Documentos de Académico
Documentos de Profesional
Documentos de Cultura
TEMA 6
Configuración y
Administración de
Windows Server 2008
1. INTRODUCCIÓN A LOS SISTEMAS OPERATIVOS EN RED.
REDES WINDOWS
1.1.Introducción a los sistemas operativos en red
Los sistemas operativos en red son sistemas que mantienen a dos o más equipos unidos a través de algún
medio de comunicación con el objetivo primordial de poder compartir los diferentes recursos hardware y
software. Algunos sistemas operativos en red son:
Novel Netware.
Windows Server.
Linux.
Estos sistemas tienen el software necesario para que los clientes puedan conectarse a ellos, y
para suministrar servicios a estos clientes.
También hay que determinar los servicios de red que se requieren. Los servicios son programas que
se ejecutan de forma permanente en los Sistemas Operativos y que determinan qué es lo que se puede hacer
sobre el sistema. Algunos servicios son:
Uso compartido de archivos.
Impresión.
Correo electrónico.
Web.
187
TEMA 6: CONFIGURACIÓN Y ADMINISTRACIÓN Implantación de Sistemas Operativos
DE WINDOWS SERVER 2008
1.3.3. CARACTERÍSTICAS
Las características de cada una de las versiones de Windows Server son:
Windows Server 2008 Standard Edition. Proporciona servicios que simplifican la administración
de redes: Active Directory (Directorio activo), Directivas de grupos y Servidor de aplicaciones. Su
compatibilidad de hardware es: 4 GB de RAM como máximo, y SMP de 4 vías (SMP, Symmetric
Multiprocessing).
Windows Server 2008 Enterprise Edition. Tiene todas las características de Windows Server
2008 Standard Edition. Proporciona una escalabilidad y disponibilidad del sistema mejoradas
respecto a Standard Edition. Su compatibilidad de hardware es: 32 GB de RAM como máximo
(64 GB para la versión de 64 bits), y SMP de 8 vías.
Windows Server 2008 Datacenter Edition. Contiene todas las características de Windows Server
2008 Enterprise Edition. Su compatibilidad de hardware es: 64 GB de RAM como máximo (512
GB para la versión de 64 bits), y SMP de 32 vías (SMP de 64 vías para la versión de 64 bits).
Windows Server 2008 Web Edition. Pueden ser miembros de un dominio, pero no pueden ser
controladores de dominio (no pueden ejecutar el Active Directory). Su compatibilidad de hard-
ware es: 2 GB de RAM como máximo, y SMP de dos vías.
188
TEMA 6: CONFIGURACIÓN Y ADMINISTRACIÓN Implantación de Sistemas Operativos
DE WINDOWS SERVER 2008
189
TEMA 6: CONFIGURACIÓN Y ADMINISTRACIÓN Implantación de Sistemas Operativos
DE WINDOWS SERVER 2008
Fase de instalación (documentación). Una vez instalado el Sistema Operativo, hay que elaborar
documentación que contenga los siguientes datos:
o Fecha y hora de la instalación.
o Especificaciones hardware del equipo en el que instalamos el Sistema Operativo (proce-
sador, disco duro, memoria RAM, tarjeta gráfica, ratón, teclado, monitor, etc.).
o Datos introducidos en el proceso de instalación: nombre del equipo, clave del producto,
contraseña del administrador, licencias, etc.
o Software adicional instalado: descripción, utilidad, fecha de instalación.
o Configuración de la red: dirección IP, máscara de red, DNS, dirección de la puerta de en-
lace, grupo de trabajo o dominio, etc.
o Incidencias producidas durante el proceso de instalación.
Para agregar funciones y características a Windows Server 2008, hay que seguir los siguientes pasos:
Abrir la herramienta Administrador del servidor. Para ello, hacemos clic en Inicio > Todos los
programas > Herramientas administrativas > Administrador del servidor.
En Administrador del servidor, hacemos clic en Resumen de funciones > Agregar funciones.
Agregar una función es agregar un programa de software. Agregar una característica es agregar
un programa de software no incluido en la función, pero que la complementan o aumentan.
Para agregar una función, pulsamos en Agregar o quitar función; aparece una lista de funciones
que se pueden agregar al equipo y seleccionamos la función que queremos añadir.
190
TEMA 6: CONFIGURACIÓN Y ADMINISTRACIÓN Implantación de Sistemas Operativos
DE WINDOWS SERVER 2008
Aquí también se puede Eliminar una función o Ver las funciones instaladas.
En cambio, un servicio de directorios es una red cliente-servidor, que tiene las siguientes característi-
cas:
Directorio. Almacén de datos. Es un almacén de información sobre los objetos de la red (usua-
rios, equipos, impresoras, grupos, etc.). La información está organizada de forma jerárquica.
Servicio de directorio. Servicio que proporciona métodos para almacenar los datos del directo-
rio y ponerlos a disposición de los administradores y los usuarios de la red.
El Directorio Activo, o Active Directory (AD) es un servicio de directorio de Windows Server 2008.
Almacena información acerca de los objetos de la red y facilita la búsqueda y utilización de esa información
por parte de usuarios y administradores.
2.1.1.2.Estructura
La estructura del Active Directory es la siguiente:
Dominio (Estructura jerárquica superior). Conjunto de objetos que se van a administrar de
forma conjunta.
Unidad organizativa (Estructura jerárquica inferior al dominio). Agrupa objetos dentro de un
dominio. También puede agrupar otras unidades organizativas.
Objetos. Son representaciones de los recursos de la red: usuarios, equipos, impresoras, etc.
191
TEMA 6: CONFIGURACIÓN Y ADMINISTRACIÓN Implantación de Sistemas Operativos
DE WINDOWS SERVER 2008
2.1.1.3.Espacio de nomenclatura
El espacio de nomenclatura es el conjunto de nombres que representan un dominio, por ejemplo, princi-
pal.cam.com. El espacio de nomenclatura contiguo es la primera parte del nombre del dominio que es co-
mún al nombre de otro dominio, por ejemplo, principal.cam.com y cam.com).
El dominio raíz del árbol es el primer dominio que se crea en el árbol. El dominio secundario de otro
dominio del árbol es un subdominio de ese dominio.
2.1.5. EL ESQUEMA
El Esquema es un conjunto de reglas que definen los siguientes conceptos:
Las clases de objetos. Son los tipos de objeto. Por ejemplo, la clase Usuario o la clase Equipo.
Los atributos de los objetos. Las características que hay que definir en cada clase de objetos.
Por ejemplo, el nombre es un atributo de la clase Usuario..
El Maestro de Esquema es un controlador de dominio del bosque (un solo controlador). Es el “respon-
sable” del esquema, ya que es el controlador donde se pueden hacer los cambios. Comunica los cambios en
el esquema al resto de controladores de dominio del bosque.
193
TEMA 6: CONFIGURACIÓN Y ADMINISTRACIÓN Implantación de Sistemas Operativos
DE WINDOWS SERVER 2008
2.1.8. DNS
El Active Directory utiliza los nombres DNS para resolver los nombres de los equipos en direcciones IP, y
asignar nombres a los dominios. En cada bosque tiene que haber, al menos, un servidor DNS.
Antes de instalar Active Directory, también habrá que revisar la configuración del equipo:
Identificación de red del equipo: IP fija, máscara, puerta de enlace, servidor DNS preferido
(127.0.0.1) y nombre del equipo.
Credenciales del administrador de red: contraseña del administrador cumpliendo requisitos de
seguridad.
Para instalar Active Directory, hay que hacer clic en Inicio > Ejecutar, escribir dcpromo y pulsar Intro;
se abrirá el instalador de Active Directory. Para desinstalar Active Directory (depromocionar un Controlador
de dominio) se siguen los mismos pasos, pero en vez de abrirse el instalador se abrirá el desinstalador.
Con el controlador de dominio existen cuentas de usuario globales cuya información se almacena en
el directorio activo, por lo que es conocida por todos los equipos del dominio.
Las cuentas de usuario globales representan una cuenta única de usuario que se puede utilizar desde
cualquier ordenador integrado en el dominio. Una persona se conecta a cualquier ordenador del dominio
utilizando la cuenta global. Ese ordenador realiza una consulta al Active Directory recibiendo la validación de
las credenciales del usuario y concediendo o rechazando su conexión.
Un equipo cliente de un dominio puede tener tanto usuarios locales como globales. Los usuarios loca-
les no podrán acceder a los recursos del dominio.
2.3.2. GRUPOS
Los grupos son una agrupación de usuarios u objetos para conceder permisos de utilización de recursos del
dominio. Los grupos se almacenan en al Active Directory y son visibles por todos los equipos del dominio. Se
pueden crear distintos tipos de grupos: distribución y seguridad.
2.3.3. EQUIPOS
La base de datos del Active Directory almacena información de los equipos que forman parte del dominio.
Cada equipo, junto con el nombre, tiene un identificador único y privado que sólo conoce el controlador de
dominio, y mediante el cual se le asignan permisos y derechos.
194
TEMA 6: CONFIGURACIÓN Y ADMINISTRACIÓN Implantación de Sistemas Operativos
DE WINDOWS SERVER 2008
2.4.2. DNS
Consiste en la asociación de un nombre de equipo a una dirección IP. En la instalación del Active Directory se
configura automáticamente.
195
TEMA 6: CONFIGURACIÓN Y ADMINISTRACIÓN Implantación de Sistemas Operativos
DE WINDOWS SERVER 2008
El dominio es el dominio sobre el que se trabaja. Si hubiera subdominios, se podría actuar sobre los
usuarios y grupos de otros dominios.
Los objetos contenedores, contienen grupos de objetos. Hay objetos contenedores de equipos, usua-
rios y grupos. Los objetos contenedores no se pueden borrar, y tampoco se pueden aplicar directivas sobre
ellos. Los objetos contendores predeterminados de Active Directory son:
Builtin. Contiene cuentas de usuarios.
Computers. Contiene cuentas de equipos.
Domain Controllers. Contiene controladores de dominio.
ForeignSecurityPrincipals. Contiene objetos de un dominio externo en el que haya una relación
de confianza con el dominio actual.
Users. Contiene a los usuarios.
Puede haber también un usuario global de dominio, que podría ser, por ejemplo, el Administrador del
servidor. Y también un grupo de usuarios de dominio, que podría ser, por ejemplo, los Controladores de
dominio.
Para eliminar una Unidad Organizativa, hacemos clic con el botón derecho sobre el nombre de la Uni-
dad Organizativa, y seleccionamos Eliminar.
196
TEMA 6: CONFIGURACIÓN Y ADMINISTRACIÓN Implantación de Sistemas Operativos
DE WINDOWS SERVER 2008
3.2.Usuarios
Una cuenta de usuario es igual al Principal de Seguridad en un Active Directory. A las cuentas de usuario se
les asignan ID de seguridad para iniciar sesiones en red y para acceder a recursos. Una cuenta de usuario
representa a una persona. Cada cuenta de usuario tiene un Identificador de Seguridad único (SID). Este
identificador nunca se reutiliza; si eliminamos una cuenta, no podremos recuperar sus permisos y derechos).
Las cuentas de usuario se utilizan para:
Autenticar la identidad del usuario.
Autorizar o denegar el acceso a recursos del dominio.
Administrar otros principales de seguridad.
Auditar las acciones realizadas con esa cuenta de usuario.
198
TEMA 6: CONFIGURACIÓN Y ADMINISTRACIÓN Implantación de Sistemas Operativos
DE WINDOWS SERVER 2008
Para crear un usuario global, en un sitio vacío de un contenedor, hacemos clic con el botón derecho y
seleccionamos Nuevo > Usuarios.
Nos aparecerá una pantalla para introducir los datos del nuevo usuario:
Nombre, que no es el login, (28c+Mym) e iniciales (6c+Mym) para identificar al usuario.
Apellidos (29c+Mym).
Nombre completo. Nombre completo del usuario (64c + Mym).
Nombre de inicio de sesión de usuario. Login de usuario con el que se inicia sesión en el sistema,
o de forma de remota, o desde el propio servidor. El uso del UPN y el sufijo puede ser diferente.
Nombre de inicio de sesión de usuario anterior a Windows 2000. Nombre para iniciar conexión
en un dominio de Windows NT 4.0 Server.
Una vez introducidos los datos, pulsamos siguiente, y nos aparece una pantalla para configurar la con-
traseña:
Introducir la contraseña por duplicado (127c).
El usuario debe cambiar la contraseña al iniciar una sesión de nuevo. Si marcamos esta opción,
se haya o no introducido una contraseña cuando se inicie la sesión en el equipo por primera vez,
se obligará a cambiar la contraseña. Se necesita previamente la contraseña anterior.
El usuario no puede cambiar la contraseña. Para marcar esta opción debe estar desactivada la
opción anterior. Se puede hacer que el usuario se conecte con una contraseña en blanco o no,
sin darle la posibilidad de que él la cambie. Aquí el Administrador conoce la contraseña del usua-
rio, puesto que el usuario tendrá que elegir la opción que le haya dado el Administrador. En la
opción anterior, el Administrador conoce la primera clave, pero luego, cuando el usuario la cam-
bia, ya no.
La contraseña nunca caduca. Si marcamos esta opción, la contraseña tendrá una validez hasta
que el Administrador lo decida. Si no se marca esta opción, la contraseña caducará a los 42 días
(por defecto).
La cuenta está deshabilitada. Si se marca esta opción, no se borran las credenciales del ordena-
dor de un usuario que no queremos que se conecte. Se utiliza esta opción cuando el usuario
dejará por un tiempo de usar la cuenta o se quiere denegar el acceso por un tiempo concreto.
199
TEMA 6: CONFIGURACIÓN Y ADMINISTRACIÓN Implantación de Sistemas Operativos
DE WINDOWS SERVER 2008
Pulsamos siguiente, y nos aparece una pantalla resumen con los datos introducidos. Pulsamos Finali-
zar.
3.2.3.2.Propiedades de un usuario
Para abrir las propiedades de un usuario, hacemos clic con el botón derecho sobre el nombre del usuario, y
seleccionamos Propiedades. Nos aparece una ventana con varias pestañas.
La pestaña General contiene datos identificativos del nuevo usuario, como el nombre, apellidos, co-
rreo electrónico, etc.
200
TEMA 6: CONFIGURACIÓN Y ADMINISTRACIÓN Implantación de Sistemas Operativos
DE WINDOWS SERVER 2008
201
TEMA 6: CONFIGURACIÓN Y ADMINISTRACIÓN Implantación de Sistemas Operativos
DE WINDOWS SERVER 2008
En la pestaña Perfil se podrá asignar un perfil de usuario, un script de inicio de sesión o un directorio
particular para la cuenta del usuario.
En la pestaña Teléfonos se pueden añadir los teléfonos del usuario. En la pestaña Organización se
contienen los datos referidos a donde trabaja el usuario.
El resto de pestañas son:
Miembro de. Contiene la pertenencia del usuario a grupos locales, globales o universales.
Marcado. Se usa para configurar el acceso telefónico a redes del usuario o mediante VPN.
Entorno. Se usa para configurar el entorno de inicio de sesión de los Servicios de Terminal Ser-
ver.
Control Remoto. Se usa para configurar el control remoto de los servicios de Terminal Server.
202
TEMA 6: CONFIGURACIÓN Y ADMINISTRACIÓN Implantación de Sistemas Operativos
DE WINDOWS SERVER 2008
Ficha COM+. Conjuntos de particiones que se pueden asignar al usuario. Una partición COM+ es
un conjunto de componentes COM desarrollados para trabajar conjuntamente. Hay dos tipos
de partición, Almacenadas de Directorio Activo y Locales, y Almacenadas en Servidores de Apli-
caciones.
203
TEMA 6: CONFIGURACIÓN Y ADMINISTRACIÓN Implantación de Sistemas Operativos
DE WINDOWS SERVER 2008
Para modificar la contraseña, hacemos clic con el botón derecho sobre el nombre del usuario, y selec-
cionamos “Restablecer contraseña…”.
204
TEMA 6: CONFIGURACIÓN Y ADMINISTRACIÓN Implantación de Sistemas Operativos
DE WINDOWS SERVER 2008
Ejemplo:
NET USER Jose asir2m2m /domain
Otra manera de cambiar la contraseña utilizando el comando NET USER es la siguiente, aunque esta-
blecerá una contraseña elegida al azar:
Ejemplo:
NET USER Jose /domain /random
Ejemplo:
DSMOD USER “cn=Jose,cn=users,dc=primero,dc=local” –pwd asir2m2m
Para eliminar una cuenta de usuario, hacemos clic con el botón derecho sobre su nombre, y seleccio-
namos Eliminar. ¿Qué ocurre al eliminar una cuenta de usuario? La cuenta de usuario de dominio desaparece,
pero los archivos en disco que pertenecen al usuario quedan sin cambios.
Para limitar las horas de conexión de un usuario, hacemos clic con el botón derecho sobre el nombre
del usuario, y seleccionamos Propiedades. En la ventana que se nos abre seleccionamos la ficha Cuenta y
hacemos clic sobre Hora de inicio de sesión…
205
TEMA 6: CONFIGURACIÓN Y ADMINISTRACIÓN Implantación de Sistemas Operativos
DE WINDOWS SERVER 2008
Se nos abrirá una cuadrícula con horas y días. En ella, señalamos los días y horas que se le deniega la
conexión al usuario y al final hacemos clic en Aceptar.
Para limitar las estaciones desde las que puede conectarse un usuario, hacemos clic con el botón de-
recho del ratón sobre el nombre del usuario, y seleccionamos Propiedades. En la ventana que se abre, selec-
cionamos la pestaña Cuenta y hacemos clic sobre Iniciar sesión en…
Se nos abre una ventana, donde podemos elegir entre que el usuario inicie sesión desde todos los
equipos, o seleccionar Los siguientes equipos para introducir los equipos desde donde podrá iniciar sesión
el usuario (si no queremos que pueda hacerlo desde cualquier equipo).
206
TEMA 6: CONFIGURACIÓN Y ADMINISTRACIÓN Implantación de Sistemas Operativos
DE WINDOWS SERVER 2008
Para copiar una cuenta de usuario, hacemos clic con el botón derecho sobre el nombre del usuario y
seleccionamos Copiar… Crea una cuenta nueva con bastantes datos copiados de esta cuenta. Se puede utili-
zar como plantilla para crear varios usuarios parecidos.
Para realizar operaciones sobre varias cuentas, seleccionamos el nombre de varias cuentas, hacemos
clic con el botón derecho sobre la selección y seleccionamos Propiedades.
207
TEMA 6: CONFIGURACIÓN Y ADMINISTRACIÓN Implantación de Sistemas Operativos
DE WINDOWS SERVER 2008
3.3.Grupos
Los grupos contienen o pueden contener usuarios, contactos, equipos u otros grupos, aunque lo normal es
que contenga cuentas de usuarios. Simplifican la administración, ya que conceden capacidades comunes a
múltiples usuarios. Existen dos tipos de grupos: de seguridad y de distribución. Con la creación de un grupo
se asigna un ámbito, que es la visibilidad del grupo dentro del dominio y características que pueden conceder
a los objetos que contiene.
208
TEMA 6: CONFIGURACIÓN Y ADMINISTRACIÓN Implantación de Sistemas Operativos
DE WINDOWS SERVER 2008
209
TEMA 6: CONFIGURACIÓN Y ADMINISTRACIÓN Implantación de Sistemas Operativos
DE WINDOWS SERVER 2008
grupo pueden iniciar sesión en el modo local en los controladores del dominio y apagarlos.
No hay miembros predeterminados.
o Usuarios DHCP. Los usuarios de este grupo tienen derecho de solo lectura al servicio
DHCP.
o Operadores de configuración de red. Pueden modificar la configuración TCP/IP y renovar
y liberar las direcciones TCP/IP. Este grupo no tiene ningún miembro predeterminado.
o Administradores. Tienen control total sobre todos los controladores de dominio. Cual-
quier derecho que no tenga el administrador de forma predeterminada se lo puede con-
ceder a sí mismo.
o Operadores de Copia. Los miembros de este grupo pueden iniciar sesión en el equipo,
realizar copias de seguridad y restaurar archivos en el equipo. También pueden apagarlo.
No pueden cambiar la configuración de seguridad. No tiene miembros predeterminados.
o Operadores de Copia de seguridad. Los miembros de este grupo pueden realizar copias
de seguridad y restaurar todos los archivos en los controladores del dominio, iniciar sesión
y apagarlos. Este grupo no tiene ningún predeterminado. No es igual que el anterior.
o Invitados. Los miembros de este grupo solo pueden realizar tareas para las que el admi-
nistrador les haya concedido permisos. Son miembros de este grupo los grupos Usuario
invitado e Invitados del dominio.
o Operadores de impresión. Pueden administrar las impresoras y las colas de impresión.
No tiene miembros predeterminados.
o Replicador. Sus miembros pueden replicar los servicios en un controlador de dominio. No
debe contener usuarios estándares.
o Operadores de servidores. Los miembros de este grupo pueden realizar la mayoría de las
tareas administrativas en los controladores de dominio de forma remota. Este grupo no
tiene miembros predeterminados.
o Usuarios. Los miembros de este grupo pueden iniciar sesión en el equipo, acceder a la
red, guardar documentos y apagar el equipo. No pueden instalar programas. Cualquier
derecho que no tenga el administrador de forma predeterminada, se lo puede conceder
a sí mismo o realizar cambios en el sistema. Cuando añadimos un equipo servidor miem-
bro 2000/2003 a un dominio, se integra en este grupo. Por defecto todas las cuentas que
se crean en el dominio son miembros de este grupo.
o Usuarios avanzados. Los miembros de este grupo pueden crear y modificar las cuentas
de usuario e instalar programas en el equipo local, pero no pue den ver los archivos de
otros usuarios. Pueden crear y eliminar grupos locales y quitar usuarios de los grupos. No
hay miembros predeterminados.
o Usuarios de escritorio remoto. Pueden iniciar sesión en un servidor de forma remota.
Este grupo no tiene miembros predeterminados.
o DnsAdmins. Los miembros de este grupo solo tienen acceso administrativo al servicio
DNS. No tiene ningún miembro predeterminado.
o Servidores RAS e IAS. Los miembros de este grupo pueden obtener propiedades de ac-
ceso remoto a los usuarios.
o Grupo de replicación de contraseña RODC denegada. Los miembros de este grupo no
pueden replicar las contraseñas a ningún controlador de dominio de solo lectura en el
dominio.
o Contraseña RODC permitida. Los miembros de este grupo pueden replicar las contrase-
ñas a todos los controladores de dominio de solo lectura en el dominio.
o Publicadores de certificados. Los miembros de este grupo pueden publicar certificados
en el directorio.
Grupos creados en la carpeta Users. Pertenecen al tipo dominio local, globales o universales, y
si se accede a ellos, en el apartado Descripción se muestra su utilidad. Los grupos son los si-
guientes:
210
TEMA 6: CONFIGURACIÓN Y ADMINISTRACIÓN Implantación de Sistemas Operativos
DE WINDOWS SERVER 2008
o Administradores del dominio. Este grupo pasa a ser miembro automáticamente del
grupo local Administradores en todos los controladores, de forma que sus miembros pue-
den realizar tareas administrativas en cualquier equipo del dominio. De forma predeter-
minada la cuenta Administrador es miembro de este grupo.
o Equipos del dominio. Todos los controladores y estaciones de trabajo del dominio son
miembros de este grupo.
o Controladores de dominio. Contiene todos los controladores de dominio.
o Invitados del dominio. Tiene como cuenta predeterminada a Invitados.
o Usuarios del dominio. Todos los usuarios del dominio y la cuenta Administrador son
miembros.
o Administradores. Los miembros de este grupo pueden modificar el esquema de Directo-
rio Activo.
o Administradores de empresas. Administradores designados de la empresa.
o Administradores de esquema. Administradores designados del esquema.
o Enterprise Domain Controllers de solo lectura. Los miembros de este grupo son contro-
ladores de dominio de solo lectura en la empresa.
3.3.4.2.Eliminación de grupos
Para eliminar un grupo, basta con:
Seleccionarlo en su correspondiente Unidad Organizativa.
Pulsar el botón derecho del ratón y seleccionar Eliminar.
211
TEMA 6: CONFIGURACIÓN Y ADMINISTRACIÓN Implantación de Sistemas Operativos
DE WINDOWS SERVER 2008
La eliminación del grupo no elimina los usuarios u objetos que este contenga, ya que solo eliminará los
permisos que este grupo tiene asociado.
El mismo proceso lo podemos realizar desde el propio grupo. Lo seleccionamos y hacemos clic con el
botón derecho del ratón en Propiedades. Se abre un cuadro de diálogo en el que pulsaremos Miembros >
Agregar. Se abrirá otra pantalla, en la que realizaremos la selección de los usuarios y grupos que queremos
incluir en el grupo recién creado.
Haremos clic en Avanzadas > Buscar ahora. Si el grupo es global, agregaremos solo usuarios nuevos, y
si es local, agregaremos usuarios y otros grupos globales.
4. DIRECTIVAS Y AUDITORIAS
4.1.Directivas de seguridad
Las directivas de seguridad son un conjunto de reglas de seguridad, referentes a características y permisos
que se pueden configurar con el fin de garantizar el acceso a los recursos del sistema. El sistema aporta desde
la instalación unas directivas de seguridad predeterminadas, que son suficientes para la mayoría de las situa-
ciones. Los administradores pueden modificarlas o personalizarlas para que se ajusten a las necesidades es-
pecíficas de la organización del sistema.
Existen tres tipos:
Directiva de seguridad local. Es la que se debe utilizar si se desea modificar la configuración de
seguridad de un equipo y dicho equipo no es un Servidor Windows, o sí lo es, pero no tiene
instalado el Active Directory. Para trabajar con directivas locales, iremos a Herramientas admi-
nistrativas > Directivas de seguridad local.
Directiva de seguridad de dominio. Es la que se debe utilizar si el servidor Windows 2008 es un
controlador de dominio y se desea modificar la configuración de seguridad para todos los equi-
pos que sean miembros del dominio. Para acceder a ella, iremos a Administración de Directivas
de Grupo.
212
TEMA 6: CONFIGURACIÓN Y ADMINISTRACIÓN Implantación de Sistemas Operativos
DE WINDOWS SERVER 2008
Directiva de seguridad del controlador del dominio. Es la que se debe utilizar si el servidor Win-
dows 2008 es un controlador de dominio y se desea modificar la configuración de seguridad
para todos los equipos que sean controladores de dominio. Para acceder a ella, iremos a Admi-
nistración de Directivas de Grupo.
Desde dicha herramienta se pueden establecer, entre otras, las siguientes directivas:
Directivas de cuentas. En este apartado se puede establecer cuál es la política de cuentas o de
contraseñas que se seguirá. Dentro de este apartado se pueden distinguir reglas en tres grupos:
Contraseñas, Bloqueo y Kerberos. Entre ellas, las dos primeras hacen referencia a cómo deben
ser las contraseñas en el equipo (longitud mínima, vigencia máxima, historial, etc.), y cómo se
debe bloquear una cuenta que haya alcanzado un cierto máximo de intentos fallidos de cone-
xión.
Directivas locales. Entre las que se encuentran las directivas de auditoría, las directivas de asig-
nación de derechos de usuario y las directivas de seguridad.
Directivas de clave pública. Se pueden administrar las opciones de seguridad de las claves pú-
blicas emitidas por el equipo.
Las distintas directivas de seguridad deben estar vinculadas a un objeto directiva de grupo.
4.2.Directivas de grupo
4.2.1. INTRODUCCIÓN
4.2.1.1.Qué son las directivas de grupo
Se denominan Directivas de grupo al conjunto de valores de configuración utilizados por el administrador
para gestionar objetos que actúan durante la inicialización y la finalización de los equipos, y durante el inicio
de la sesión y el final de la sesión de los usuarios.
Por medio de estas directivas, el administrador controla los entornos de trabajo de los usuarios del
dominio y el comportamiento de un objeto determinado. Las Directivas de grupo se pueden utilizar para
administrar características tales como instalación de software, plantillas administrativas, redirección de car-
petas, configuración de seguridad, secuencias de comandos (inicio o apagado, e inicio de sesión o cierre de
sesión) y mantenimiento de Internet Explorer. El administrador de las directivas de grupo puede definir, por
ejemplo, los programas que se visualizarán en el escritorio de los usuarios, las opciones del menú Inicio de
cada usuario, los archivos que copiarán en la carpeta Mis Documentos, el acceso a los archivos y a las carpe-
tas. También pueden influir en los permisos que se otorgan a las cuentas de usuario y de grupos.
4.2.1.3.Categorías
Las Directivas de Seguridad vinculadas a una directiva de grupo se agrupan en dos categorías:
Según su función:
o Directivas de seguridad. ¿Cuántos caracteres tiene una contraseña? ¿Cada cuánto tiempo
debe ser cambiada ésta? Etc.
A nivel de dominio. Son aplicadas en todas las máquinas del dominio.
A nivel de controladores de dominio. Se aplican tan sólo en los controladores de
dominio, pero sin suplantar a las del dominio (en caso de entrar en contradicción
una y otra, se aplica la del dominio, don la de los controladores de dominio).
213
TEMA 6: CONFIGURACIÓN Y ADMINISTRACIÓN Implantación de Sistemas Operativos
DE WINDOWS SERVER 2008
o Directivas de Entorno. ¿Quién tiene acceso al panel de control? ¿Cuál es el tamaño má-
ximo del archivo de registro de sistema?
A nivel de equipo local.
A nivel de sitio.
A nivel de dominio.
A nivel de Unidad Organizativa.
Según su objeto de configuración:
o Configuración del equipo.
o Configuración del usuario.
Las directivas de grupo se pueden aplicar también a nivel local. Equipo local: se aplica sólo al equipo
que las tiene asignadas, independientemente del dominio al que pertenezcan. Se modifican con gpedit.msc.
Estas son las únicas políticas que se aplican a los equipos que no están en un dominio, como servidores inde-
pendientes o clientes de red igual a igual.
Un sitio hace referencia a la ubicación física del equipo (equipos que están en la misma red, están en
el mismo sitio). Puede haber más de un dominio en el mismo sitio, o varios sitios dentro del mismo dominio,
depende como éste configurada la red.
4.2.1.6.Directivas predefinidas
Al instalar Active Directory, se crean dos directivas por defecto, que se asignan a:
Todo el dominio (Default Domain Policy). Son aplicadas en todas las máquinas del dominio y
afecta tanto a la configuración de equipo como de usuario.
Contenedor de los controladores de dominio (Default Controller Domain Policy). Se aplican
sólo a los equipos que sean controladores de dominio y afecta tanto a la configuración de equipo
como de usuario.
4.2.2.6.Herencia
Si deseas impedir que otras directivas de grupo que estén vinculadas a otros objetos de nivel superior se
apliquen al contendor actual y a sus elementos secundarios, activar la casilla Bloquear la Herencia de Direc-
tivas.
4.2.2.7.Propiedades de la Directiva
Para ver o modificar distintas propiedades de una directiva de grupo solo hay que seleccionarla y saldrá un
panel con diferentes fichas:
Ámbito. Se muestran los vínculos de dicha directiva de grupo. En el apartado Filtrado de Segu-
ridad se muestran los grupos, usuarios y equipos a los que se aplica dicha directiva. Y en el apar-
tado Filtros WMI se indican los filtros que se aplican a dicha directiva.
Detalles. Se muestra información diversa sobre dicha directiva de grupo, y en el apartado Estado
de GPO se puede seleccionar si se desea deshabilitar la configuración de equipo, de usuario o
ambas.
Configuración. Muestra un resumen de los datos recopilados de dicha directiva.
Delegación. Muestra los grupos y usuarios que tienen permisos sobre dicha directiva y si pulsas
en Agregar o Quitar podrá modificarlos.
Configuración de Windows:
o Archivos de comandos de inicio o fin (encendido o apagado, en equipos; inicio o fin de
sesión, en usuarios).
o Configuración de seguridad:
Directivas de cuentas (para equipos):
Directivas de contraseñas.
Directivas de bloqueo de cuentas.
Directivas locales (para equipo):
Directivas de auditoría.
Asignación de derechos de usuario.
Opciones de seguridad.
Plantillas administrativas. Configuración del entorno del usuario:
o Impresoras (para equipo).
o Componentes de Windows (para usuario y equipo).
o Panel de control (para usuario y equipo).
o Red (para usuario y equipo).
o Sistema (para usuario y equipo).
o Carpetas compartidas (para usuario).
o Escritorio (para usuario).
o Menú de Inicio y barra de tareas (para usuario).
En algunos parámetros, además de seleccionar una de las opciones anteriores, hay que asignar algún
valor.
216
TEMA 6: CONFIGURACIÓN Y ADMINISTRACIÓN Implantación de Sistemas Operativos
DE WINDOWS SERVER 2008
217
TEMA 6: CONFIGURACIÓN Y ADMINISTRACIÓN Implantación de Sistemas Operativos
DE WINDOWS SERVER 2008
4.2.4.4.Herencia
Por defecto, las directivas se heredan de los contenedores padre. Así, a los usuarios de una Unidad Organi-
zativa para la cual no hay definida ninguna directiva, se les pueden aplicar los parámetros definidos a nivel
de sitio, de dominio, o incluso de una Unidad Organizativa padre de su contenedor.
4.2.5. EJEMPLOS
4.2.5.1.Directivas de contraseñas
Para establecer una directiva de contraseña, después de pulsar en Editar, hay que ir a Default Domain Con-
troller > botón derecho > Editar > Configuración del equipo > Directivas > Configuración de Windows >
Configuración de Seguridad > Directivas de cuenta > Directiva de contraseñas. Cuando se establezca la di-
rectiva, ejecutar gpupdate.exe para actualizar las directivas.
218
TEMA 6: CONFIGURACIÓN Y ADMINISTRACIÓN Implantación de Sistemas Operativos
DE WINDOWS SERVER 2008
219
TEMA 6: CONFIGURACIÓN Y ADMINISTRACIÓN Implantación de Sistemas Operativos
DE WINDOWS SERVER 2008
4.3.Las auditorías
Un registro de auditoría registrará una entrada siempre que los usuarios realicen determinadas acciones. Por
ejemplo, la modificación de un archivo o una directiva puede desencadenar una entrada de auditoría. La
entrada de auditoría muestra la acción que se ha llevado a cabo, la cuenta de usuario asociada y la fecha y
hora de la acción. Se pueden auditar tanto los intentos correctos como incorrectos en las acciones.
El análisis regular permite a un administrador hacer un seguimiento y garantizar un nivel adecuado de
seguridad en cada equipo como parte de un programa de administración de riesgos de la empresa.
La auditoría de seguridad es extremadamente importante para cualquier sistema empresarial, ya que
los registros de auditoría puede que den la única indicación de que se ha producido una infracción de segu-
ridad. Si se descubre la infracción de cualquier otra forma, la configuración de auditoría adecuada generará
un registro de auditoría que contenga información importante sobre la infracción.
A menudo, los registros de errores son mucho más informativos que los registros de aciertos, ya que
los errores suelen indicar problemas. Por ejemplo, si un usuario inicia sesión correctamente en el sistema,
puede considerarse como algo normal. Sin embargo, si un usuario intenta sin éxito iniciar sesión en un sis-
tema varias veces, esto puede indicar que alguien está intentando obtener acceso al sistema utilizando el
identificador de usuario de otra persona.
Los valores de configuración de auditoría son:
Correcto. Auditar los intentos correctos.
Erróneo. Auditar los intentos fallidos.
Sin auditoría.
Auditar el acceso a objetos. Determina si se debe auditar el suceso de un usuario que obtiene
acceso a un objeto como, por ejemplo, un archivo, una carpeta, una clave de Registro, una im-
presora, etc. La habilitación de la auditoría de acceso de objetos puede generar un gran volumen
de entradas en los registros de seguridad de los sistemas, por ello sólo se deben habilitar estos
valores si se desea utilizar realmente la información registrada. La auditoría de acceso a objetos
consta de dos partes, ya que una vez que se ha indicado en el MMC que se desea utilizar dicha
auditoría hay que indicar qué objetos se desean auditar, para qué usuarios y sobre qué tipo de
eventos. Para ello hay que pulsar con el botón derecho sobre el objeto a auditar y seleccionar
Propiedades > pestaña Seguridad > Opciones avanzadas > pestaña Auditoría. Una vez ahí, hay
que indicar mediante el botón Agregar el grupo o usuario sobre el que se quiere practicar la
auditoría, por ejemplo, el grupo Todos si se quiere controlar cualquier acceso a ese recurso. Una
vez ahí se pueden seleccionar que eventos deben provocar una entrada en la auditoría.
Auditar el cambio de directivas. Determina si se debe auditar cada caso de cambio de las direc-
tivas de asignación de derechos de usuario, de auditoría o de confianza.
Auditar el uso de privilegios. Determina si se debe auditar cada caso en el que un usuario eje-
cute un derecho de usuario. El volumen de sucesos generados al habilitar este valor es muy alto
y muy difícil de clasificar.
Auditar el seguimiento de procesos. Determina si se debe auditar información de seguimiento
detalladas de sucesos como la activación de programas, la salida de procesos, la duplicación de
identificados y el acceso indirecto a objetos. La habilitación del valor de configuración de esta
auditoría genera una gran cantidad de sucesos, por lo que generalmente se establece en Sin
auditoría.
Auditar eventos del sistema. Determina si se debe auditar el reinicio o cierre de un equipo rea-
lizado por un usuario o un suceso que afecte a la seguridad del sistema o al registro de seguridad.
4.3.1. EJEMPLOS
4.3.1.1.Auditoría de un inicio de sesión en un controlador de dominio
Se va a comprobar que se inicia/cierra sesión con un usuario en el equipo de dominio. Para ello hay que abrir
el Editor de administración de directivas de grupo e ir a Configuración del equipo > Directivas > Configura-
ción de Windows > Configuración de seguridad > Directivas locales > Directiva de auditoría, y buscamos
Auditar eventos de inicio de sesión. La ponemos para auditar eventos correctos, y luego nos vamos al Visor
de eventos, y abrimos Registros de Windows > Seguridad para ver las auditorías.
221
TEMA 6: CONFIGURACIÓN Y ADMINISTRACIÓN Implantación de Sistemas Operativos
DE WINDOWS SERVER 2008
222
TEMA 6: CONFIGURACIÓN Y ADMINISTRACIÓN Implantación de Sistemas Operativos
DE WINDOWS SERVER 2008
223