Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Usuarios
(Cuentas de usuario)
PC
Base de datos
Grupos
PC PC PC
Servidor
Directorio
Global
Grupo de trabajo: Agrupación lógica de computadoras que comparten
recursos.
Cada computadora tiene su base de datos local.
Inicio de Usuario
sesión Contraseña
Active
Dominio
Directory
Token
• Sesion ID (este es para cada sesión, cambia cada ves que nos
loguemos al servidor).
1
• Lista de grupos donde pertenece el usuario.
c/recurso Archivo
Impresión Todos tienen asociado una ACL
Carpetas Microsoft las llama DACL (Directory Access
Control List).
Las ACL son las listas donde identifica un User ID del Token y los
permisos para estos.
Base de datos
Domain
Controller
PC PC
PC
2
Cuando se instala el primer servidor este es un Stand Alone Server y se
le instala el software llamado DCPROMO para que sea Active
Directory. Si posteriormente a creado el dominio hago el mismo
procedimiento en otro equipo lo que estaré haciendo es tener dos
servidores de dominio para un mismo dominio, los mismos se
sincronizaran entre si, por lo que el que se halla instalado ultimo
recibirá una copia de la información contenida en el primer equipo. El
hecho de tener más de un servidor para un dominio ofrece diferentes
beneficios, por ejemplo:
• Sincronización
• Redundancia
• Performance
• WAN
La sincronización es debido a que cada servidor replicara la
información con los servidores restantes. Redundancia es debido a
que, en caso de caer un servidor, quedan los restantes, por lo que, el
dominio seguirá trabajando, tal ves no con la misma performance que
lo hacía con todos los servidores activos, pero por lo menos no se
pierde el servicio. Performance es debido a que, a veces el tamaño de
la red produce que la carga sea demasiada para un servidor, y de esa
forma, gracias a la sincronización que hacen los servidores, estos
pueden distribuir de forma equitativa la carga de trabajo entre uno y
otro, y de esa forma mejorar la performance de funcionamiento de los
diferentes servidores en la red. WAN es debido a que, en el caso de
sucursales separadas físicamente y conectadas por un enlace WAN, no
sería muy útil que los usuarios que no están en la red local del servidor
se autenticaran en el servidor remoto, debido a que los enlaces WAN
son “lentas” y caras, por este mismo motivo se pueden instalar dos
servidores conectados por intermedio de un enlace WAN; para
optimizar el uso del enlace WAN se pueden configurar los servidores
para que sincronicen al momento, enviando solo los cambios, o
configurando que almacene los cambios y que los sincronice a una
hora determinada, estas posibilidades son parea optimizar y poder
sacar el mejor rendimiento de los enlaces WAN.
3
• Administración delegada, debido a que el administrador puede
derivar funciones administrativas específicas a otros
administradores de la red.
Objetos Atributos
Usuarios Nombre
Contraseña
Teléfono
Lista de
grupos
“Member OF”
User ID
Después de crear el dominio con el DCPROMO, junto con este hay una
serie de objetos que vienen por defecto:
Usuarios Dominio
Administrator/Administ OU = Equipo
rador (Computers)
Guest/Invitado OU = Usuarios (Users)
OU = Domain
Controllers
4
ACME
Acme
OU=Users
OU=Marketing
BS.AS MVD
OU=Salto
OU=Ventas
Norte Sur
OU=Marketing
Bosques (Forrest)
5
Bosque
(Forrest)
Acme Acme
CN = Common Name
OU = OU
DC = Dominio
<Acme>
OU =MKTG
Federico
dsadd user "cn=federico,ou=mktg,dc=acme,dc=com,dc=uy"
Grupos
Usuarios
Grupos Computadoras
7
Hay dos formas de clasificar grupos, por su:
Acme.com
MVD
BS.AS(GG) (DC)
Norte
9
Owner (Dueño): se maneja internamente, hace referencia al usuario
que creó un recurso.
Compartir Objetos
Permisos
DET y FAT
Para entender los permisos tal cual son se debe explicar antes los
conceptos de DET (“Directory Entry Table”) que no es más que una
tabla de directorios de la partición, y el de la tabla FAT (File Allocation
Table), la cual guarda las direcciones de los bloques en el disco.
Tipos de Permisos
Estándar: los que permiten el uso diario de los recursos (Read, Write).
Los permisos explícitos son todos los que se pueden agregar o quitar, y
los permisos heredados no se pueden modificar (en Windows se ven
sombreados en gris), ya que vienen asignados desde un nivel superior.
En este caso los permisos, desde la carpeta que tiene permisos
heredados no pueden ser modificado, pero si borrados eliminando la
herencia de esta carpeta o archivo,(por un usuario Administrador por
ejemplo); para modificar los permisos, estos deben ser modificados en
la carpeta donde se agregaron originalmente. Lo que sí se puede hacer
10
con los permisos heredados es denegarlos debido a que la casilla
“Denegar/Deny” no esta sombreada, en este caso quedara con el
permiso negado debido a que:
Carpeta Compartida
11
\\nombre del equipo\nombre de carpeta compartida
Los permisos de las carpetas compartidas son solo para el acceso por
red (remoto), si un usuario que no tiene permiso para acceder a esa
carpeta, pero este se moviliza físicamente hasta donde se encuentra la
PC y se loguea en la misma, por más que lo haga con su usuario de
dominio, este podrá acceder a las carpetas en la cuales no tiene
permiso debido a que los permisos que rigen en ese momento son los
permisos locales que tenga esa carpeta.
13
Grupo Print Manage Printers Manage
Documents
Administradores X X X
Creator/Owner X X
Everyone X
Power Users X X X
Printer X X X
Operators
Server X X X
Operators
• Control Total
• Escritura: Cambiar atributos de objetos
• Lectura: Ver objetos y sus atributos
• Crear: crear objetos tales como usuarios o equipos
• Eliminar: Eliminar objetos
Al igual que los permisos NTFS, se heredan de padres a hijos (OUs y
SubOUs) y se pueden otorgar y denegar explícitamente.
Para cambiar la forma en que un permiso es heredado hay que hacerlo
en la ventana avanzada de permisos especiales, seleccionando el
permiso a cambiar y clickeando en el botón edit.
Al mover una OU hereda los permisos del nuevo lugar.
14
Mail, etc.
Al fin y al cabo, este asistente asigna permisos especiales para un
grupo o usuario sobre otros grupos, usuarios o OUs de forma sencilla
desde el punto de vista del administrador.
NTFS
Compresion de archivos
15
En este caso se compactarían todos los archivos (*.*) de la carpeta test
(>) y sus subdirectorios (/s).
/v es para descomprimir
Encriptación /Cifrado
Cuotas de disco
Consiste en asignarle a los usuarios un tamaño máximo de uso en el
disco con los archivos pertenecientes a los mismos.
Se activa individualmente por cada volumen de disco (partición).
Se manejan dos límites:
• De aviso: cuando el usuario llega a este límite con los archivos de los
cuales es dueño, se registra un evento en el visor de eventos.
• Tope: cuando el usuario llena su cuota , hay dos opciones que son
configurables por el administrador:
1. Permite continuar escribiendo en disco
2. No permite continuar escribiendo en disco
Aunque las cuotas se puedan administrar por grupos, se aplica el límite
a cada usuario individualmente. Cuando existen archivos las cuotas
toman en cuenta el tamaño real y no el comprimido.
Directivas de Grupo (Group Policies)
16
Usuarios (Perfil de usuarios)
Aplicaciones
• IE
• Outlook
• Windows
3. Aplicar directivas de grupos
o group policies Lista de algunos parámetros
Una vez que un GPO está aplicado sobre alguno de los tres elementos
anteriores, existe la herencia y el bloqueo de herencia. También, una
vez aplicado, se pueden filtrar los usuarios y grupos a los que va a
afectar.
Orden de aplicación de las GPO
1. Cuando se prende el equipo, se aplica la policy referente al
equipo.
2. Se carga la policy de site referente al equipo.
3. Se carga la policy de Dominio referente al equipo.
4. Se carga la policy de OU referente al equipo.
En este momento aparece la pantalla de logueo
5. Se carga la policy local del usuario
6. Se carga la policy del site del usuario
7. Se carga la policy del dominio del usuario
8. Se carga la policy de la OU del usuario
Todas estas se van sumando y las políticas de equipo (1º al 4º) son las
que se usan para los parámetros referentes al equipo; y las políticas de
usuario (5º a 8º) son las que usan para los parámetros referentes al
usuario. En caso de que un mismo parámetro exista en las dos
políticas, van a prevalecer los del usuario, ya que son los únicos que se
alican (en caso de políticas contrarias lo único prevalece la poltica de la
ultima GPO que se aplica, sin importar cual sea esta).
18