciones del sistema desde
el ltimo inicio de sesin correcto se perdern. Esta opcin se emplea nicamente
618
en casos de configuraciones incorrectas.
Es posible utilizar la opcin de inicio de la ltima configuracin correcta conocida
para recuperar en caso de error y volver al controlador anterior sin las
modificaciones de registro realizadas desde la ltima vez que inici Windows
Server 2003 R2. Windows Server 2003 R2 no actualiza la informacin de la
ltima configuracin correcta conocida en el registro hasta que no se consiga
iniciar el sistema operativo de modo normal y el usuario se haya autenticado e
iniciado sesin correctamente.
Restaurar informacin del registro
Empleando la ltima configuracin correcta conocida es posible restaurar la
informacin de la sub-clave de registro HKEY_LOCAL_MACHINE\
SYSTEM\CurrentControlSet. Asimismo, si se ha actualizado algn controlador
de dispositivo, se puede emplear la ltima configuracin correcta conocida para
restaurar los anteriores.
Resolver problemas de inicio o de estabilidad
La ltima configuracin correcta conocida puede ayudar a resolver problemas
de inicio y de estabilidad. Por ejemplo, si tiene lugar un error de parada
inmediatamente despus de haber instalado una aplicacin o un controlador de
dispositivo nuevos, se puede reiniciar el equipo y usar la ltima configuracin
correcta conocida para recuperarse del problema.
La ltima configuracin correcta conocida tambin puede ayudar a recuperarse
de problemas como los creados por controladores nuevos agregados que no
sean compatibles con el hardware. No obstante, esta opcin no resuelve
problemas causados por controladores o archivos omitidos o con errores.
Consola de recuperacin
La consola de recuperacin de Windows Server 2003 R2 es una consola de
lnea de comandos que puede iniciarse desde el programa de instalacin de
Windows Server 2003 R2.
La consola de recuperacin es de gran utilidad si se desea reparar un sistema
copiando un archivo desde un disquete o CD en el disco duro, o si desea re-
configurar un servicio que impide que el servidor se inicie correctamente.
Al iniciar la Consola de recuperacin, se debe especificar en qu instalacin de
Windows Server 2003 R2 iniciar sesin, incluso en un servidor con configuracin
de inicio simple. A continuacin se debe iniciar sesin utilizando la cuenta de
Administrador local.
Versin mnima del sistema operativo Windows Server 2003 R2
619
Clase terica 40
La Consola de recuperacin es una versin mnima del sistema operativo Windows
Server 2003 R2 que se puede utilizar para iniciar Windows Server 2003 R2 cuando
el resto de opciones de inicio no funcionen. Mediante el conjunto mnimo de
comandos de la Consola de recuperacin se pueden reparar componentes
daados del sistema como, por ejemplo, un sector de inicio defectuoso, que
impide iniciar el servidor de cualquier otra forma.
Realizar tareas de reparacin
Puede utilizar la Consola de recuperacin para realizar las siguientes tareas de
reparacin:
Habilitar y deshabilitar servicios que impiden que se inicie Windows Server
2003 R2.
Leer y escribir archivos en la unidad local, incluyendo las unidades que
estn formateadas con el sistema de archivos NTFS. La Consola de
recuperacin reconoce y favorece el cumplimiento de los permisos NTFS.
Formatear discos rgidos.
Reparar un sector de inicio.
Copiar archivos y sistemas de archivos desde un disquete o un disco
compacto.
Utilizar la Consola de recuperacin
Al utilizar la Consola de recuperacin, se debe iniciar sesin usando la cuenta
local de administrador incorporada, que se ubica en la base de datos de seguridad
local. En un controlador de dominio, se trata de una base de datos mnima que
crea Windows Server 2003 R2 al instalar Active Directory. Esta base de datos
contiene nicamente la cuenta de usuario de Administrador que se utiliza para
realizar tareas de reparacin en un controlador de dominio cuando no est
disponible Active Directory, por ejemplo, al ejecutar la Consola de recuperacin.
Atencin
Si se selecciona no instalar la consola de recuperacin, o si no se inicia porque la particin en la que se ha
instalado no est accesible, se puede iniciar la consola de recuperacin desde el disco de instalacin de
W indows Server 2003 R2.
Se deber iniciar el servidor utilizando el disco de instalacin de W indows Server 2003 R2 o los discos de inicio
de la instalacin. Cuando se pregunte si se desea instalar W indows Server 2003 R2 o reparar una instalacin
existente, se deber seleccionar la opcin de reparacin.
Comandos de la consola de reparacin
En la siguiente tabla se describen los comandos disponibles en la consola de
recuperacin:
620
attrib
batch
bootcfg
Chdir (cd)
chkdsk
cls
copy
delete (del)
dir
disable
diskpart
enable
exit
expand
fixboot
fixmbr
format
help
m a p
mkdir (md)
more
rmdir (rm)
rename (ren)
systemroot
type
Muestra los atributos de los archivos de la carpeta actual.
Ejecuta los comandos especificados en un archivo de texto.
Repara la configuracin y la recuperacin de inicio.
Muestra el nombre de la carpeta actual o la modifica.
Comprueba un disco y muestra un informe de estado.
Borra la pantalla.
Copia un nico archivo en otra ubicacin.
Elimina uno o varios archivos.
Muestra una lista de los archivos y subcarpetas de una
carpeta.
Deshabilita un servicio del sistema o un controlador de
dispositivo.
Administra las particiones de los discos duros.
Inicia o habilita un servicio del sistema o un controlador de
dispositivo.
Sale de la consola de recuperacin y reinicia el equipo.
Expande un archivo comprimido.
Escribe un sector de inicio de una particin nueva en la
particin delSistema.
Repara el registro de inicio principal del sector de inicio de la
particin.
Formatea un disco.
Muestra una lista de los comandos que se emplean en la
consolade recuperacin.
Muestra las asignaciones de letra de las unidades.
Crea una carpeta.
Muestra un archivo de texto.
Elimina una carpeta.
Cambia el nombre de un solo archivo.
Establece la carpeta actual como carpeta raz del sistema
en el que ha iniciado sesin.
Muestra un archivo de texto.
Descripcin de las funciones del comando Comando
621
Clase terica 40
Disco de inicio de Windows
Un disco de inicio de Windows permite tener acceso a una unidad de disco con
una secuencia de inicio defectuosa. Tambin se puede emplear un disco de inicio
de Windows para iniciar el sistema operativo en un equipo con Windows Server
2003 R2.
Se debe utilizar un disco de inicio de Windows como alternativa frente a los
siguientes
problemas de inicio:
Sector de inicio daado
Registro de inicio principal (MBR, Master Boot Record) daado
Infecciones por virus
Archivos Ntldr o Ntdetect.com ausentes o daados
Controlador Ntbootdd.sys incorrecto
El disco de inicio de Windows debe contener los archivos Ntldr, Ntdetect.com, y
Boot.ini y es posible que se necesite el archivo ntbootdd.sys, que es el controlador
de dispositivo del disco rgido con el nombre cambiado a ntbootdd.sys.
Utilizar el disco de inicio de Windows
Si se debe reemplazar un archivo de inicio daado en la unidad C, se deber
iniciar la consola de recuperacin. Una vez insertado el disco de inicio de Windows,
desde la ventana de smbolo del sistema de la consola de recuperacin se deber
copiar el archivo de inicio correspondiente en el directorio raz de la unidad C.
FUNCIONAMIENTO DE LOS ARCHIVOS DE INICIO
Si el servidor no consigue iniciarse, se deber iniciar el equipo utilizando el disco
de inicio de Windows. Si la causa del problema es uno de los tres archivos de
inicio, se podr hacer que el servidor funcione con normalidad.
Los atributos de los
archivos Ntldr,
Ntdetect.com y Boot.ini
suelenestablecerse en:
sistema, oculto y slo
lectura. No es necesario
establecer estos
atributos para que
funcione el disco de
inicio, pero debe hacerse
si se los copia en el
disco duro.
Nota
A
c
t
i
v
i
d
a
d
Cual es la funcin del Disco de Inicio de Windows Server 2003 R2. Desarrolle.
622
La BIOS lee el contenido del MBR
El programa del sector de inicio lee el
directorio raiz y activa el cargador de
Windows 2003
NTLDR carga la configuracin bsica de
la memoria y cambia a modo de 32 bits
(modo protegido)
NTLDR lee boot.ini y ejecuta el sistema
operativo
NTLDR vuelve al modo de 16 bits y carga
ntdetect.com
NTLDR se carga en memoria y lee la asignacin de
recursos construida por NTDETECT
NTLDR devuelve el sistema al modo protegido
NTLDR inicia el proceso de ejecucin de NTOSKRNL
1
2
3
4
5
6
7
8
HERRAMIENTAS DE RECUPERACIN EN CASO DE ERROR DEL SERVIDOR
Para recuperar un sistema, se puede usar el modo seguro, la ltima configuracin
correcta conocida, las copias de seguridad, la consola de recuperacin, la
herramienta ASR o distintas combinaciones de estas herramientas, as como otros
mtodos, como las instantneas.
A continuacin se incluyen las herramientas de recuperacin en caso de error en
el orden recomendado de utilizacin, comenzando por las herramientas que
implican poco riesgo o ninguno, hasta las que pueden desembocar en prdida de
datos. Modo seguro y Copia de seguridad estn disponibles en los modos de
inicio normal y seguro.
Modo Seguro: Se debe utilizar cuando un problema impide que se inicie Windows
Server 2003 R2 con normalidad.
El modo seguro es una opcin de inicio que deshabilita los programas de inicio y
los servicios que no son esenciales para crear un entorno til para la solucin de
problemas y su diagnstico.
ltima configuracin correcta conocida: Se debe utilizar nicamente en casos
de configuraciones incorrectas.
Al emplear la ltima configuracin correcta conocida, puede recuperar volviendo
al controlador ms reciente sin los cambios del registro realizados desde la ltima
vez que se inici sesin en Windows Server 2003.
Copia de seguridad: Se debe utilizar para crear una copia duplicada de los datos
del disco rgido y, posteriormente, archivarlos en otro dispositivo de
almacenamiento.
Copia de seguridad es una herramienta para guardar datos; por ejemplo, los datos
de Estado del sistema. Antes de intentar solucionar problemas, se debe probar
con mtodos alternativos o aplicar actualizaciones.
623
Clase terica 40
Defina ltima configuracin correcta conocida. Defina Consola de Recuperacin
Consola de recuperacin: Se debe utilizar si no es posible solucionar los
problemas empleando uno de los mtodos de inicio.
En combinacin con la ltima configuracin correcta conocida y el modo seguro,
los usuarios pueden utilizar la consola de recuperacin para intentar operaciones
de recuperacin manuales.
Recuperacin automtica del sistema: Se debe utilizar cuando se restauran
datos desde la copia de seguridad.
Se debe utilizar esta opcin y no la reinstalacin de Windows, ya que ASR restaura
la configuracin del sistema y los archivos fundamentales en las particiones del
sistema y de inicio.
Como el proceso ASR formatea discos, se deber recurrir a esta opcin como
ltima posibilidad si la ltima configuracin correcta conocida, la copia de
seguridad, la restauracin de los datos de Estado del sistema o la consola de
recuperacin no solucionan el problema.
A
c
t
i
v
i
d
a
d
Recuperacin del Servidor en caso de error 624
Iniciar un sistema usando el modo seguro
Para iniciar el sistema usando el Modo seguro:
1. Reinicie el equipo.
2. Cuando aparezca el mensaje .Seleccione el sistema operativo con el que desea iniciar.,
presione la tecla F8.
3. Utilice las teclas de flecha para resaltar la opcin Modo seguro y, a continuacin, presione
ENTRAR.
4. Utilice las teclas de flecha para resaltar el sistema operativo y, a continuacin, presione
ENTRAR.
Iniciar un sistema usando la ltima configuracin correcta conocida
Para iniciar el sistema empleando la ltima configuracin correcta conocida:
1. Reinicie el equipo.
2. Cuando aparezca el mensaje .Seleccione el sistema operativo con el que desea iniciar.,
presione la tecla F8.
3. Utilice las teclas de flecha para resaltar ltima configuracin correcta conocida y, a
continuacin, presione ENTRAR.
4. Utilice las teclas de flecha para resaltar el sistema operativo y, a continuacin, presione
ENTRAR.
Ejercicio 1
Clase prctica 40
Ejercicio 2
Instalar la consola recuperacin
Para instalar la consola de recuperacin:
1. En una ventana de smbolo del sistema, vaya a la carpeta I386 del disco compacto de
Windows Server 2003.
2. En el smbolo del sistema, escriba winnt32 /cmdcons y presione ENTRAR.
Mediante la realizacin de esta prctica usted podr conocer a fondo los distintos mtodos de recuperacin
ante errores graves del sistema, lo que le permitir realizar tareas de recuperacin exitosas.
3. Haga clic en S y, despus, en Aceptar.
Iniciar y utilizar la consola de recuperacin desde el disco compacto de instalacin
de Windows Server 2003
Para iniciar y utilizar la consola de recuperacin desde el disco compacto de instalacin de
Windows Server 2003:
1. Inserte el disco compacto de instalacin y reinicie el equipo desde la unidad de CD-ROM.
2. Cuando se le pida la instalacin de Windows, escriba 1 y, despus, presione ENTRAR.
3. Cuando la seccin de texto de la instalacin comience, siga las peticiones y seleccione la
opcin de recuperacin o de reparacin presionando R.
4. Cuando se le solicite, escriba la contrasea del administrador.
5. Cuando el sistema se lo pida, escriba los comandos correspondientes de la consola de
recuperacin.
Si desea obtener informacin relacionada con los comandos, escriba help para ver una lista
de los comandos o escriba help nombredelcomando para obtener ayuda sobre un comando
en concreto.
6. Para salir de la consola de recuperacin y reiniciar el equipo escriba exit
Iniciar y utilizar la consola de recuperacin desde el men de carga de inicio del servidor
Para iniciar y utilizar la consola de recuperacin desde el men de inicio del sistema operativo
del servidor:
1. Inicie el equipo, en el men de carga de inicio seleccione Consola de recuperacin de
Microsoft Windows y, a continuacin, presione ENTRAR.
2. Cuando se le pida la instalacin de Windows, escriba 1 y, despus, presione ENTRAR.
3. Escriba la contrasea de administrador de la cuenta local y, despus,presione ENTRAR.
4. En la lnea de comandos, escriba help para mostrar todos los comandos disponibles. Puede
utilizar estos comandos para reparar el servidor.
Si desea obtener instrucciones sobre el uso de un comando en concreto, escriba help
nombredelcomando en la lnea de comandos.
Crear un disco de inicio de Windows
Para crear un disco de inicio de Windows:
1. Inserte un disquete vaco en la unidad A.
2. En el men Inicio, haga clic en Explorador de Windows.
3. Desde el Explorador de Windows, expanda Mi PC.
4. Haga clic con el botn secundario del mouse en Disco de 3 (A:) y, a
continuacin, haga clic en Formatear.
5. En el cuadro de dilogo Dar formato Disco de 3 (A:), haga clic
Ejercicio 3
Recuperacin del Servidor en caso de error 626
en Formato rpido, en Iniciar y, por ltimo, en Aceptar.
6. En el cuadro de dilogo Dando formato Disco de 3 (A:), haga clic
en Aceptar y, por ltimo, en Cerrar.
Realizar copias de seguridad de archivos de inicio de Windows Server 2003 en el disco
de inicio de Windows
Para realizar copias de seguridad de los archivos de inicio de Windows Server 2003 en el disco
de inicio de Windows:
1. Desde el Explorador de Windows, haga clic en Disco local (C:).
2. En el men Herramientas, haga clic en Opciones de carpeta.
3. En la ficha Ver, desactive la casilla de verificacin Ocultar archivos protegidos del
sistema operativo (recomendado).
4. En el cuadro Advertencia, haga clic en S y, despus, en Aceptar.
5. Copie los siguientes archivos en la unidad A:
Boot.ini
Ntdetect.com
Ntldr
Si los archivos Bootsect.dos o Ntbootdd.sys se encuentran en la particin del sistema,
cpielos tambin en el disco de inicio.
6. Abra una ventana de smbolo del sistema, escriba attrib .h .s .r a:\*.* y, a continuacin,
presione ENTRAR.
7. En el men Herramientas, haga clic en Opciones de carpeta.
8. En la ficha Ver, active la casilla de verificacin Ocultar archivos protegidos del sistema
operativo (recomendado).
9. Saque el disquete de la unidad y llmelo Disco de inicio de Windows.
628 Mantenimiento de software mediante SUS
Introduccin
Clase terica 41
Normalmente, los administradores de sistemas mantienen los sistemas
actualizados mediante comprobaciones frecuentes del sitio Web de Windows
Update o del sitio Web de seguridad de Microsoft en busca de actualizaciones
de software. Los administradores descargan manualmente las actualizaciones
disponibles, las prueban en sus entornos y, a continuacin, las distribuyen a los
servidores de la red manualmente o mediante herramientas de distribucin de
software.
Por intermedio de SUS, los administradores pueden realizar estas tareas
automticamente.
WINDOWS UPDATE
Windows Update es la ampliacin en lnea de Windows que ayuda a mantener
los sistemas actualizados. Se debe utilizar Windows Update si se desea
seleccionar las actualizaciones para los sistemas operativos, el software y los
controladores de dispositivo de la red.
El sitio se renueva con contenido frecuentemente, por lo que siempre podrn
obtenerse las actualizaciones ms recientes que ayudarn a proteger los equipos
servidor y cliente que componen la red.
Actualizaciones
Las actualizaciones pueden incluir correcciones de seguridad, actualizaciones
crticas y controladores importantes. Estas actualizaciones resuelven
vulnerabilidades de seguridad conocidas y otros problemas de estabilidad de los
sistemas operativos Windows 2000, Windows XP y Windows Server 2003 R2.
Las categoras correspondientes a las actualizaciones de los sistemas operativos
Windows son las siguientes:
Actualizaciones crticas: Correcciones de seguridad y otras actualizaciones
importantes para mantener los equipos al da y conseguir una red segura.
Descargas recomendadas: Las versiones Service Pack ms recientes de
Windows e Internet Explorer y otras actualizaciones importantes.
Herramientas de Windows: Utilidades y otras herramientas proporcionadas
para mejorar el rendimiento, proporcionar actualizaciones y aliviar la carga
de los administradores de sistemas.
Actualizaciones de Internet y multimedia: Las versiones de Internet Explorer
ms recientes y actualizaciones al reproductor Windows Media.
Cuando hay una actualizacin disponible para el equipo, Windows Update muestra
Diccionario
SUS
Software U pdate
Services - Servicio de
actualizacin de
software
629
Clase terica 41
A
c
t
i
v
i
d
a
d
un globo informativo en la esquina inferior derecha de la pantalla cuando inicia
se sesin por primera vez. A continuacin puede ser descargada, posponer la
actualizacin o visitar el sitio de Windows Update para leer informacin acerca
de la actualizacin disponible.
Actualizaciones automticas
Las actualizaciones automticas permiten especificar el modo y el momento de
actualizar Windows. Estas actualizaciones incluyen desde actualizaciones
crticas hasta mejoras.
Las actualizaciones automticas incluyen una amplia gama de opciones para
descargar actualizaciones. Por ejemplo, se puede configurar Windows para
descargar e instalar automticamente actualizaciones segn un programa
especfico. Si se desea, tambin se puede optar por recibir una notificacin
cuando las actualizaciones estn disponibles para el equipo y, a continuacin,
descargarlas en segundo plano de modo que se pueda continuar trabajando
normalmente.
Implementacin del cliente de actualizaciones automticas
Se puede instalar el cliente de actualizaciones automticas ms reciente en los
equipos mediante alguno de los siguientes mtodos:
Instalar el cliente de actualizaciones automticas a travs del paquete
Windows Installer (archivo .msi).
Instalar Windows 2000 Service Pack 3 (SP3).
Instalar Windows XP SP2.
Instalar Windows Server 2003 R2.
Revisiones Service Pack
Windows Update y las actualizaciones automticas avisan a los usuarios de
Windows de la disponibilidad de las revisiones Service Pack. Estas revisiones
son el medio por el que se distribuyen las actualizaciones de productos.
Las revisiones Service
Pack pueden contener
actualizaciones
orientadas a la fiabilidad
del sistema, a la
compatibilidad de
programas y a la
seguridad.
Nota
Definir Service Pack Definir W indows Update
WINDOWS UPDATE Y ACTUALIZACIONES AUTOMTICAS
Windows Update y las actualizaciones automticas son dos componentes
independientes diseados para trabajar conjuntamente con el fin de que los
sistemas operativos Windows sean seguros.
Windows Update es un sitio Web desde el cual los administradores de
Windows pueden descargar software crtico y no crtico.
Las actualizaciones automticas permiten interactuar automticamente
con el sitio Web de Windows Update con el fin de obtener las
actualizaciones crticas de software. Como administrador de sistemas,
se tiene control total sobre el nivel de esta interaccin con las
actualizaciones automticas utilizando Software Update Services.
Puede utilizar Software Update Services para descargar todas las actualizaciones
crticas en servidores y clientes tan pronto como estn disponibles en el sitio
Web Windows Update.
Componente servidor
Se debe instalar el componente de servidor de SUS en un servidor con Windows
2000 Server, Windows XP o Windows Server 2003 R2 como parte del servidor
de seguridad de la red. Un servicio permite que el servidor interno sincronice el
contenido con el sitio Web de Windows Update siempre que estn disponibles
las actualizaciones crticas para Windows.
Mediante la sincronizacin con el sitio Windows Update, el servidor interno en el
que se ejecuta SUS puede obtener los paquetes de actualizaciones y
almacenarlos hasta que un administrador decida cules publicar.A continuacin,
todos los clientes que estn configurados para utilizar el servidor en el que se
ejecuta SUS, instalarn estas actualizaciones.
La sincronizacin puede
ser automtica o puede
llevarla a cabo el
administrador
manualmente.
Nota
Software que descarga todas las actualizaciones crticas y revisiones
de seguridad en los servidores y clientes tan pronto como se publican
en el sitio Web de Windows Update
Sitio Web
Windows Update
Clientes
Servidor
en el que
se ejecuta
Software
Update
Services
Servidor
Internet
L A N
Actualizaciones
automticas
Actualizaciones
automticas
631
Clase terica 41
Componente cliente
Se puede controlar a qu servidor se conecta cada cliente y, a continuacin,
programar el instante en el que dicho cliente realiza todas las instalaciones
de actualizaciones crticas, ya sea manualmente por medio del registro o
mediante la directiva de grupo del servicio de Active Directory.
Sincronizacin del contenido de Windows Update
Se pueden configurar los servidores en los que se ejecuta SUS, para
sincronizar el contenido con el sitio Web de Windows Update. Tambin es
posible programar estos servidores para descargar el contenido de un punto
de distribucin creado manualmente.
Los servidores de segundo nivel en los que se ejecuta SUS pueden
sincronizar tanto el contenido como la lista de paquetes aprobados. Mediante
este mtodo, se puede simplificar el proceso de administracin de
actualizaciones si stas se administran desde una ubicacin central.
A
c
t
i
v
i
d
a
d
Procesos de servidor
2. Comprobaciones?
S?
No?
3. El administrador aprueba nuevos
paquetes
Comprobacin
de nuevos
paquetes
1. Inicio El servidor de
Software Update
Services ejecuta la
sincronizacin
programada
Procesos de cliente
S?
4. Actualizaciones automticas de cliente
busca en el servidor de Software Update
Services
5. Ha iniciado sesin el administrador?
El administrador ve un globo
informativo de estado y puede
posponer la instalacin
No?
6. El trabajo de instalacin programado comienza
7. Algn
paquete necesita
reiniciarse?
Se reinicia el sistema
S?
No?
8. Finalizacin
Actualizaciones
automticas espera la
nueva comprobacin
programada
Definir Software Update Services Definir Actualizaciones Automticas
PUNTOS DE DISTRIBUCIN DEL SERVIDOR PA R A SUS
El servidor en el que se ejecuta SUS controla la distribucin del contenido. El
servidor puede distribuir las actualizaciones automticamente o puede ser el
administrador quien anule la configuracin predeterminada y distribuya
manualmente las actualizaciones mediante un punto de distribucin de
contenido.
Existen dos formas de crear un punto de distribucin de contenido:
Automtica:Al instalar SUS en un servidor, se crea automticamente un
punto de distribucin de contenido en dicho servidor. Cuando ste se
sincroniza, su contenido se actualiza con el del sitio de Windows Update.
El punto de distribucin de contenido se encuentra en el sitio Web en una
raz virtual denominada /Content en el servidor en el que se ejecutan los
Servicios IIS. Si se opta por mantener el contenido en Microsoft.com,
este punto de distribucin de contenido automtico permanecer vaco.
Manual:Tambin se puede crear manualmente un punto de distribucin
de contenido en un servidor en el que se ejecute IIS. El servidor que
contenga el punto de distribucin de contenido manual no requiere SUS.
REQUISITOS DE HARDWARE PA R A LA INSTALACIN DE SUS
Un servidor que cuente
con el hardware
mencionado en el cuadro
y en el que se ejecute
SUS puede admitir hasta
15.000 clientes.
Nota
SITIO WEB DE ADMINISTRACIN DE SOFTWARE UPDATE SERVICES
Para administrar SUS, se debern realizar las siguientes tareas administrativas:
Configurar el servidor despus de la instalacin inicial.
Sincronizar manual o automticamente el contenido entre el sitio Web
de Windows Update y el servidor en el que se ejecuta Software Update
Services.
PROCESO DE SUS
El proceso de utilizacin de SUS implica tanto al servidor que ejecuta dicha
herramienta como a los equipos cliente de una red. Si ambos elementos estn
configurados, el administrador puede revisar los paquetes de actualizacin y
aprobarlos para que se instalen.
Requisitos de hardware del sirvidor
Pentium lll a 700 MHz o superior
512 MB de RAM
6 GB de espacio en disco duro para los paquetes de instalacin y seguridad
Requisitos de software del servidor
Windows 2000 Server Pack 2 o posterior o Windows Server 2003
llS 5.0 o posterior
Internet Explorer 6.0 o posterior
Requisitos del servidor
El software de Software Update Services debe estar instalado en una portacin NTFS
633
Clase terica 41
Seleccionar y aprobar el contenido sincronizado que se publicar en los
equipos en los que se ejecuta el cliente de actualizaciones automticas.
Supervisar el estado y los registros del servidor.
Para ver este sitio W eb,
se debe ser
administrador local del
equipo en el que se
ejecute SUS.
Nota
Atencin
Si se intenta llegar al sitio W eb administrativo y aparece el mensaje .http
500-12: Application Restarting Error., se deber presionar F5 para actualizar
el explorador.
SINCRONIZAR EL CONTENIDO DE SUS
Se puede configurar el origen del contenido para actualizaciones procedentes
del sitio Web de Software Update Services. Con este mtodo, se puede
sincronizar directamente el contenido con el del sitio Web de Windows Update
o con el de otro servidor en el que se ejecute Software Update Services.
Sincronizacin automtica
Si un servidor SUS est configurado para aceptar actualizaciones
automticamente, el administrador de sistemas puede revisar dichas
actualizaciones en el sitio Web de Software Update Services antes de que se
descarguen. Una vez revisadas las actualizaciones, el administrador de sistemas
puede aprobarlas si as lo estima oportuno.
Cuando las actualizaciones se aprueban, se actualizan durante el siguiente
perodo programado para clientes que utilizan las actualizaciones automticas.
Sincronizacin manual
Si un servidor est configurado para SUS, pero requiere que un administrador
sincronice manualmente las actualizaciones, stas permanecern en el sitio
Web de Windows Update hasta que el administrador las revise y apruebe.
A
c
t
i
v
i
d
a
d
Enumere los distintos tipos de puntos de
distribucin de contenidos
Enumere requisitos para la instalacin de
SUS
REGISTROS DE SOFTWARE UPDATE SERVICES
Cada 22 horas, menos un margen aleatorio, los equipos cliente de las
actualizaciones automticas verifican el servidor en el que se ejecuta SUS en
busca de actualizaciones aprobadas que se puedan instalar. Si hay nuevas
actualizaciones para instalar, los equipos cliente comienzan a descargarlas.
Dado que la mayora de las tareas de SUS implican la sincronizacin y
aprobacin de actualizaciones, el administrador contar con registros de
sincronizacin y aprobacin. Estos registros se almacenan con formato XML
en una carpeta del servidor a la que el administrador tiene acceso.
Se proporciona una pgina Web de supervisin de servidor para que se pueda
ver el estado de las actualizaciones de los equipos de destino, ya que stas se
guardan en la memoria del servidor y, con cierta frecuencia, pueden necesitar
actualizarse.
Registro de sincronizacin
Durante la sincronizacin, todo el contenido del sitio Web de Windows Update
se enva a los servidores en los que se ejecuta SUS. Como administrador, se
puede ver la informacin de sincronizacin en la pgina Web de administracin.
Para controlar las sincronizaciones de contenido que realizan los servidores,
cada uno de estos servidores en los que se ejecuta SUS mantiene un registro
de sincronizacin que contiene la siguiente informacin:
Hora de la ltima sincronizacin.
Informacin de notificacin de que la operacin se ha realizado correcta
o incorrectamente para toda la operacin de sincronizacin.
Hora de la siguiente sincronizacin (si est habilitada la sincronizacin
programada).
Paquetes de actualizaciones que se han descargado y/o actualizado desde
la ltima sincronizacin.
Paquetes de actualizaciones cuya sincronizacin no se realiz
correctamente.
Tipo de sincronizacin realizada (manual o automtica).
Registro de aprobacin
El registro de aprobacin se guarda en cada uno de los servidores en los que
se ejecuta SUS para llevar un control del contenido que se ha aprobado o que
no se ha aprobado.
Cuando una
actualizacin aprobada
se instala en un cliente,
SUS no la desinstalar si
posteriormente el
Administrador anula su
distribucin.
Nota
635
Clase terica 41
Un registro de aprobacin contiene la siguiente informacin:
Hora en la que se ha cambiado la lista de paquetes aprobados.
La lista de los elementos que han cambiado.
La nueva lista de elementos aprobados.
Registro indicando quin o qu realiz el cambio: el administrador de
servidores o el servicio de sincronizacin.
Las actualizaciones
aprobadas slo se
descargan por aquellos
equipos cliente que
tienen instalado y
configurado el cliente de
actualizaciones
automticas ms
reciente.
Nota
A
c
t
i
v
i
d
a
d
Definir registro de aprobacin Definir registro de sincronizacin
Mantenimiento de software mediante SUS
636
Definir la configuracin predeterminada de Software Update Services
Para configurar Software Update Services siga estos pasos:
1. Descargue SUS desde http://www.microsoft.com/windows2003/windowsupdate/sus/
default.asp
2. Haga doble clic en el archivo SUS10SP1.exe para iniciar el proceso de instalacin.
3. En la pgina Welcome to the Microsoft Software Update Services Setup Wizard (ste
es el Asistente para configuracin de Microsoft Software Update Services), haga clic en Next
(Siguiente).
4. Lea y acepte el End User License Agreement (Contrato de licencia para el usuario final).
5. Active la casilla de verificacin Typical (Automtica).
6. En el asistente, haga clic en Install (Instalar) y, a continuacin, en Finish (Finalizar) para
abrir el sitio Web de Software Update Services en Internet Explorer.
Configurar las actualizaciones automticas
1. En el men Inicio, seleccione Herramientas administrativas y, a continuacin, haga clic
en Group Policy Management (Administracin de Directivas de grupo).
2. En la ventana Group Policy Management, expanda sucesivamente los nodos Group Policy
Management, Forest: nwtraders.msft (Bosque:
nwtraders.msft), Domains (Dominios), nwtraders.msft,Locations (Ubicaciones) y, por ltimo,
haga clic en London.
3. Haga clic con el botn secundario en London y, a continuacin, haga clic en Create and
Link a GPO Here (Crear y vincular aqu un objeto de Directiva de grupo).
4. En el cuadro de dilogo New GPO (Nuevo objeto de Directiva de grupo), escriba
Actualizaciones automticas SUS de London y haga clic en O K.
5. Haga clic con el botn secundario en Actualizaciones automticas SUS de London y, a
continuacin, haga clic en Edit (Editar).
6. En Configuracin del equipo, expanda los nodos Plantillas administrativas y
Componentes de Windows y, a continuacin, haga clic en Windows Update.
7. En el panel de detalles, haga doble clic en Configurar actualizaciones automticas.
8. En el cuadro de dilogo Propiedades de Configurar actualizaciones
automticas, haga clic en Habilitada y, a continuacin, en Valor siguiente.
9. En el cuadro de dilogo Propiedades de Especificar la ubicacin del servicio Windows
Update de la intranet, haga clic en Habilitada.
10. En el cuadro Establecer el servicio de actualizacin de la intranet para detectar
Ejercicio 1
Clase prctica 41
Mediante la realizacin de esta prctica usted comprender el funcionamiento del sistema SUS, lo que
le permitir mantener un sistema seguro mediante la aplicacin automatizada de Services Packs o
actualizaciones crticas para el sistema.
actualizaciones, escriba http://NombreEquipo (donde NombreEquipo es el nombre del
equipo).
11. En el cuadro Establecer el servidor de estadsticas de la intranet, escriba http://
NombreEquipo (donde NombreEquipo es el nombre del equipo) y haga clic en Aceptar.
12. Cierre el cuadro de dilogo Editor de objetos de directiva de grupo y, a continuacin,
la ventana Group Policy Management.
Sincronizar el contenido de Software Update Services
Para sincronizar el contenido de Software Update Services siga estos pasos:
1. En la barra de exploracin del sitio Web administrativo de Software Update Services, haga
clic en Synchronize server (Sincronizar servidor).
2. Haga clic en Synchronize Now (Sincronizar ahora).
3. Recibir una notificacin cuando la sincronizacin se haya completado.
Configurar el origen del contenido
Para configurar el origen de sincronizacin del contenido, siga estos pasos:
! En el sitio Web de Software Update Services, haga clic en la pgina Set options.
a. Para sincronizar el contenido con el de los servidores que utilizan el sitio Web de Windows
Update, en Select which server to synchronize content from, haga clic en Synchronize
directly from the Microsoft Windows Update servers.
b. Para sincronizar el contenido con el de otro servidor en el que se ejecuta Software Update
Services o con el de un punto de distribucin de contenido manualmente configurado, haga
clic en Synchronize from a local Software Update Services server. En el cuadro de texto,
escriba el nombre del servidor con el que desea realizar la sincronizacin.
Ver los registros de sincronizacin y aprobacin
Para ver los registros de sincronizacin y aprobacin siga este paso:
! En la pgina Software Update Services Administrator, haga clic en View Synchronization
Log (Ver registro de sincronizacin) o View Approval Log.
Aprobar actualizaciones
Para aprobar actualizaciones siga estos pasos:
1. En la pgina Software Update Services Administrator, haga clic en Approve Updates
(Aprobar actualizaciones).
2. Se instalarn aquellas actualizaciones que se aprueben.
Ejercicio 2
638
Seguridad de trfico mediante IPSec y certificados
Introduccin
Clase terica 42
IPSec es un conjunto de estndares que trabaja sobre el protocolo de red TCP/
IP que comprueba, autentica y cifra los datos en los paquetes IP.
El cifrado es el proceso de codificacin de un mensaje o datos mediante una
clave matemtica de forma que quede oculto para cualquiera que no disponga
de dicha clave.
El descifrado es el proceso inverso al cifrado. El descifrado de datos requiere la
aplicacin de la clave matemtica para descodificar el mensaje o los datos, de
forma que se restaure su contenido original.
Aplicacin de IPSec
IPSec se emplea para proteger los datos en las transmisiones de red. El
administrador establece una serie de reglas, que se agrupan en una directiva
IPSec. Dichas reglas contienen filtros que especifican los tipos de trfico que
requieren cifrado, firma digital o ambos mtodos.
A continuacin, cada paquete que el equipo enva se evala para comprobar si
coincide con las condiciones de la directiva. Si coincide, se puede cifrar o firmar
en funcin de la directiva. Este proceso pasa desapercibido para el usuario y las
aplicaciones que inician la transmisin de los datos.
IPSec est contenido en un paquete IP estndar, por lo que se puede enviar por
la red sin necesidad de realizar configuraciones especiales en los dispositivos
que se encuentran entre los dos hosts.
Ventajas de IPSec
La ventaja principal de IPSec es que proporciona cifrado totalmente transparente
para todos los protocolos de la capa 3 (capa de red) y superior del modelo OSI.
IPSec proporciona:
Autenticacin mutua antes y despus de las comunicaciones: IPSec obliga
a ambas partes a identificarse durante el proceso de comunicacin.
Confidencialidad mediante el cifrado del trfico IP y la autenticacin digital
de los paquetes: IPSec tiene dos modos: ESP, que proporciona cifrado
mediante uno de los diferentes algoritmos que puede utilizar, y A H, que
firma el trfico pero no lo cifra.
Integridad del trfico IP mediante el rechazo del trfico modificado:Tanto
ESP como AH comprueban la integridad de todo el trfico IP. Si un paquete
se ha modificado, la firma digital no coincidir y el paquete se descartar.
ESP cifra las direcciones de origen y de destino como parte de la carga.
Prevencin contra ataques de reproduccin: ESP y AH utilizan nmeros en
secuencia, de forma que todos los paquetes capturados para su posterior
reproduccin utilizaran nmeros no secuenciales. El uso de nmeros en
IPSec
Internet Protocol
Security - Seguridad
de protocolo de
Internet
Diccionario
IPSec no es capaz de
cifrar algunos tipos de
trfico, como las
difusiones, las
multidifusiones y los
paquetes del protocolo
Kerberos.
Nota
ESP
Encapsulating
Security Payload -
Carga de seguridad
encapsuladora
A H
A uthentication
H eader -
Encabezado de
autenticacinEncabezado
de autenticacin
Encabezado de
autenticacin
Diccionario
639
Clase terica 42
A
c
t
i
v
i
d
a
d
secuencia garantiza que ningn atacante podr reutilizar o reproducir los
datos capturados para establecer una sesin u obtener informacin
ilegalmente.
El uso de nmeros en secuencia tambin protege el trfico de los ataques
en los que se intenta interceptar un mensaje y, a continuacin, se utiliza un
mensaje idntico para obtener acceso de forma ilegal a los recursos.
IPSEC Y LA PROTECCIN DEL TRFICO EN LA RED
La configuracin de IPSec se define a travs de una directiva local o una directiva
de grupo en el servicio de directorio Active Directory:
Las directivas IPSec se entregan a todos los equipos de destino: La directiva
determina el comportamiento del controlador IPSec y define las asociaciones de
seguridad que pueden establecerse. Las asociaciones de seguridad dictan los
protocolos de cifrado que se utilizarn y en qu tipo de trfico, as como los
mtodos de autenticacin que se negociarn.
La asociacin de seguridad se negocia: El mdulo Intercambio de claves de
Internet (IKE) negocia la asociacin de seguridad. IKE es una combinacin de
dos protocolos: El Protocolo de administracin de claves y asociaciones de
seguridad de Internet (ISAKMP,) y el Protocolo de determinacin de claves Oakley.
Atencin
Si un cliente requiere certificados para la autenticacin y el otro requiere el protocolo Kerberos, IKE no podr
establecer una asociacin de seguridad entre ambos. Si utiliza el Monitor de red para ver los paquetes, podr
comprobarse que hay paquetes ISAKMP, pero no se vern ms paquetes AH o ESP.
Los paquetes IP se cifran: Una vez que se establece la asociacin de seguridad,
el controlador IPSec supervisa todo el trfico IP, lo compara con los filtros definidos
y, si se ha configurado as, lo cifra o firma.
Directiva de seguridad IPSec
Una directiva de seguridad IPSec se compone de una o varias reglas que
determinan el comportamiento de IPSec.
Para implementar IPSec es necesario definir una directiva. Cada directiva puede
contener varias reglas, pero slo es posible asignar una directiva a un equipo
dado en un momento determinado. Todas las reglas necesarias debern
IKE es un protocolo que
establece la asociacin
de seguridad y las claves
compartidas necesarias
para que dos partes se
comuniquen mediante
IPSec.
Nota
Defina IPSec. Desarrolle
640
combinarse en una sola directiva.
Cada regla consta de:
Un filtro: El filtro indica a la directiva a qu tipo de trfico se aplicar su
accin. Por ejemplo, puede emplear un filtro que identifique exclusivamente
el trfico HTTP o el FTP.
Una accin de filtrado: Indica a la directiva lo que debe hacer si el trfico
coincide con el filtro. Por ejemplo, puede indicar a IPSec que bloquee todo
el trfico FTP pero solicite cifrado para todo el trfico HTTP. La accin de
filtrado tambin puede especificar qu algoritmos de cifrado y hash debe
utilizar la directiva.
Un mtodo de autenticacin: Hay tres mtodos de autenticacin posibles:
certificados, el protocolo Kerberos y una clave previamente compartida.
Cada regla puede especificar varios mtodos de autenticacin.
Directivas predeterminadas
En Windows Server 2003 R2, se incluyen tres directivas configuradas de forma
predeterminada:
Cliente (slo responder): Si un equipo solicita al cliente que utilice IPSec,
ste responder con IPSec. La directiva Cliente (slo responder) nunca
iniciar IPSec por su cuenta. Esta directiva incluye una regla, llamada
Respuesta predeterminada, que permite al host responder a una solicitud
de un ESP siempre y cuando ambos hosts estn ubicados en dominios
Active Directory de confianza. ESP es un modo de IPSec que proporciona
confidencialidad, adems de autenticacin, integridad y un sistema anti-
reproduccin.
Servidor (solicitar seguridad): Se puede utilizar esta directiva tanto en
clientes como en servidores. Esta directiva siempre intenta utilizar IPSec,
pero puede volver a emplear comunicaciones no seguras si un cliente no
est configurado con una directiva IPSec. Incluye tres reglas y la primera
de ellas es Respuesta predeterminada, descrita previamente. La segunda
permite el trfico ICMP. Este es un protocolo de mantenimiento del conjunto
de protocolos TCP/IP que proporciona informacin de errores y permite
una conectividad simple. El comando ping usa ICMP para solucionar
problemas de TCP/IP.Aunque ICMP es una buena herramienta de
diagnstico, es aconsejable que se la deshabilite en redes con un elevado
grado de seguridad, ya que hay varios ataques conocidos contra este
protocolo. La tercera regla solicita ESP para todo el trfico IP.
Servidor seguro (requerir seguridad): Se puede utilizar esta directiva tanto
en clientes como en servidores. Al asignar esta directiva, el equipo slo
puede comunicarse a travs de IPSec y nunca volver a utilizar conexiones
no seguras. Esta directiva tambin incluye tres reglas. Las dos primeras,
Respuesta predeterminada y Permitir ICMP, que se han descrito
641
Clase terica 42
anteriormente. A diferencia de las directivas anteriores, todo el trfico debe
cifrarse con ESP o, de lo contrario, el servidor no se podr comunicar. La regla
ICMP reemplaza la regla para solicitar seguridad para todo el trfico IP restante.
CONJUNTO DE DIRECTIVAS IPSEC
Nunca se debe considerar la aplicacin de directivas individualmente. Cuando
dos equipos negocian una asociacin de seguridad, deben tener directivas
complementarias.
El siguiente grfico muestra los resultados del trabajo conjunto de las directivas
predeterminadas. Si dos hosts pueden negociar una asociacin de seguridad
compatible, las comunicaciones podrn llevarse a cabo mediante IPSec. Si los
dos hosts tienen directivas incompatibles, es posible que vuelvan a utilizar
comunicaciones no seguras o no puedan comunicarse.
A
c
t
i
v
i
d
a
d
EQUILIBRAR LA SEGURIDAD Y EL RENDIMIENTO
IPSec protege los datos de forma que cualquier posible atacante encuentre
extremadamente difcil o imposible interpretarlos. La eficacia de los niveles de
seguridad especificados en la estructura de directivas IPSec determina el nivel
de proteccin proporcionado. Sin embargo, al implementar IPSec, se debe buscar
el equilibrio entre conseguir que el mximo nmero de usuarios pueda tener
acceso fcilmente a la informacin y proteger la informacin confidencial del
acceso no autorizado.
Para conseguir un equilibrio adecuado se debe:
Evaluar los riesgos y determinar el nivel apropiado de seguridad para la
Sin directiva asignada
Cliente (slo responder)
Servidor (solicitar seguridad)
Servidor seguro (requir seguridad)
Sin IPSec
Sin IPSec
Sin IPSec
Sin comunicacin
Sin IPSec
Sin IPSec
IPSec
IPSec
Sin IPSec
IPSec
IPSec
IPSec
Sin comunicacin
IPSec
IPSec
IPSec
Sin directiva
asignada
Cliente
(slo
responder)
Servidor
(solicitar
seguridad)
Servidor seguro
(requirir
seguridad)
Enumere las directivas predeterminadas de
IPSec.
Defina directiva IPsec.
642
organizacin.
Identificar la informacin valiosa.
Determinar cul es la mejor forma de implementar las directivas en la
organizacin existente.
Garantizar que los requisitos de administracin y tecnologa estn
disponibles.
Proporcionar a todos los usuarios acceso seguro y eficaz a los recursos
apropiados de acuerdo con sus necesidades.
NIVELES DE SEGURIDAD
Las necesidades de seguridad pueden variar sustancialmente en funcin de las
directivas e infraestructuras de una red. Los siguientes niveles de configuracin
se interpretan como base general para planear la implementacin de IPSec:
Seguridad mnima: Los equipos no intercambian datos confidenciales. IPSec
no se activa de forma predeterminada. No se requiere de ninguna accin
administrativa para deshabilitar IPSec.
Seguridad estndar: Los equipos, especialmente los servidores de archivos,
se utilizan para almacenar datos valiosos. La seguridad debe equilibrarse de
forma que no se convierta en una barrera para los usuarios que intentan realizar
sus tareas. Windows 2000, Windows XP y Windows Server 2003 R2 proporcionan
directivas IPSec predeterminadas que protegen los datos pero no
necesariamente requieren el nivel mximo de seguridad: Cliente (slo responder)
y Servidor (solicitar seguridad). Estas directivas, u otras similares, optimizan la
eficacia sin comprometer la seguridad.
Seguridad mxima: Los equipos que almacenan informacin muy confidencial
corren el riesgo de sufrir robos de datos, la interrupcin accidental o
malintencionada del sistema (especialmente en situaciones en las que se emplee
acceso telefnico remoto) o en las comunicaciones en redes pblicas. Servidor
seguro (requerir seguridad), una directiva
predeterminada, requiere proteccin IPSec para todo el trfico enviado o recibido
(excepto la comunicacin entrante inicial). Esta directiva incluye mtodos de
seguridad ms eficaces. Las comunicaciones no seguras con equipos no
habilitados para IPSec no se permiten.
IMPLEMENTACIN DE IPSEC CON CERTIFICADOS
IPSec se basa en la autenticacin mutua para proteger las comunicaciones.
IPSec es un estndar del sector, por lo que esta autenticacin probablemente
deba realizarse entre sistemas que no compartan una infraestructura de
autenticacin centralizada del protocolo Kerberos. Los certificados X.509
constituyen otro mtodo de autenticacin para IPSec basado en estndares
643
Clase terica 42
que pueden utilizarse si hay habilitada una Infraestructura de PKI de confianza.
CERTIFICADOS
Los certificados X.509, en ocasiones tambin denominados certificados digitales,
son credenciales electrnicas que suelen utilizarse para autenticar y proteger el
intercambio de informacin en redes abiertas, como Internet, extranets e
intranets.
El certificado enlaza de forma segura una clave pblica a la entidad que posee
la clave privada correspondiente. Por ejemplo, puede cifrar los datos para un
destinatario con su clave pblica y confiar en que slo el destinatario posee la
clave privada necesaria para descifrarlos.
Una de las ventajas principales de los certificados es que evitan que los hosts
deban mantener un conjunto de contraseas para usuarios que tengan que ser
autenticados para lograr el acceso. En lugar de ello, el host da su confianza a
un CA que emite certificados.
Una entidad emisora de certificados es responsable de autenticar y validar las
claves para el cifrado, el descifrado y la autenticacin. Una vez que comprueba
la identidad del titular de la clave, distribuye las claves pblicas mediante la
emisin de certificados X.509. Los certificados X.509 contienen la clave pblica
y un conjunto de atributos. Una entidad emisora puede emitir certificados para
funciones especficas, como proteger el correo electrnico o IPSec, adems de
certificados para funciones habituales.
Estructura de los certificados
Cada certificado contiene la siguiente informacin:
La clave pblica criptogrfica del par de clave pblica y clave privada del
titular del certificado.
Informacin relativa a la persona que ha solicitado el certificado.
Nombre completo X.500 del usuario o el equipo.
La direccin de correo electrnico del propietario del certificado.
Un emisor de
certificados, CA, firma
digitalmente los
certificados. Es posible
emitir certificados para
un usuario, un equipo o
un servicio, como IPSec.
Nota
Defina Certificados Defina Nivel de seguridad
A
c
t
i
v
i
d
a
d
644
Detalles relativos a la entidad.
Fechas de caducidad.
Un valor hash del contenido del certificado para garantizar la autenticidad
(firma digital).
Misin de los certificados
El uso de certificados de una entidad emisora de certificados de confianza como
mtodo de autenticacin entre dos hosts IPSec permite a un host inter-operar
con otros hosts que confen en la misma entidad.
Tambin es posible utilizar certificados para habilitar el Servicio RRAS de forma
que puedan establecer comunicaciones seguras a travs de Internet con
enrutadores de terceros que admitan el uso de IPSec. Sin embargo, los
certificados son ms complejos que las claves previamente compartidas o el
protocolo Kerberos, por lo que requieren un mayor planeamiento administrativo.
Protocolo Kerberos y claves previamente compartidas
Hay otros dos mtodos de autenticacin entre dos hosts IPSec:
Protocolo Kerberos: En lo que respecta al trfico entre equipos del mismo
bosque, la autenticacin del protocolo Kerberos predeterminada es el
mtodo de autenticacin ms simple para IPSec y no requiere ninguna
configuracin. El protocolo Kerberos es un componente de Active Directory,
por lo que forma parte de la estructura de dominio. Sin embargo, en clientes
que no admiten el protocolo Kerberos o no forman parte de la estructura de
Active Directory, es necesario utilizar otro mtodo de autenticacin, como
una clave previamente compartida o un certificado X.509.
Claves previamente compartidas: Una clave previamente compartida es
una larga cadena de texto aleatorio que se utiliza como contrasea entre
dos hosts IPSec. Este tipo de claves no se considera tan seguro como el
protocolo Kerberos o los certificados, ya que se almacenan en texto sin
cifrar en la directiva IPSec.
MONITOR DE SEGURIDAD IP
El complemento Monitor de seguridad IP permite ver los detalles relativos a las
directivas IPSec locales activas y las directivas asignadas al dominio. Estos
detalles se pueden supervisar en el equipo local y en equipos remotos.
Por ejemplo, puede mostrar la siguiente informacin:
Detalles de la directiva IPSec activa, incluido el nombre, la descripcin, la
645
Clase terica 42
fecha de la ltima modificacin, el almacn, la ruta de acceso, la unidad
organizativa y el nombre de la GPO.
Filtros genricos de modo principal y modo rpido, filtros especficos,
estadsticas y asociaciones de seguridad.
Supervisin de las directivas IPSec
Los errores de configuracin y otros problemas relacionados con la
implementacin de IPSec se suelen manifestar cuando dos o ms equipos no
se pueden comunicar entre s.
Para ayudar a aislar la causa de un problema de comunicacin, se recomienda
seguir las siguientes directrices:
1. Detener el Agente de directiva IPSec en los equipos y comprobar las
comunicaciones entre ellos mediante el comando ping. Si hay algn
problema de comunicacin despus de haber detenido la directiva, lo ms
probable es que se deba a problemas generales de la red.
2. Reiniciar el Agente de directiva IPSec y utilizar el Monitor de seguridad
IP para confirmar que se establece una asociacin de seguridad entre los
equipos. Asegurarse de que la directiva de seguridad est en vigor.
3. Utilizar la Administracin de las directivas de seguridad de IP para
comprobar que las directivas se han asignado a ambos equipos.
4. Utilizar Administracin de las directivas de seguridad de IP para verificar
las directivas en los equipos y garantizar que son compatibles entre s.
5. Reiniciar el Monitor de seguridad IP para asegurarse de que se han
aplicado todos los cambios realizados.
Las estadsticas del
modo principal muestran
informacin del
Intercambio de claves de
Internet (IKE).
Nota
Las estadsticas de modo
rpido muestran
informacin relativa
alcontrolador IPSec.
Nota
A
c
t
i
v
i
d
a
d
Defina y desarrolle el termino Monitor de Seguridad IP
646
Asignar o desasignar una directiva IPSec para una directiva de equipo local
Para agregar una consola de administracin de seguridad IP y, a continuacin, asignar o
desasignar una directiva IPSec para una directiva de equipo local:
1. Inicie una sesin con una cuenta de usuario no administrativa.
2. Haga clic en Inicio y en Ejecutar, escriba M M C y, a continuacin, haga clic en Aceptar.
3. En MMC, haga clic en Archivo, haga clic en Agregar o quitar
complemento y, a continuacin, haga clic en Agregar.
4. Haga clic en Administracin de las directivas de seguridad de IP y, a continuacin,
haga clic en Agregar.
5. En la pgina Seleccionar equipo o dominio, compruebe que est seleccionada la opcin
Equipo local y, a continuacin, haga clic en Finalizar.
6. En el cuadro de dilogo Agregar un complemento independiente, haga clic en Cerrar y,
despus, en Aceptar.
7. Guarde la consola como IPSec en el escritorio y despus cierre la consola IPSec.
8. En el escritorio, haga clic con el botn secundario del mouse en IPSec y, a continuacin,
seleccione Ejecutar como.
9. En el cuadro de dilogo Ejecutar como, seleccione la opcin El siguiente usuario, escriba
una cuenta de usuario y contrasea con los permisos apropiados para completar la tarea y
haga clic en Aceptar.
10. En el rbol de la consola, haga clic en Directivas de seguridad IP en Equipo local.
11. En el panel de detalles, haga clic en la directiva IPSec que desee asignar o desasignar y,
a continuacin, realice una de las siguientes acciones:
Para asignar la directiva, en el panel de detalles, haga clic con el botn secundario del
mouse en la directiva apropiada y despus haga clic en Asignar.
Para desasignar la directiva, en el panel de detalles, haga clic con el botn secundario
del mouse en la directiva apropiada y despus haga clic en Desasignar.
Ejercicio 1
Clase prctica 42
Mediante la realizacin de esta prctica usted podr conocer los mtodos de seguridad dispuestos por
IPSec, al momento de asegurar conexiones entre equipos o redes por medio del protocolo TCP/IP, as
como tambin su implementacin conjunta con certificados de seguridad.
Asignar o desasignar una directiva IPSec para una directiva de grupo basada en Active
Directory
Para asignar o desasignar una directiva IPSec para una directiva de grupo basada en Active
Directory:
1. Abra Usuarios y equipos de Active Directory.
2. En el rbol de la consola, haga clic con el botn secundario del mouse en el
dominio o la unidad organizativa para la que desee establecer la directiva de grupo.
3. Haga clic en Propiedades y, a continuacin, en la ficha Directiva de grupo.
4. Haga clic en Modificar para abrir el objeto de directiva de grupo que desee modificar. O bien
haga clic en Nuevo para crear un nuevo objeto de directiva de grupo y, despus, haga clic en
Modificar.
5. En la consola Editor de objetos de directiva de grupo, expanda sucesivamente Configuracin
del equipo, Configuracin de Windows y Configuracin de seguridad, y haga clic en
Directivas de seguridad IP en Active Directory.
6. En el panel de detalles, haga clic en la directiva IPSec que desee asignar o desasignar y, a
continuacin, realice una de las siguientes acciones:
Para asignar la directiva, en el panel de detalles, haga clic con el botn secundario
del mouse en la directiva apropiada y despus haga clic en Asignar.
Para desasignar la directiva, en el panel de detalles, haga clic con el botn secundario
del mouse en la directiva apropiada y despus haga clic en Desasignar.
Ejercicio 1
Ejercicio 3
Configurar IPSec para utilizar certificados
Para configurar IPSec de modo que se use un certificado:
1. Cree un complemento Administracin de seguridad IP que contenga directivas de seguridad
IP. O bien abra un archivo de consola guardado que contenga directivas de seguridad IP.
2. Haga doble clic en la directiva que desee modificar.
3. En el cuadro de dilogo Propiedades de directiva, haga doble clic en la regla de seguridad
IPSec que desee modificar.
4. En el cuadro de dilogo Propiedades de Modificar la regla, en la ficha Mtodos de
autenticacin, haga clic en Agregar. O bien, si est reconfigurando un mtodo existente,
haga clic en el mtodo de autenticacin y, despus, haga clic en Modificar.
5. Seleccione Usar un certificado de esta entidad emisora de certificados (CA) y haga
clic en Examinar.
6. En el cuadro de dilogo Seleccionar certificado, haga clic en la entidad emisora de
certificados apropiada y, despus, haga clic en Aceptar.
7. En la ficha Mtodo de autenticacin, haga clic en Aceptar.
8. En el cuadro de dilogo Propiedades de Modificar la regla, haga clic en Aceptar.
9. En el cuadro de dilogo Propiedades de directiva, haga clic en Aceptar.
648
Ejercicio 4
Detener o iniciar los servicios IPSec mediante la interfaz de Windows
Para detener e iniciar los servicios IPSec mediante la interfaz de Windows:
1. Abra la consola Servicios.
2. En el panel de detalles, haga clic con el botn secundario del mouse en Servicios IPSec y,
a continuacin, haga clic en Detener.
Para iniciar los servicios IPSec:
1. Abra la consola Servicios.
2. En el panel de detalles, haga clic con el botn secundario del mouse en Servicios IPSec y,
a continuacin, haga clic en Iniciar.
Detener o iniciar los servicios IPSec mediante el smbolo del sistema
Para detener e iniciar los servicios IPSec mediante el smbolo del sistema:
1. Detenga el Servicio de enrutamiento y acceso remoto mediante el comando net stop
remoteaccess.
2. Detenga los servicios IPSec mediante el comando net stop policyagent.
3. Inicie los servicios IPSec mediante el comando net start policyagent.
4. Inicie el Servicio de enrutamiento y acceso remoto mediante el comando net start
remoteaccess.
Ver detalles de la directiva IPSec activa
Para ver los detalles de la directiva IPSec activa mediante el Monitor de seguridad IP:
1. Cree una consola MMC que contenga el complemento Monitor de seguridad IP. O bien, abra
un archivo de consola guardada que contenga el Monitor de seguridad IP.
2. Expanda Monitor de seguridad IP expanda NombreDeEquipo y, a continuacin, haga clic
en Directiva activa.
3. En el panel de detalles, consulte la informacin de la directiva activa.
Ver las asociaciones de seguridad del modo principal de la directiva IPSec activa
Para ver las asociaciones de seguridad de modo principal de la directiva IPSec activa mediante
el Monitor de seguridad IP:
1. Cree una consola MMC que contenga el complemento Monitor de seguridad IP. O bien, abra
un archivo de consola guardada que contenga el Monitor de seguridad IP.
2. Expanda Monitor de seguridad IP, expanda Modo principal y, a continuacin, haga clic en
Asociaciones de seguridad.
3. En el panel de detalles, consulte la informacin de asociaciones de seguridad.

Idioma

Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER

Cargado por

Información del documento

Descripción:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Descripción:

Copyright:

Formatos disponibles

Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER

Cargado por

Descripción:

Copyright:

Formatos disponibles

ADMINISTRACIN DE

WINDOWS 2003 R2 SERVER

pero no debidamente documentados.

deber ser justificada.

El servidor DHCP pide

Intereses relacionados

También podría gustarte