• Los dominios, grupos de trabajo y hogar son las maneras
de organizar las PC’s dentro de una red. • Son muchas diferencias, pero las más importantes están enfocadas en la organización, seguridad y jerarquía de los equipos que lo forman. ”Los equipos que tienen de sistema operativo Windows en una red se encuentran dentro de un grupo de trabajo o de un dominio”. Lo más normal es tener en las redes de casa o bien grupo de trabajo (Workgroup) o de hogar (Home) y los que se encuentran en oficina son organizados por un dominio (Domain).
Ing. Alberto A. Ledesma
Grupo de Trabajo
•Un grupo de trabajo es un conjunto de computadoras que
comparten recursos. En el modelo de grupo de trabajo no existe un servidor central y computadoras clientes, sino que son redes de igual a igual donde cualquier computadora puede cumplir ambos roles.
•Cada equipo se usa de forma totalmente individual, desde
gestión, configuraciones, seguridad que tenga implementada etc.
•Cómo son independientes, a la hora de conectarse a otras
máquinas (a carpetas compartidas) se debería introducir un usuario y contraseña válidos que este creado en el equipo remoto (si no se ha abierto de forma general a Todos sin contraseña). Ing. Alberto A. Ledesma Grupo de Trabajo
• Para una correcta configuración del grupo de trabajo,
será necesario que creemos en cada uno de los puestos a todos los usuarios de la red y asignemos a cada uno de estos los privilegios que creamos adecuados sobre los recursos compartidos entre otros.
• En un grupo de trabajo cada equipo o componente
del mismo tiene una base de datos de seguridad propia, lo que hace que a la hora de atribuir privilegios o restricciones debamos de crear correctamente al usuario en cada puesto para que este exista en todas las bases de seguridad del grupo de trabajo, esto afecta también a las contraseñas. en caso de cambiar la contraseña de un usuario deberemos ir equipo por equipo haciendo lo mismo para que a la hora de acceder a un recurso compartido no tengamos ningún problema de validación Ing. Alberto A. Ledesma Grupo de Trabajo - Limitaciones
• En un grupo de trabajo no existe un límite de equipos
• El problema surge en la cantidad de conexiones
simultáneas que admiten los recursos compartidos.
• Windows XP Proffesional – 10 Conexiones
• Windows XP Home – 5 Conexiones • Windows 7 o superior – 20 Conexiones
• Por encima de las 20 Conexiones simultáneas sobre un
recurso compartido, será necesario migrar a un Dominio
Ing. Alberto A. Ledesma
Grupo de Trabajo - Ventajas
1. No requiere inversión extra, mas que contar con los
equipos con Windows como sistema operativo y conectados a la misma red.
2. No requiere de soporte especializado para compartir
recursos o administrarlos.
3. La puesta en marcha de un grupo de trabajo o grupo en
el hogar es sencilla y puede demorar solo unos minutos.
Ing. Alberto A. Ledesma
Grupo de Trabajo - Desventajas
1. Es más incómodo a la hora de gestionar los usuarios y
cambios que queramos realizar en todos los equipos ya que tendremos que hacerlo en cada uno de ellos, no hay gestión centralizada.
2. Cuando crezca la empresa y sea más de 20 usuarios la
administración será tan compleja que se deberá migrar a un dominio.
3. La seguridad no es controlada ni centralizada por lo que
si nos importa realizar jerarquías, auditorías, chequeos generales etc. es necesario estar en un Dominio.
4. En un grupo de trabajo las contraseñas (autenticación)
se gestiona localmente en cada equipo. Ing. Alberto A. Ledesma Grupos de Trabajo – Trabajo Práctico
Investigar los principales problemas la hora de gestionar un
grupo de trabajo
Recursos compartidos con y sin contraseña
NetBios Detección de Redes DNS
Realizar una presentación en ppt o un workshop (puede ser con
maquinas virtuales en la clase o subir un video en youtube) para mostrar como se configura un grupo de trabajo y como se comparten recursos entre ellos
Ing. Alberto A. Ledesma
Dominio en Windows
• El conjunto de computadoras conectadas en una red
informática que confían a uno de los equipos de dicha red, la administración de los usuarios y los privilegios que cada uno de los usuarios tiene en dicha red.
Ing. Alberto A. Ledesma
Dominio en Windows
• Los dominios constan de uno o más servidores que son los
"Controladores de Dominio" y son los encargados de gestionar la seguridad, permisos de usuarios y equipos a través de GPO´s (Directivas de Grupo). • La base de datos central que administra toda la información dentro del dominio se llama Directorio Activo (Active Directory – AD)
Ing. Alberto A. Ledesma
Dominio en Windows - Ventajas
1. Es más eficiente y rápido a la hora de realizar y gestionar cambios en la
arquitectura de usuarios, permisos, credenciales, etc. ya que se gestionan de manera central y se pueden aplicar directamente en todos los ordenadores de la compañía de forma automática (no yendo uno por uno). . 2. No hay límites de acceso a los recursos compartidos.
3. Multitud de opciones interesantes como creación de perfiles móviles, esto es
para que el servidor albergue los perfiles de los usuarios y eso da la libertad de que al iniciar sesión en cualquier equipo de la oficina aparecerán sus datos y configuraciones.
4. Mucho más seguro, tanto la posibilidad de gestión interna (limitando accesos,
perfiles, reseteo de cuentas, cambios automáticos de plantillas de seguridad etc.) todo esto centralizado.
5. Los equipos pueden encontrarse en diferentes redes locales.
Ing. Alberto A. Ledesma
Dominio en Windows - Desventajas
1. La implementación de un dominio requiere de hardware y software
(Windows Server) dedicado a la administración del dominio. 2. Contar con licencias específicas por cada uno de los equipos que se conecten al dominio. 3. Disponibilidad de personal altamente calificado para administrar el dominio. 4. Disponibilidad de infraestructura capaz de asegurar la disponibilidad del servicio.
Ing. Alberto A. Ledesma
Autenticación y Autorización
Cuando iniciamos sesión en un equipo que forma parte de una red
normalmente se ejecutan estos dos procesos en forma sucesiva automáticamente previo a que veamos la familiar apariencia de nuestro escritorio de Windows.
Lo mismo ocurre cuando vamos a acceder a un recurso compartido de
red. El hecho que se ejecuten en forma automática sucesivamente hace que pensemos que en realidad se trata de un solo proceso, pero en realidad son dos procesos sumamente diferentes.
La autenticación es el proceso con el que demostramos ser quienes
decimos. Eso es, decimos ser determinado Usuario y lo demostramos introduciendo la contraseña del mismo Ing. Alberto A. Ledesma Autenticación y Autorización Durante el inicio de sesión, la autorización es el permiso de acceso a la máquina local; cuando se accede a un recurso compartido es el permiso de acceso al recurso.
A partir que se ha autenticado a la cuenta, comienza la segunda parte,
verificar que el usuario tenga los privilegios necesarios para acceder al recurso y en la forma solicitada. Si inicia sesión, verifica si tiene el derecho de “Inicio de sesión interactivo”; y si intenta abrir un archivo, con acceso de lectura-escritura por ejemplo, si tiene los permisos necesarios.
Cuando iniciamos sesión, verifica identidad (Autenticación), luego controla
si tenemos derecho de inicio de sesión interactivo (Autorización), y Ing. Alberto A. Ledesma finalmente arma el escritorio de Windows. Autenticación y Autorización – Grupo de Trabajo En un grupo de trabajo toda la seguridad se maneja localmente en cada equipo. Cada máquina tiene localmente su lista de usuarios autorizados con las contraseñas correspondientes. Es decir, tanto la autenticación como la autorización se ejecutan localmente en cada máquina. Debemos tener en cuenta que el equipo en sí mismo también es un recurso de red. Cuando iniciamos sesión nos Autentica y nos Autoriza a utilizarlo. Luego cuando vamos a acceder a un recurso local, como ya estamos autenticados, solamente verifica si estamos autorizados para acceder al mencionado recurso. Las soluciones en un grupo de trabajo son dos: duplicar la cuenta de usuario en ambos equipos, o elegir conectarse como otro usuario, especificando un Usuario- Contraseña válidos en el equipo remoto. Es recomendable la segunda.
Ing. Alberto A. Ledesma
Autenticación y Autorización – Dominio En un ambiente de dominio, hay uno o más “servers” que cumplen la función de Controladores de Dominio, una de cuyas funciones principales es Autenticar. Vamos a ver primero el proceso con clientes Windows (xp, 7, 8, 10), donde primero hay que crear una cuenta de máquina en el dominio, inclusive con los servidores miembros. El equipo tiene cuenta en el dominio, se autentica durante el proceso de inicio, a partir de lo cual se arma un canal seguro de comunicación que servirá para el transporte de las credenciales de autenticación de los usuarios que accedan a los recursos del mismo.
Ing. Alberto A. Ledesma
Autenticación y Autorización – Dominio A partir de esto cuando un equipo necesita autenticar usuarios del dominio envía las credenciales suministradas por el usuario al controlador de dominio quien verifica la autenticidad de las mismas y devuelve una confirmación de la autenticación e información adicional tal como pertenencia a grupos del dominio y derechos específicos del dominio. Cuando esta información es recibida por el cliente se construye localmente una credencial de autenticación (Access Token) donde consta quién es, a qué grupos pertenece y los derechos que tiene. Esta credencial es usada localmente para el proceso de Autorización previo al acceso a recursos.