1

Taller 1 Administración de Servidores

(Abril 2019)
Andres Gomez, Deividson Callejas, Esteban Moreno
dcallejas@sanmateo.edu.co
afelipegomez@sanmateo.edu.co
jestebanmoreno@sanmateo.edu.co

 operar sobre ella mediante procesos determinados y suministrar

Abstract—The following document addresses important issues
of the administration of computer systems, and thus understand a
little better what to do or not to do in the different problems that
arise at the time of managing a network, cluster or datacenter.
Resumen— En el siguiente documento se abordan temas
importantes de sobre la administración de sistemas informaticos, y
así entender un poco mejor lo que se debe o no hacer en las diferentes
prblematicas que se presentan en el momento de administrar una
red, cluster o datacenter.
los resultados de dichas operaciones) y la forma en la que se
interconectan los componentes de hardware. Este modelo está
basado en el explicado por el físico y matemático John Von
Neumann en el año 1945.
Está formado por una CPU (Central Processing Unit) o
Unidad Central de Procesamiento que a su vez contiene una
ALU (Arithmetic Logic Unit) o Unidad Aritmética Lógica y los
registros del procesador, una unidad de control y un contador
de programa. También posee una memoria principal y un
mecanismo de entrada y salida.

Index Terms—Processing architectures, Servers, Share Files,

Local Policies, Advanced Security Audit, Group Policies, Printers
Audit, Active Directory.

Palabras Clave—Arquitecturas de Procesamiento, Servidores,

Compartir Archivos, Directivas Locales, Auditoria de Seguridad
Avanzada, Directivas de Grupo, Auditoria de Impresoras, Directorio
Activo.

I. INTRODUCCION

E L presente document es una guia básica para aprender

sobre la administracion de servidores en entronos
corporativos y no corporativos, estos fundamentos serviran de
ayuda al momento de crear una red de servidores en la cual
puede trabajar nuestra propia empresa o la empresa que contrate
nuestros servicios como profesionales para este tipo de trabajos.
Además de esto se pretende llegar a las personas cuya
inclinación por la tecnologia los impulse a crear y a aprender
como funcionan estos servicios y como es la forma más correcta
de utilizarlos a nuestro favor al momento de crear o innovar en
este campo de las redes y la tecnologia.
II. ARQUITECTURA DE PROCESAMIENTO VON-NEUMANN
El modelo de Von Neumann también conocido como
Arquitectura Von Neumann o arquitectura Princeton es, como
su nombre lo indica, una arquitectura de computadoras, es decir
un modelo conceptual que muestra cómo funciona una
computadora (Máquina electrónica digital programable para el
tratamiento automático de la información, capaz de recibirla,
a. Unidad Central de Procesamiento: Es la encargada
de interpretar y procesar las instrucciones recibidas de
un programa a través de la realización de operaciones
básicas aritméticas (Suma, resta, multiplicación y
división) y lógicas (AND, OR y NOT) realizadas por
la Unidad Aritmética Lógica. Para esto utiliza los
registros del procesador que son una pequeña memoria
que almacena datos binarios y tiene un tiempo de
acceso cinco a diez veces menor que la memoria
principal, uno de los registros es
denominado Program Counter y es quien calcula
automáticamente la cantidad de ciclos de ejecución y
apunta a la próxima instrucción en ser ejecutada. Y por

último se encuentra la unidad de control que es aquella
que tiene como objetivo buscar instrucciones en la
memoria principal y ejecutarlas luego de
decodificarlas.
b. Memoria principal: Es un conjunto de celdas del
mismo tamaño que están asociadas con un número
denominado dirección de memoria y sirve para
almacenar datos de manera temporal para ser
utilizados posteriormente.
Sistema de entrada y salida: Genera las señales
necesarias para transferir datos y códigos desde y
hacia periféricos. Un periférico es aquel dispositivo
que es capaz de interactuar con los elementos externos
ya sea emitiendo información o recibiéndola.
c. Cuello de Botella de Neumann: Debido a que la
memoria principal está separada de la Unidad Central
de Procesamiento, se genera un cuello de botella o un
rendimiento limitado entre estos dos componentes ya
que la velocidad de transmisión de datos no está
acorde a la cantidad de la misma. Para atenuar este
inconveniente existen diferentes mecanismos. Unos de
los más populares es la inclusión de una llamada
memoria caché entre la CPU y la memoria o el
denominado Pipeline que permite iniciar instrucciones
antes de terminar el ciclo de instrucción del anterior,
es decir que de esta forma existiría un trabajo en
paralelo.
III. ARQUITECTURA DE PROCESAMIENTO HARDVARD
Originalmente, el término Arquitectura Harvard hacía
referencia a las arquitecturas de computadoras que utilizaban
dispositivos de almacenamiento físicamente separados para las
instrucciones y para los datos (en oposición a la Arquitectura de
von Neumann). El término proviene de la computadora Harvard
Mark I, que almacenaba las instrucciones en cintas perforadas
y los datos en interruptores.
Todas las computadoras constan principalmente de dos
partes, la CPU que procesa los datos, y la memoria que guarda
los datos. Cuando hablamos de memoria manejamos dos
parámetros, los datos en sí, y el lugar donde se encuentran
2
almacenados (odirección). Los dos son importantes para la
CPU, pues muchas instrucciones frecuentes se traducen a algo
así como "coge los datos de ésta dirección y añádelos a los datos
de ésta otra dirección", sin saber en realidad qué es lo que
contienen los datos.
En los últimos años la velocidad de las CPUs ha aumentado
mucho en comparación a la de las memorias con las que trabaja,
así que se debe poner mucha atención en reducir el número de
veces que se accede a ella para mantener el rendimiento. Si, por
ejemplo, cada instrucción ejecutada en la CPU requiere un
acceso a la memoria, no se gana nada incrementando la
velocidad de la CPU (este problema es conocido como
limitación de memoria).
Se puede fabricar memoria mucho más rápida, pero a costa
de un precio muy alto. La solución, por tanto, es proporcionar
una pequeña cantidad de memoria muy rápida conocida con el
nombre de memoria caché. Mientras los datos que necesita el
procesador estén en la caché, el rendimiento será mucho mayor
que si la caché tiene que obtener primero los datos de la
memoria principal. La optimización de la caché es un tema muy
importante de cara al diseño de computadoras.
La arquitectura Harvard ofrece una solución particular a este
problema. Las instrucciones y los datos se almacenan en cachés
separadas para mejorar el rendimiento. Por otro lado, tiene el
inconveniente de tener que dividir la cantidad de caché entre los
dos, por lo que funciona mejor sólo cuando la frecuencia de
lectura de instrucciones y de datos es aproximadamente la
misma. Esta arquitectura suele utilizarse en DSPs, o procesador
de señal digital, usados habitualmente en productos para
procesamiento de audio y video.
IV. ARQUITECTURA DE PROCESAMIENTO HARDVARD
MODIFICADA
La arquitectura Harvard modificada es una variación de la
arquitectura Harvard que permite que los contenidos de la
memoria de instrucciones sean accedidas como si fuesen datos.
La mayoría de los ordenadores actuales que en su
documentación dicen implementar una arquitectura Harvard, de
hecho, implementan una arquitectura Harvard modificada.
Caracteristicas:
a. La memoria de instrucciones y datos ocupan diferente
espacio de direcciones.
b. La memoria de instrucciones y datos tienen caminos
hardware separados de la unidad central de proceso
(CPU)

c. La memoria de instrucciones y datos pueden ser
accedidas de diferente manera
V. MODELOS PARA COMPARTIR ARCHIVOS EN WINDOWS
SERVER
En las organizaciones es indispensable determinar un modelo
efectivo para compartir la información entre los usuarios que la
integran para garantizar la disponibilidad de la información
desde cualquier parte, los servidores de Windows ya tenían
establecidos modelos para compartir y sincronizar archivos,
pero en las versiones anteriores a Windows server 2016 estas
funcionalidades estaban ocultas o había que descargar parches
para agregarlas.
Las organizaciones mantienen el control sobre los datos
corporativos almacenando los archivos en servidores de
archivos administrados y los usuarios pueden almacenar y tener
acceso a archivos de trabajo en equipos y dispositivos. Ofrece
la funcionalidad de crear carpetas de trabajo con otras
implementaciones como redirección de carpetas, archivos sin
conexión y carpetas particulares.
Las carpetas de trabajo almacenan archivos de usuario en una
carpeta del servidor llamada compartir sincronización. También
los administradores pueden usar Carpetas de trabajo para que
los usuarios puedan tener acceso a sus archivos de trabajo,
manteniendo el almacenamiento centralizado y un control total
sobre los datos de la organización.
- Proporcionan un único punto de acceso a los archivos de
trabajo desde los equipos y dispositivos tanto del trabajo como
personales de un usuario
- Permiten acceder a los archivos de trabajo aún sin conexión y,
en cuanto el equipo o el dispositivo se conecta a Internet o a la
intranet, se sincronizan con el servidor de archivos central.
- Usan tecnología de administración del servidor de archivos
- Los Servicios de almacenamiento y archivos son una buena
manera de configurar los recursos compartidos de
sincronización
- Supervisar Carpetas de trabajo y administrar los recursos
compartidos de sincronización y el acceso de los usuarios
- Módulo de Windows PowerShell que contiene cmdlets
completos para administrar los servidores de Carpetas de
trabajo
3
- Se establece un volumen con formato de sistema de archivos
NTFS para almacenar archivos de usuario.
- Un nombre de dominio registrado públicamente y la capacidad
de crear más registros DNS públicos para el dominio.
- Un bosque de Active Directory Domain Services con
extensiones de esquema en Windows Server 2012 R2 para
poder remitir automáticamente los equipos y los dispositivos al
servidor de archivos adecuado cuando se usen varios servidores
de archivos.
- Puedes ejecutar este servicio de rol de Windows Server en una
máquina virtual en Microsoft Azure. Este escenario se ha
probado con Windows Server 2012 R2 y Windows Server
2016.
En Windows Server 2012 R2, cuando los cambios efectuados
en el archivo se sincronizan con el servidor de Carpetas de
trabajo, no se notifica el cambio a los clientes y estos deben
esperar hasta 10 minutos para obtener la actualización.
En Windows Server 2016, el servidor de Carpetas de trabajo
notifica inmediatamente a los clientes de Windows 10 y los
cambios del archivo se sincronizan inmediatamente, pero
requiere un cliente de Windows 10.
VI. AUDITORIAS DE SEGURIDAD WINDOWS SERVER
A. Directivas Locales
Las Directivas de Grupo (en adelante GPO) permiten
implementar configuraciones específicas para uno o varios
usuarios y/o equipos. Nos centraremos en cómo se debe
hacer la gestión correcta de GPO en Active Directory de
Microsoft Windows.
Para la configuración de GPO que sólo afecten a un usuario
o equipo local se puede utilizar el editor de directivas
locales gpedit.msc. En nuestro caso accederemos en el
entorno de Servicios de Dominio de Active Directory, con la
consola de administración gpmc.msc.
Las GPO permiten administrar objetos de usuarios y equipos,
aplicando la más restrictiva en caso de existir más de una
política. Se puede usar una GPO para casi cualquier cosa,
como indicar qué usuario o grupo tiene acceso a una unidad
de disco, o limitar el tamaño máximo que puede tener un
archivo .
Las GPO se pueden diferenciar dependiendo del objeto al que
configuran y se pueden entender en distintos niveles:
 Equipo Local: tan solo se aplican en el equipo que las
tiene asignadas independientemente del dominio al
que pertenezca.
 Sitio: se aplican a los equipos y/o usuarios de un sitio,
independientemente del dominio.
 Dominio: se aplican a todos los equipos y/o usuarios
de un dominio.
 Unidad Organizativa (OU): se aplican únicamente a
los equipos y/o usuarios que pertenecen a la OU.
Dentro de la configuración de directiva se puede acceder a lo
siguiente:
 Configuración de equipo

 Configuración de usuario Con esto quedaría dada de alta la GPO y creada a nuestro
antojo. Actualmente existen 3667 políticas disponibles para
Ambos elementos se dividen en los mismos submenús, pero configurar y se pueden descargar de la web de Microsoft.
las políticas son distintas.
Vamos a ver un ejemplo de creación de GPO para que los
usuarios monten una unidad de red al iniciar sesión.  Para configurar una directiva de acceso a objetos
B. Creación de una GPO
1.
1. Dentro de Administrador del
servidor seleccionar Herramientas y Administración
de directivas de grupo: 2.
2. Aparecen las GPO del dominio.
3. Para crear una nueva GPO desde cero, pulsar
en Objetos de directiva de grupo con el botón 3.
derecho y seleccionar Nuevo:
4. No seleccionar ninguna GPO de origen.
Pulsar Aceptar:
5. Pulsar sobre la nueva GPO con el botón derecho y 4.
seleccionar Editar…
Una vez dentro de la edición de la GPO hay que asignar la 5.
unidad de red que los usuarios deben montar, siguiendo las
políticas adecuadas.
1. Navegar a Configuración del usuario->Preferencias- 6.
>Configuración de Windows->Asignaciones de
Unidades y editar la unidad que viene asignada en la
GPO pulsando sobre ella con el botón derecho y
seleccionar Propiedades: 7.
Seleccionar la ubicación, el nombre con el que se quiere
mostrar la unidad, la letra que se le asignará y el usuario que 8.
se conectará
C. Activar una GPO
Para activar una GPO se debe seleccionar la OU, dominio, 9.
sitio o equipo local donde se quiere activar la GPO.
Un usuario, estará en un equipo local que a su vez se ubica
en un sitio, y este sitio pertenecerá a un dominio que será
10.
miembro de una OU. Se puede dar la situación en la que en
un equipo local se aplique una GPO, en el sitio otra, y en el
dominio y la OU otras, respectivamente. Cuando se den casos 11.
así, las políticas se aplicarán según unas prioridades que
atienden a una serie de reglas que se describen a
continuación.
En las GPO, las políticas asignadas a una OU prevalecen
sobre las del dominio, que a su vez prevalecen sobre las del 12.
sitio y estas, sobre las del equipo local. Esto no quiere decir
que las políticas se anulen unas a otras, sino que siempre se
suman y tan solo se anulan en caso de contradecirse entre
13.
ellas.
Se aplica el siguiente diagrama de flujo para leer las GPO
y se comprueba si se contradicen o no, sumando las
coherencias y prevaleciendo las más restrictivas.
14.
Cada organización debe crear las GPO que más se acerquen
a sus necesidades. Para añadir la GPO, por ejemplo al
15.
dominio, hacer click con el botón derecho y
seleccionar Vincular GPO existenteY por ultimo
personalizar a que usuarios o grupos se aplicará la política.
4
global
Inicia sesión en el controlador de dominio DC1 como
Contoso\Administrador con la
contraseña pass@word1.
En el administrador del servidor,
seleccione herramientasy, a continuación, haz clic
en Group Policy Management **.
En el árbol de consola, haz doble clic en dominios, haz
doble clic encontoso.com, haz clic en Contosoy, a
continuación, haz doble clic enservidores de archivos
**.
Haz clic en FlexibleAccessGPOy haz clic en editar
**.
Haz doble clic en configuración del equipo, haz
doble clic en directivasy, a continuación, haz doble
clic en configuración de Windows **.
Haz doble clic en la configuración de seguridad, haz
doble clic en configuración de directiva de auditoría
avanzaday, a continuación, haz doble clic en las
directivas de auditoría **.
Haz doble clic en acceso a objetosy, a continuación,
haz doble clic en auditar sistema de archivos **.
Selecciona el configurar los siguientes
eventos casilla de verificación, selecciona
el éxito y error casillas de verificación y, a
continuación, haz clic en Aceptar **.
En el panel de navegación, haz doble clic en auditoría
de acceso a objetos Globaly, a continuación, haz
doble clic en sistema de archivos **.
Selecciona el definir esta configuración de
directiva casilla de verificación y haz clic
en configurar **.
En la la configuración de seguridad avanzada para
la SACL de archivo Global cuadro, haz clic
en agregar, a continuación, haz clic en seleccionar
una entidad de seguridad, tipo todosy, a
continuación, haz clic en Aceptar **.
En la entrada de auditoría para la SACL de archivo
Global cuadro, seleccione control total en
la permisos cuadro.
En la agregar una condición: sección, haz clic
en agregar una condición y listas de en la lista
desplegable, selecciona
[Recursos] [Departamento] [Any of] [Value]
[Finanzas].
Haz clic en Aceptar configuración de directiva de
auditoría de tres veces para completar la configuración
del acceso a objetos global.
En el panel de navegación, haz clic en acceso a
objetosy en el panel de resultados, haz doble clic
en manipulación de identificadores de auditoría
**. Haz clic en configurar los siguientes eventos de
auditoría, éxito, y error, haz clic en Aceptary, a
continuación, cierra el GPO de acceso flexible.
 5

 Actualizar la configuración de directiva de grupo el visor de eventos..

En este paso, vas a actualizar la configuración de directiva de
grupo después de haber creado la directiva de auditoría. Para acceder a las directivas de auditoria deberemos de seguir
 Para actualizar la configuración de directiva de grupo esta ruta:
1. Inicia sesión en el servidor de archivos, archivo1 como Configuración de equipo -> Configuración de Windows -
Contoso\Administrador con la > Configuración de seguridad -> Configuración de directiva
contraseña pass@word1. de auditoria avanzada -> Directivas de auditoria
2. Presiona la tecla + R, de Windows, a continuación, Y tras acceder a esta ruta veremos que tenemos una serie
escribe cmd para abrir una ventana de símbolo del de opciones para auditar y dentro de estos varios puntos
sistema. determinados como muestra la siguiente imagen:
Nota
Si la Control de cuentas de usuario aparece el cuadro de
diálogo, confirma que la acción que se muestra es lo que
desea y, a continuación, haz clic en Sí **.
3. Tipo comando gpupdate/force y, a continuación,
presione ENTRAR.
 Comprueba que se ha aplicado la directiva de acceso a
objetos global
Después de aplicar la configuración de directiva de grupo,
puedes comprobar que la configuración de directiva de
auditoría se haya aplicado correctamente.
 Para comprobar que se ha aplicado la directiva de
acceso a objetos global
1. Inicia sesión en el equipo cliente, CLIENTE1 como
Contoso\MReid. Busca la carpeta hipervínculo
"file:///\\ID_AD_FILE1\\Finance" \\ FILE1\Finance
documentos y modificar 2 del documento de Word.
2. Inicia sesión en el servidor de archivos, archivo1 como
Contoso\Administrador. Abre el Visor de eventos, Windows Server 2012 – GPO – Audotria
vaya a registros de Windows, selecciona seguridady
confirme que tus actividades han generado eventos de
auditoría 4656 y 4663 (aunque no hubieras definido
listas SACL de auditoría explícitas en los archivos o Y ahora creo que solo faltaría por dejar una lista de algunas
carpetas que creaste, modificaste y eliminaste). cosas que podremos auditar:
Importante 1. Cuando un usuario inicia sesión correctamente
Se genera un evento de inicio de sesión de nuevo en el 2. Cuando hay un intento de inicio se sesión fallido
equipo donde se encuentra en nombre del usuario para el que 3. Cuando se accede a una carpeta o archivo
se está comprobando el acceso eficaz el recurso. Cuando se 4. Cuando se elimina una carpeta o archivo
analizan los registros de auditoría de seguridad para el inicio 5. Cuando un equipo se conecta y/o desconecta
de sesión actividad del usuario, para diferenciar entre los De todas formas deberemos de ser prudentes a la hora de
eventos de inicio de sesión que se generan debido al acceso auditar, auditar demasiados eventos colapsará el registro y
eficaz y aquellos generados a causa de un usuario interactivo este tiene un tamaño determinado que una vez alcanzado
red inicia sesión, se incluirá la información del nivel de elimina los eventos más antiguos, esto puede provocar que se
representación. Cuando se genere el evento de inicio de eliminen registros importantes por lo que deberemos de ser
sesión debido a un acceso eficaz, el nivel de representación muy cautos a la hora de auditar y habilitar parámetros.
será la identidad. Por lo general, un registro del usuario Y bueno amigos, esto es todo, espero que os haya gustado
interactivo de red en genera un evento de inicio de sesión con y que os animéis a compartirlo.
el nivel de representación = suplantación o delegación. Para este artículo me he apoyado en el libro: Windows
Auditar eventos es una excelente forma de obtener un Server 2012 – MCSA 70-410 – Instalación y configuración
control de la red y de las acciones de los usuarios en esta y es
que mediante la auditoria podremos podremos registrar AUDITORIA DE FICHEROS Y DIRECTORIOS
ciertas acciones, o mejor dicho, accesos de los usuarios a
ciertos recursos de la red. Es muy común hoy en día la necesidad de auditar el
Para trabajar la auditoria deberemos hacerlo aplicando una acceso a los ficheros de nuestros servidores. Con estas
GPO o Group Policy Object al usuario o grupo de usuarios auditorías podremos saber si alguien ha borrado un fichero,
que queramos tener “vigilados” pero no olvidemos que la lo ha modificado, ha accedido a él, etc, etc.
auditoria no impedirá al usuario llevar a cabo las Para ello, primero estableceremos una nueva GPO en
acciones auditadas, simplemente estas acciones quedarán nuestro dominio para habilitar la auditoría y lo vincularemos
registradas y podremos consultarlas más tarde mediante

al servidor de ficheros, o a todo el dominio, según sea
necesario.
La vamos a llamar “Auditoria de Objetos”, por ejemplo.
Y después editaremos la directiva y habilitaremos la
directiva de auditoría de objetos:
Una vez hecho esto, vamos a las propiedades de las
carpetas que deseamos auditar y establecemos las
operaciones sobre la misma que queremos que vayan al
registro de eventos. Abrimos las opciones avanzadas de
seguridad:
6
Y una vez las tenemos abiertas, vamos a la pestaña de
“Auditoría”:
Y seleccionamos las operaciones a auditar y sobre qué
usuarios o grupos deseamos realizar la auditoría, podemos
elegir auditar distintas operaciones para cada grupo de
usuarios o usuarios:
También podemos auditar todos los permisos que se
utilicen, a nuestro gusto.
 7

En este caso he elegido la entidad de seguridad”Todos”,  Usando la combinación de teclas siguiente y en la

pero se puede elegir un usuario concreto o un grupo, y
normalmente se seleccionan únicamente las operaciones a
auditar, solo borrado de ficheros, por ejemplo. En “Tipo”
podemos elegir Correcto, Error o Ambos para auditar todas
las operaciones que realicen sobre los ficheros.
Y nos aparecerá en el visor de eventos los registros, el ID
de evento es el 4663, 4659, 4656, etc. Podemos crear un filtro
en el visor de eventos para verlos todos.
Una vez hecho esto necesitaríamos configurar el log de
seguridad, a nivel de retención, para que sobre escriba o
archive el contenido, en nuestro caso nos interesa archivar el
contenido y guardarlo.
ventana desplegada ingresar el comando gpedit.msc,
pulsamos Enter o Aceptar.
+R
 Una vez accedamos al editor nos dirigimos a la
siguiente ruta: Configuración del equipo /
Configuración de Windows /Configuración de
seguridad /Directivas locales /Directiva de
auditoría

Auditar el uso de la impresora, número decopias

imprimidas por usuario
Microsoft Windows Server 2013 yMicrosoft Windows
Server 2008 permitenauditar el uso de las impresoras por
parte de los usuarios, de forma quepodremos saber cuántas
copias imprime en cada impresora cada usuario.
nprincipioMicrosoft Windows Server 2003 almacena esta
informaci!n en elvisor de sucesos por lo que podrá ser
consultada directamente, pero nopodremos obtener informes
avan"ados para ello #abrá que usar aplicacionesde
terceros.$a opci!n de auditor%a de impresi!n s!lo podrá acti
varse en impresorasinstaladas en el servidor bien de red o
bien en puerto paralelo o&S'. (araactivar la auditor%a de
impresoras en el servidor se)uiremos los si)uientespasos*+.
briremos la carpeta de -mpresoras y fa es, pulsaremos en AMPLIAR
el men/ rc#ivo 1 (ropiedades del servidor *
En la pestaña "Opciones avanzadas" deberemos marcar la Como podemos observar todas las políticas de auditoría se
opción "Activar elregistro de sucesos de información de encuentran deshabilitadas.
la cola de impresión":

2. Clases de políticas de auditoría en Windows Server

2013

Nota
En todas las opciones de auditoría veremos las mismas
opciones a auditar; Correcto o Erróneo.

Como podemos observar contamos con múltiples opciones

de auditorías en Windows Server 2016, estas son:

Auditar el acceso a objetos

Configurar las políticas de seguridad en Windows
Server 2013
Para acceder a las políticas de seguridad debemos ir al
editor de políticas de grupos y para ello podemos usar alguna
de las siguientes opciones:
 Dirigiéndonos a la ruta Panel de control\Todos los
elementos de Panel de control\Herramientas
administrativas y allí seleccionar la opción Directiva
de seguridad local.
Gracias a esta política podremos conocer si un usuario ha
intentado acceder a los objetos que no forma parte de Active
Directory.
Esta auditoría solo aplica a los objetos de las listas de
control de acceso al sistema (SACL) y exclusivamente si los
intentos de acceso como leer o escribir se encuentran dentro
de la configuración de SACL. Al ejecutar la política
activaremos las casillas que deseamos auditar:
 8

Imagen 01

Ambos elementos se dividen en los mismos submenús, pero las

políticas son distintas.
Vamos a ver un ejemplo de creación de GPO para que los
usuarios monten una unidad de red al iniciar sesión.
En todos los casos pulsaremos en Aplicar y luego en
Aceptar para que los cambios en la auditoría tomen efecto. Creación de una GPO
1. Dentro de Administrador del
Las Directivas de Grupo (en adelante GPO) permiten servidor seleccionar Herramientas y Administración
implementar configuraciones específicas para uno o varios de directivas de grupo:
usuarios y/o equipos. Nos centraremos en cómo se debe hacer
la gestión correcta de GPO en Active Directory de Microsoft
Windows.
Para la configuración de GPO que sólo afecten a un usuario o
equipo local se puede utilizar el editor de directivas
locales gpedit.msc. En nuestro caso accederemos en el entorno
de Servicios de Dominio de Active Directory, con la consola de
administración gpmc.msc. Imagen 02
Las GPO permiten administrar objetos de usuarios y equipos,
aplicando la más restrictiva en caso de existir más de una
política. Se puede usar una GPO para casi cualquier cosa, como 2. Aparecen las GPO del dominio.
indicar qué usuario o grupo tiene acceso a una unidad de disco,
o limitar el tamaño máximo que puede tener un archivo. 3. Para crear una nueva GPO desde cero, pulsar
en Objetos de directiva de grupo con el botón derecho
Las GPO se pueden diferenciar dependiendo del objeto al que y seleccionar Nuevo:
configuran y se pueden entender en distintos niveles:
 Equipo Local: tan solo se aplican en el equipo que las
tiene asignadas independientemente del dominio al
que pertenezca.
 Sitio: se aplican a los equipos y/o usuarios de un sitio,
independientemente del dominio.
 Dominio: se aplican a todos los equipos y/o usuarios
de un dominio. Imagen 03
 Unidad Organizativa (OU): se aplican únicamente a
los equipos y/o usuarios que pertenecen a la OU.
4. No seleccionar ninguna GPO de origen.
Dentro de la configuración de directiva se puede acceder a lo Pulsar Aceptar
siguiente:
 Configuración de equipo
 Configuración de usuario
 9

:
Imagen 04

5. Pulsar sobre la nueva GPO con el botón derecho y

seleccionar Editar…

Imagen 04

Una vez dentro de la edición de la GPO hay que asignar la
unidad de red que los usuarios deben montar, siguiendo las
políticas adecuadas.
1. Navegar a Configuración del usuario->Preferencias-
>Configuración de Windows->Asignaciones de
Unidades y editar la unidad que viene asignada en la
GPO pulsando sobre ella con el botón derecho y
seleccionar Propiedades:
Imagen 06
Activar una GPO
Para activar una GPO se debe seleccionar la OU, dominio, sitio
o equipo local donde se quiere activar la GPO.
Un usuario, estará en un equipo local que a su vez se ubica en
un sitio, y este sitio pertenecerá a un dominio que será miembro
de una OU. Se puede dar la situación en la que en un equipo
local se aplique una GPO, en el sitio otra, y en el dominio y la
OU otras, respectivamente. Cuando se den casos así, las
políticas se aplicarán según unas prioridades que atienden a una
serie de reglas que se describen a continuación.
En las GPO, las políticas asignadas a una OU prevalecen sobre
las del dominio, que a su vez prevalecen sobre las del sitio y
estas, sobre las del equipo local. Esto no quiere decir que las
políticas se anulen unas a otras, sino que siempre se suman y
tan solo se anulan en caso de contradecirse entre ellas.

Imagen 05

2. Seleccionar la ubicación, el nombre con el que se

quiere mostrar la unidad, la letra que se le asignará y
el usuario que se conectará:

Imagen 07

Se aplica el siguiente diagrama de flujo para leer las GPO y se

comprueba si se contradicen o no, sumando las coherencias y
prevaleciendo las más restrictivas.

Y por último personalizar a que usuarios o grupos se aplicará la
política.
Cada organización debe crear las GPO que más se acerquen a
sus necesidades. Para añadir la GPO, por ejemplo al dominio,
hacer click con el botón derecho y seleccionar Vincular GPO
existente
10
VII. CONCLUSIONES
a. Los temas revisado acá sirven para la gestion de archivos
y deben verse como tutorials explicativos para aprender
sobre gestion básica de servidores.
b. Entender las arquitecturas de procesamiento nos
ayudarán a encontrar errores al momento de que se
presenten problemas en algun servidor o red, ya que
sabiendo estos conceptos se tendran claros los principios
de funcionamiento de cualquier maquina.
c. Ls politicas que implementa Microsoft para sus
servidores son bastante utiles para realizar una gestion
eficaz de los servicios de red y facilitan el trabajo de los
administradores de red.
d. Las politicas se deben planificar y asegurar bien para
garantizar que nuestros sistemas son seguros y que
cumplen las tres leyes fundamentals de la informacion
las cuales son: Integridad, Confidencialidad y
Disponibilidad.
e. La mala configuracion de un servicio a nivel de red
podria ocasionar perdidas de informacion y abrir brechas
sensibles donde la confianza es vital.
f. La mayor tarea de los administradores de red es la Buena
 11

configuracion de las politicas para garantizar un buen [4] https://docs.microsoft.com/es-es/windows-server/storage/nfs/deploy-nfs

[5] https://docs.microsoft.com/es-es/windows-server/storage/work-
servicio en todos los niveles de las organizaciones y/o folders/work-folders-overview
empresas.

REFERENCES
Basic format for books:
[1] https://rincondelatecnologia.com/modelo-de-von-neumann/
[2] http://gpsk15.blogspot.com/
[3] DICIEMBRE 10, 2014 / FERNANDO SIERRA PAJUELO