ADS MODELO A 30 de mayo de 2022

Grado de Ingeniería Informática Examen Teoría 1

APELLIDOS NOMBRE

DNI FIRMA

GRUPO Grupo Mañana / Grupo Tarde

(Subraye)
• No desgrape las hojas. Conteste exclusivamente en el espacio reservado para ello.
• Utilice letra clara y legible. Puede emplear lápiz, excepto en la contestación al test.
• Las preguntas 1 a 12 son de tipo test y se contestan en una hoja específica proporcionada por el
profesorado. Para cada pregunta, la respuesta correcta puntúa 0,5 puntos, y una respuesta incorrecta
resta 0,15 puntos (salvo la primera, que no restaría). Las preguntas no contestadas no puntúan ni restan.
• Las preguntas 13 y 14 son problemas, y su puntuación es 2 puntos cada una. Ambas deben contestarse
en el espacio asignado al final de este mismo enunciado.

Suponga que quiere crear en un dominio Active Directory un grupo que pueda contener grupos de varios
dominios. En este caso, el ámbito de dicho grupo podría ser solo:

a) Global o Universal.
1 b) Global o de Dominio Local.

c) Universal o de Dominio Local.

d) Universal.

En un dominio Active Directory, denominado admon.lab, existen, entre otros, los siguientes ordenadores:
sw1, que actúa como controlador del dominio, y cw1 y sw2, que actúan como miembros del dominio.

En este escenario, Sally, usuaria del dominio, ha iniciado sesión en cw1 y solicita acceder a un recurso de
red compartido por sw2. Para realizar esta solicitud, cw1 envía a sw2 un mensaje en el que parte de este
mensaje es un tique Kerberos. ¿Qué ordenador u ordenadores poseen la clave necesaria para descifrar el
contenido de dicho tique?

a) Solo cw1.
2 b) Solo sw1.

c) Solo sw2.

d) Solo sw1 y sw2.

En el sistema de archivos NTFS, característico de los sistemas operativos Windows, las carpetas y archivos
tienen una lista de control de acceso de protección o DACL, y estas listas están formadas por entradas que
pueden ser heredadas o explícitas. Cuando se crea una carpeta o archivo, inicialmente su DACL:

a) Tendrá solo entradas heredadas.

3 b) Tendrá solo entradas explícitas.

c) No tendrá ninguna entrada, ni heredada ni explícita.

d) Tendrá entradas heredadas, más una única entrada explícita que concede el permiso Control
Total al usuario que ha creado la carpeta o archivo.
ADS MODELO A 30 de mayo de 2022
Grado de Ingeniería Informática Examen Teoría 2

En un dominio Active Directory denominado admon.lab se han creado, entre otros, los siguientes objetos:
• Una unidad organizativa llamada DPTOS, ubicada en la raíz del dominio.
• Una unidad organizativa llamada Gerencia, ubicada en la unidad DPTOS.
• Un usuario llamado Bob, que se ha ubicado en la unidad Gerencia.
• Un grupo llamado Directores, que se ha ubicado en la unidad Gerencia.

Y adicionalmente, se ha hecho que Bob pertenezca al grupo Directores.

A continuación, se muestran cuatro posibles definiciones parciales del objeto LDAP que correspondería al
usuario Bob, expresadas en formato LDIF. ¿Cuál de dichas definiciones sería correcta?

a) dn: cn=bob,ou=Gerencia,ou=DPTOS,dc=admon,dc=lab
4 objectClass: user
cn: bob

b) dn: cn=bob,memberof=Directores,ou=Gerencia,ou=DPTOS,dc=admon,dc=lab
objectClass: user
cn: bob

c) dn: cn=bob,dc=admon,dc=lab
objectClass: user
cn: bob
memberof: cn=Directores,ou=Gerencia,ou=DPTOS,dc=admon,dc=lab
ou: ou=Gerencia,ou=DPTOS,dc=admon,dc=lab
d) dn: dc=admon,dc=lab,ou=DPTOS,ou=Gerencia,memberof=Directores,cn=bob
objectClass: user
cn: bob

En un escenario típico de despliegue mediante Windows Deployment Services (WDS), en el ordenador cliente
se ejecutan de forma secuencial varios componentes software, y generalmente, la última acción de cada uno
de estos componentes consiste en ceder el control al siguiente. En particular, el componente NBP, al terminar
su ejecución, cede el control a:

a) El código PXE.
5 b) El firmware de inicio (BIOS/UEFI).
c) Windows PE, que ha obtenido al descargar previamente la imagen de arranque.
d) Windows Server, que ha obtenido al descargar previamente la imagen de instalación.

En Active Directory, los objetos como usuarios, grupos u ordenadores se registran en un tipo de base de
datos conocido como Active Directory Database (AD DB). En un bosque Active Directory con varios dominios:

a) Existe una única AD DB, que reside en el controlador del dominio raíz del bosque, no estando
6 replicada en ningún otro ordenador del bosque.
b) Existen varias AD DB, una distinta para cada dominio del bosque. Cada una de estas AD DB
está replicada en todos los controladores de cada dominio.
c) Existen varias AD DB, una distinta para cada dominio del bosque. Estas AD DB no tienen
réplicas, residiendo exclusivamente en el controlador de dominio principal de cada dominio.
d) Existen varias AD DB, una distinta para cada unidad organizativa del bosque. Cada una de
estas AD DB está replicada en todos los controladores del bosque.
ADS MODELO A 30 de mayo de 2022
Grado de Ingeniería Informática Examen Teoría 3

Suponga un sistema Linux en el que el usuario root ha configurado la protección del siguiente directorio:

drwxrws--- susana acl-p6 /proy6

En este sistema, la usuaria susana tiene su propio grupo privado susana-gp, pertenece al grupo acl-p6 y
su máscara de creación de archivos es 002. A partir de esta configuración, susana inicia sesión en dicho
sistema y ejecuta la siguiente secuencia de órdenes de shell:
mkdir /proy6/expedientes
chmod 777 /proy6/expedientes
chmod g-s /proy6/expedientes
echo “Expediente 1…” > /proy6/expedientes/exp1.txt

A partir de ahí, ¿qué usuarios del sistema podrán modificar el archivo exp1.txt?

a) Solo los usuarios susana y root.

7 b) Solo los usuarios susana y root y los miembros del grupo acl-p6.
c) Cualquier usuario del sistema.

d) Solo el usuario root.

Una compañía posee un dominio Active Directory en el que los GPOs por defecto no se han modificado. En
un momento dado, en este domino existen sólo dos GPOs adicionales (GPO_DPTOs y GPO_DIR), vinculados
respectivamente a las unidades DPTOS y Dirección. A continuación, se muestra un esquema de la ubicación
de ambas unidades y los objetos que contienen:

Unidad
Objetos GPOs vinculados Filtrado de seguridad
Organizativa
Usuarios
DPTOS Dirección (OU) jero (U) GPO_DPTOs
autentificados

diego (U) pc0101 (E) Directores

Dirección desi (U) pc0102 (E) GPO_DIR Equipos del dominio
diana (U) Directores (GG)

** NOTA: El tipo de cada objeto se indica entre paréntesis: U = Usuario, E = Equipo, GG = Grupo Global, OU = unidad organiz.

Una de las políticas configuradas sobre los usuarios en ambos GPOs está relacionada con el acceso al
administrador de tareas, que por defecto está concedido en Windows Server. En concreto, la política “Quitar
el administrador de tareas” está habilitada en GPO_DPTOs y deshabilitada en GPO_DIR.

En esa situación, indique qué usuarios de ambas unidades tendrían acceso al administrador de tareas al
iniciar sesión en el sistema pc0101 y el motivo correcto

a) jero, diego, desi y diana, en cualquier caso.

8 b) De entre jero, diego, desi y diana, aquellos que pertenezcan al grupo Directores.
c) De entre diego, desi y diana, aquellos que pertenezcan al grupo Directores.

d) De entre diego, desi y diana, aquellos que no pertenezcan al grupo Directores.

ADS MODELO A 30 de mayo de 2022
Grado de Ingeniería Informática Examen Teoría 4
A continuación, se muestran cuatro afirmaciones sobre la virtualización hardware o de servidores sobre la
arquitectura x86. Entre ellas, seleccione la verdadera.

a) La paravirtualización es una técnica de virtualización por la que el sistema operativo anfitrión

9 realiza hiper-llamadas al hipervisor en lugar de ejecutar instrucciones privilegiadas.
b) Los hipervisores nativos o bare metal consisten en un software o capa de virtualización que
se ejecuta como un proceso sobre el sistema operativo anfitrión.
c) Los sistemas operativos invitados se ejecutan siempre en el anillo (ring) 3 del procesador,
independientemente de la técnica de soporte utilizada.
d) Cuando el hipervisor emplea técnicas de virtualización asistidas por hardware, el sistema
invitado interrumpe al hipervisor al ejecutar instrucciones privilegiadas, independientemente
de si se trata de un hipervisor de tipo 1 o de tipo 2.

En la ayuda oficial de Windows PowerShell sobre el cmdlet New-Item se incluye la siguiente sintaxis:

New-Item New-Item
[-Path] <String[]> [[-Path] <String[]>]
[-ItemType <String>] -Name <String>
[-Value <Object>] [-ItemType <String>]
[-Force] [-Credential <PSCredential>] [-Value <Object>]
[-WhatIf] [-Confirm] [-Force] [-Credential <PSCredential>]
[<CommonParameters>] [-WhatIf] [-Confirm] [<CommonParameters>]

De acuerdo con eso, indique cuál de las siguientes afirmaciones es cierta:

a) Para que una llamada al cmdlet sea válida, se debe incluir siempre un valor para el parámetro
10 Path, aunque el propio nombre de este parámetro puede omitirse siempre.
b) El uso del parámetro Name condiciona que sea o no obligatorio incluir en la llamada un valor
para el parámetro Path, aunque el propio nombre de este parámetro puede omitirse siempre.
c) Todos los parámetros del cmdlet son opcionales y podrían omitirse sin que la llamada diera
error.
d) El nombre del parámetro Path puede omitirse solo cuando la llamada no incluye también el
parámetro Name.

Suponga que los requisitos principales del plan de copias de seguridad de una empresa son los siguientes:
(1) el tiempo de recuperación objetivo debe ser lo más pequeño posible, (2) el punto de recuperación objetivo
es de 12 horas, y (3) la política de retención de datos establece que sea posible recuperar cualquier archivo
incluido en alguna copia durante los 30 días siguientes a su copia. A partir de ahí, elija cuál de las siguientes
afirmaciones es cierta acerca de qué tipo de copia de seguridad (completo, incremental, diferencial e
incremental inverso) permitiría dar mejor respuesta a esos requisitos. En los tipos incremental y diferencial,
considere que se realizaría una copia completa a la semana, y que el resto de las copias serían parciales.

a) Respecto al requisito de tiempo de recuperación objetivo, el tipo incremental es claramente

11 mejor que el completo.
b) Respecto al requisito de punto de recuperación objetivo, cualquier tipo que permita restaurar
las copias tras un fallo en menos de 12 horas cumpliría ese requisito.
c) Respecto a la política de retención de datos, no habría diferencias significativas entre el tipo
diferencial y el incremental inverso acerca de la cantidad de espacio de almacenamiento
necesario para mantener esta política.
d) Considerando conjuntamente el requisito de tiempo de recuperación objetivo y la cantidad
de espacio de almacenamiento necesario para mantener la política de retención de datos, el
tipo incremental inverso resulta más adecuado que cualquiera de los demás tipos.
ADS MODELO A 30 de mayo de 2022
Grado de Ingeniería Informática Examen Teoría 5

Suponga que la empresa admon.lab dispone de un dominio Active Directory y que esta empresa se
estructura internamente mediante departamentos (por ejemplo, Contabilidad, Proyectos, Ventas, etc.) pero
esa estructura no tiene todavía ningún reflejo en el dominio. Sin embargo, el creciente tamaño de la empresa
ha hecho que finalmente se decida distribuir la administración de los objetos del dominio entre diferentes
usuarios y para ello se quiere nombrar a un usuario distinto para que sea el administrador completo de cada
departamento. En este escenario, elija de entre las alternativas descritas abajo la mejor configuración para
conseguir esta distribución de tareas administrativas en el dominio de la empresa:

a) Crear una unidad organizativa por cada departamento, mover a esa unidad todos los objetos
12 que lógicamente pertenecen a ese departamento (usuarios, grupos, ordenadores) y agregar
al usuario que debe ser el administrador del departamento al grupo Opers. de cuentas
b) Crear una unidad organizativa por cada departamento, mover a esa unidad todos los objetos
que lógicamente pertenecen a ese departamento (usuarios, grupos, ordenadores) y asignar
el permiso Control Total en dicha unidad organizativa al usuario que debe ser el
administrador del departamento.
c) Agregar a los usuarios que deben administrar los departamentos al grupo Admins. del
dominio.
d) Crear una unidad organizativa por cada departamento y mover a esa unidad todos los objetos
que lógicamente pertenecen a ese departamento (usuarios, grupos, ordenadores)
incluyendo necesariamente al usuario que debe ser su administrador.

13 Suponga que usted es el administrador de un dominio Active Directory. En un ordenador de dicho

dominio ha creado una carpeta y, siguiendo la metodología IGDLA, ha establecido sus atributos de
protección. Los detalles de los grupos que ha utilizado y de la carpeta son los siguientes:

Grupo Ámbito Miembros

DL1 Dominio Local G1
G1 Global U1, U2

Carpeta C:\PRAC\
Propietario Administradores
Herencia de Deshabilitada
permisos
Permisos explícitos
Grupo Permiso
DL1 Control Total

A continuación, se enumeran varios usuarios nuevos que acaban de incorporarse al dominio, indicando las
acciones que deben poder realizar o no en la carpeta C:\PRAC\:

Usuario Acciones
U3, U4 Pueden leer y ejecutar cualquier archivo, pero no crear archivos nuevos ni cambiar el
contenido de archivos existentes
U5, U6 Pueden listar el contenido de la carpeta, pero no leer ninguno de los archivos existentes ni
modificar los archivos existentes
U7 Puede convertirse en el propietario de cualquier archivo
U8 Puede cambiar los permisos de cualquier archivo
U9, U10 Pueden borrar archivos existentes, pero no convertirse en el propietario de cualquier archivo
U11, U12 Pueden crear carpetas nuevas y eliminar archivos, pero no cambiar sus permisos

Su trabajo consiste ahora en modificar y ampliar la configuración anterior para conseguir que los nuevos
usuarios accedan a la carpeta con permisos que resulten compatibles con las acciones descritas, teniendo
en cuenta además las siguientes restricciones:
ADS MODELO A 30 de mayo de 2022
Grado de Ingeniería Informática Examen Teoría 6

• Debe seguir aplicando la metodología IGDLA

• El número definitivo de grupos debe ser el menor posible.
• Utilice exclusivamente permisos estándar.
• Los usuarios U1 y U2 deben seguir teniendo los mismos permisos de acceso, pero no comparten rol
con ninguno de los nuevos usuarios.
• Los grupos actuales deben seguir existiendo y contener a sus miembros actuales. No obstante,
pueden incorporarse nuevos miembros, siempre que no se incumpla ninguna otra restricción.

Elabore su nueva configuración contestando a los siguientes dos apartados en las tablas de respuesta
correspondientes que están en las últimas páginas del enunciado (etiquetadas como 13-A y 13-B):

Enumere todos los grupos (incluidos los originales) que tendría su nueva configuración utilizando la
A tabla siguiente, indicando para cada grupo su nombre, ámbito y miembros. Use tantas filas como
necesite.

Configure de nuevo los atributos de protección de la carpeta, rellenando la siguiente tablas. Use tantas
B filas como necesite.

14 En un dominio Active Directory denominado admon.lab se han agregado como miembros varios
sistemas Windows y Linux, de la forma en la que se ha visto en la asignatura. Este dominio consta
de un único DC denominado sw1, un sistema Windows denominado cw1 y un sistema Linux
denominado sl1, que tiene configurado el servicio Samba para compartir carpetas a sistemas del dominio.

En este sistema se quiere configurar una carpeta de uso compartido denominada \\sl1\info, que
corresponda a la carpeta local /recursos/info. En dicha carpeta debe cumplirse lo siguiente:
• Los usuarios del dominio que pertenecen a los roles jefes (actualmente, julia y jero) y ejecutivos
(actualmente, esteban y eugenia) deben poder acceder a dicha carpeta para crear, editar y eliminar
cualquier fichero creado por cualquiera de ellos. En este momento esos cuatro usuarios existen en el
dominio, pero no hay ningún objeto todavía que represente dichos roles.
• Los usuarios del dominio pertenecientes a otros roles, o actualmente sin rol asignado, deben poder
acceder para leer cualquier archivo, pero no modificar el contenido de la carpeta de ningún modo.
• Estas reglas deben cumplirse tanto si el acceso se realiza localmente en sl1 como desde cualquier
sistema Windows del dominio (por ejemplo, cw1) a través de la carpeta compartida.
• Debe seguirse la metodología IGDLA a la hora de realizar el diseño de grupos y permisos.

Conteste los dos apartados siguientes mediante las tablas de respuesta de las últimas páginas del enunciado
(etiquetadas como 14-A y 14-B).

Para cumplir con esos requisitos, indique en las tablas siguiente las acciones de administración que
A realizaría relativas a la creación de grupos en Active Directory, los atributos de protección que asignaría
a la carpeta /recursos/info, la máscara de creación de archivos que habría que asignar a los usuarios
y la configuración correspondiente al recurso \\sl1\info en el fichero /etc/samba/smb.conf.

A continuación, para probar esta configuración, varios usuarios del dominio realizan accesos a dicha
B carpeta, bien desde sl1 o cw1 e intentan (1) listar el contenido de la carpeta y (2) crear archivos nuevos.
Por tanto, debe indicar si el sistema autorizaría o no esos accesos, y en el caso de que la creación de
archivos sea autorizada, cuáles serían sus atributos de protección iniciales (propietario, grupo propietario y
bits de permiso).
ADS MODELO A 30 de mayo de 2022
Grado de Ingeniería Informática Examen Teoría 7

Enumere todos los grupos (incluidos los originales) que tendría su nueva configuración
13-A utilizando la tabla siguiente, indicando para cada grupo su nombre, ámbito y miembros. Use
tantas filas como necesite.

Nombre del grupo Ámbito Miembros

G1 Global U1, U2

G2 Global U3, U4

G3 Global U5, U6

G4 Global U7, U8

G5 Global U9, U10, U11, U12

DL1 Dominio Local G1, G4

DL2 Dominio Local G2

DL3 Dominio Local G3

DL4 Dominio Local G5

Configure de nuevo los atributos de protección de la carpeta, rellenando la siguiente tablas. Use
13-B tantas filas como necesite.

Carpeta C:\PRAC\
Propietario Administradores
Herencia de permisos Deshabilitada
Permisos explícitos
Grupo Permiso
DL1 Control Total

DL2 Lectura y Ejecución

DL3 Mostrar el contenido de la carpeta

DL4 Modificar
ADS MODELO A 30 de mayo de 2022
Grado de Ingeniería Informática Examen Teoría 8
Para cumplir con esos requisitos, indique en las tablas siguiente las acciones de administración
14-A que realizaría relativas a la creación de grupos en Active Directory, los atributos de protección
que asignaría a la carpeta /recursos/info, la máscara de creación de archivos que habría
que asignar a los usuarios y la configuración correspondiente al recurso \\sl1\info en el fichero
/etc/samba/smb.conf.

Nombre del grupo Ámbito Miembros

jefes Global julia, jero

ejecutivos Global esteban, eugenia

ACL_info_completo Dominio Local jefes, ejecutivos

Carpeta /recursos/info /etc/samba/smb.conf

Propietario: root
[info]
Grupo Propietario: ACL_info_completo path = /recursos/info
Bits de Permiso: rwx rxs r-x read only = no
create mask = 775
directory mask = 775

Máscara de creación
de archivos para todos 002
los usuarios:

A continuación, para probar esta configuración, varios usuarios del dominio realizan accesos a
14-B dicha carpeta, bien desde sl1 o cw1 e intentan (1) listar el contenido de la carpeta y (2) crear
archivos nuevos. Por tanto, debe indicar si el sistema autorizaría o no esos accesos, y en el
caso de que la creación de archivos sea autorizada, cuáles serían sus atributos de protección iniciales
(propietario, grupo propietario y bits de permiso).

Si el/la Accede ¿Podrá ¿Podrá Propietario Grupo propietario Permisos

usuario/a desde listar la crear
carpeta? archivos?
(sí/no) (sí/no)
jero SL1 sí sí jero ACL_info_completo rw- rw- r--

marc SL1 sí no

eugenia CW1 sí sí eugenia ACL_info_completo rw- rw- r--

maría CW1 sí no