SISTEMAS OPERATIVOS
ATICA
1
NDICE GENERAL
PARTE 1
Administracin de Windows como Sistema
Operativo Individual
PARTE 2
Administracin de Windows en una Red de
Ordenadores
2
PARTE 1
ATICA
3
NDICE
1. Entorno Windows
2. Conceptos bsicos de administracin
3. Instalacin
4. Configuracin
5. Acceso a los recursos
6. Administracin de cuentas y grupos
7. Seguridad
8. Tratamiento de errores
9. Rendimiento
4
ENTORNO WINDOWS
EVOLUCIN
Windows 2.X .. 3.1
Windows 3.11
Windows 95 - 98
Windows NT 4 (WS + Server)
Windows ME
Windows 2000 (WS + Server)
Windows XP - Windows Server 2003
Windows Vista - Windows Server
2008
Windows 7 - Windows Server 2008 R2
5
ENTORNO WINDOWS
Cules son las nuevas versiones de Windows?
Windows NT 4.x
Windows 2000 5.0
Windows XP 5.1
Wind.Server 2003 5.2
Windows Vista 6.0
Wind.Server 2008 6.0
Windows 7 ???
Wind.Server 2008 R2 ???
6
ENTORNO WINDOWS
Windows Management Instrumentation (WMI)
7
ENTORNO WINDOWS
Windows Vista
EDICIONES
Windows Vista Business
reducir los costos de administracin y aumentar la seguridad y la
productividad.
Windows Vista Enterprise
para grandes organizaciones con infraestructuras de TI de gran complejidad.
Windows Vista Home Premium
Entretenimiento en el hogar y conexin a Internet.
Windows Vista Home Basic
para usuarios que slo necesitan las funciones esenciales de su equipo.
Windows Vista Ultimate
mejores caractersticas de movilidad y de entretenimiento.
Windows Vista Starter
disponible en los mercados emergentes, est diseado para usuarios
principiantes.
8
ENTORNO WINDOWS
Windows Server 2008
9
CONCEPTOS BSICOS DE
ADMINISTRACIN WINDOWS
ATICA
10
CONCEPTOS BSICOS
Consola de administracin (MMC)
11
CONCEPTOS BSICOS
Complementos de la consola de administracin (MSC)
12
CONCEPTOS BSICOS
Uso de la consola para administrar equipos remotos
13
CONCEPTOS BSICOS
Secuencias de comandos
Ejercicios:
1.- Crear un cmd para arrancar internet explorer si el equipo
tiene un nombre determinado.
2.- Crear un cmd que copie haga un espejo de nuestra carpeta
de trabajo en el directorio C:\Pares los das pares y en
C:\Impares los das impares.
14
CONCEPTOS BSICOS
Secuencias de comandos
Ejercicios
- Ejecutar un script del repositorio de ejemplos.
Enumerate Administrative Tools
Const ADMINISTRATIVE_TOOLS = &H2f&
Set objShell = CreateObject("Shell.Application")
Set objFolder = objShell.Namespace(ADMINISTRATIVE_TOOLS)
Set objTools = objFolder.Items
For i = 0 to objTools.Count - 1
Wscript.Echo objTools.Item(i)
Next
- Buscar y ejecutar un script del repositorio de ejemplos, para
prevenir la ejecucin de un proceso (p.ej. Iexplore.exe).
15
CONCEPTOS BSICOS
La nueva herramienta de scripting: PowerShell
17
CONCEPTOS BSICOS
Programador de Tareas
18
CONCEPTOS BSICOS
Programador de Tareas
W-Vista, W-7 y W-Server 2008: Complemento MMC
19
CONCEPTOS BSICOS
Programador de Tareas
W-Vista, W-7 y W-Server 2008
Nuevos desencadenadores
Al producirse un evento
Al modificar una tarea
Al conectarse con escritorio remoto
Al desconectarse
Al bloquear la estacin de trabajo
Al desbloquearla
Nuevas acciones
Iniciar un programa
Enviar un correo electrnico
Mostrar un mensaje 20
CONCEPTOS BSICOS
Programador de Tareas
Carpeta %windir%\Tasks
Archivo %windir%\SchedLgu.txt
Comando AT
Comando SCHTASKS
21
CONCEPTOS BSICOS
Servicios
22
CONCEPTOS BSICOS
Servicios
Ejercicios
Parar y arrancar un servicio
Comando SC
comandos.
Comandos Net Start y Net Stop
comandos.
23
CONCEPTOS BSICOS
Programas de inicio y residentes
Msconfig.exe
24
CONCEPTOS BSICOS
Programas de inicio y residentes
Windows Defender
25
INSTALACIN Y
ACTUALIZACIN
26
INSTALACIN
Instalacin de un S.O. Windows
28
INSTALACIN
Instalacin CORE en Server 2008
29
INSTALACIN
Instalacin masiva
Boot.ini.
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft
Windows XP Professional" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows XP Professional
Alternativo" /noexecute=optin /fastdetect
31
INSTALACIN
Arranque mltiple en Windows
Vista, W-7 y W.Server 2008
Herramientas grficas
(VistaBootPRO).
32
INSTALACIN
Editor del almacn de datos de la configuracin de
arranque (BCD)
Sintaxis: Bcdedit.exe /?
Equipos individuales
Windows Update
Service Packs
34
INSTALACIN
Actualizacin de los Sistemas Operativos Windows
35
CONFIGURACIN
36
CONFIGURACIN
El Registro de Windows
Enel registro se guardan los datos de
configuracin, como:
Perfiles de usuarios
Programas instalados
Configuracin de Propiedades de programas,
carpetas, iconos.
Configuracin hardware del equipo
Puertos en uso
37
CONFIGURACIN
El Registro de Windows
Organizado jerrquicamente en:
Claves y subclaves
Secciones
Valores
Datos
38
CONFIGURACIN
El Registro de Windows
Claves de primer nivel:
HKEY_CLASSES_ROOT
Asocia tipos de archivo con los programas correspondientes
HKEY_CURRENT_USER
Configuracin para el usuario que ha iniciado sesin
HKEY_LOCAL_MACHINE
Configuracin del equipo para todos los usuarios
HKEY_USERS
Perfiles de todos los usuarios que han hecho logon
HKEY_CURRENT_CONFIG
Perfil de HW que usa el equipo para arrancar el sistema 39
CONFIGURACIN
El Registro de Windows Tipos de datos
REG_DWORD
Un dato de 4 bytes en binario, hexadecimal o decimal
REG_SZ
Cadena de texto de longitud fija
REG_EXPAND_SZ
Cadena de longitud variable
REG_MULTI_SZ
Varias cadenas de longitud variable
REG_BINARY
En formato hexadecimal
REG_FULL_RESOURCE_DESCRIPTOR
40
Tablas anidadas con listas de recursos
CONFIGURACIN
El Registro de Windows
Ejercicios
Buscar un dato en el registro
Cambiar un dato
Aadir un valor
Administracin remota
Acceder al registro de un equipo remoto
41
CONFIGURACIN
El Registro de Windows
Administracin mediante lnea de comandos
El comando REG
Estudiar su sintaxis
Archivos .REG
Ejercicios
Hacer que al iniciar la sesin de usuario se arranque el block de notas.
42
CONFIGURACIN
Directivas de Grupo
(Group Policy)
43
CONFIGURACIN
Directivas de Grupo
(Herramientas de administracin de GP)
GPMC.MSC
Permite administrar el conjunto de polticas de un dominio. En
W.Vista y WS2008 est integrada. En WXP se puede instalar.
Para usarla se necesita ser Administrador de Dominio
GPEDIT.MSC
Permite editar una poltica concreta.
44
CONFIGURACIN
Directivas de Grupo
(Novedades en Wvista, W7 y WS2008)
Aplicacin de las GP ms fiable y eficiente
Extensin de la cobertura
Mayor nmero de parmetros y componentes que se pueden
configurar
Facilidad de uso
Gestin sencilla
45
CONFIGURACIN
Directivas de Grupo
(Directivas de Grupo Locales)
Permiten establecer parmetros de configuracin sin tener AD
46
CONFIGURACIN
Aplicabilidad de Directivas de Grupo
47
CONFIGURACIN
Directivas de Grupo
Administracin de directivas locales
Gpedit.msc de MMC
48
CONFIGURACIN
Directivas de Grupo
Plantillas administrativas
49
CONFIGURACIN
Directivas de Grupo
Directivas locales
Ejercicios
Recorrer las directivas. Aplicar alguna de usuario y cerrar y
abrir la sesin
Habilitar y deshabilitar que se apliquen directivas locales
51
APRENDIZAJES ESPERADOS
52
ACCESO A RECURSOS
Permisos
Se otorgan a:
Grupos, usuarios y otros objetos con identificadores de seguridad del
dominio.
Grupos y usuarios del dominio y de cualquier dominio de confianza.
Grupos y usuarios locales del equipo en que reside el objeto.
Herencia de permisos
Los objetos de un contenedor heredan automticamente todos
los permisos heredables de ese contenedor.
Slo se heredan los permisos marcados para ello
54
ACCESO A RECURSOS
Permisos y descriptores de seguridad
55
ACCESO A RECURSOS
Permisos especiales
Permisos locales
Privilegios locales
57
ACCESO A RECURSOS
Aadir o modificar
permisos mediante
interfaz grfica
Propiedadesde objeto
-> pestaa Seguridad
58
ACCESO A RECURSOS
Permisos efectivos
59
ACCESO A RECURSOS
Lnea de comandos
Icacls
60
ACCESO A RECURSOS
Auditora de accesos
62
ADMINISTRACIN DE CUENTAS
Cuenta de usuario
Usuarios avanzados. Pueden crear cuentas y grupos pero nicamente pueden modificar
y eliminar los que creen. No pueden modificar los grupos Administradores u Operadores de
copia, ni pueden tomar la posesin de archivos, copiar o restaurar directorios, cargar o
descargar controladores de dispositivo ni administrar los registros de auditora y seguridad.
Usuarios. Pueden realizar las tareas ms habituales, como ejecutar aplicaciones, utilizar
impresoras locales y de red, as como cerrar y bloquear la estacin de trabajo.No pueden
compartir directorios ni crear impresoras locales.
Invitados. Permite a los usuarios ocasionales o a los usuarios de una sola vez iniciar sesin
y cerrar el sistema en una estacin de trabajo.
Replicador. El nico miembro del grupo Replicador debe ser una cuenta de usuario de
dominio que se utilice para iniciar los servicios Replicador del controlador de dominio. No
debe agregarse a este grupo cuentas de usuarios reales. 65
ADMINISTRACIN DE CUENTAS
Administrar cuentas de usuario y grupos
Mediante secuencias
de comandos
> net user
> net group
> net localgroup
66
ADMINISTRACIN DE CUENTAS
Perfiles de usuario
Formado por un conjunto de carpetas en las que se guardan
todas las opciones de personalizacin, preferencias, ficheros
temporales, msica, fotos, documentos, etc. del usuario.
En la carpeta raz, se encuentra el archivo NTUSER.DAT donde
se guardan las claves de HKEY_CURRENT_USER.
Inicio de sesin:
Usuario normal -> Token de acceso con el nivel de acceso que se le concede al usuario.
Administrador -> Dos tokens de acceso independientes
Usuario estndar sin privilegios, para iniciar aplicaciones que no realizan tareas administrativas
("aplicaciones de usuario estndar").
Administrador, para cuando tiene que ejecutar aplicaciones que realizan tareas administrativas
(Vista pide que eleven su contexto de seguridad al de administrador).
Directiva de grupo
El comportamiento del mensaje de Control de cuentas de usuario se puede cambiar
mediante Directiva de grupo.
Diseo de aplicaciones
Los programadores deberan identificar su aplicacin como aplicacin de administrador o
aplicacin de usuario estndar. Si una aplicacin no se ha identificado como aplicacin de
administrador, Windows la trata como una aplicacin de usuario estndar.
68
ADMINISTRACIN DE CUENTAS
Control de cuentas de usuario (UAC) en Windows 7
69
SEGURIDAD
70
SEGURIDAD
Administracin de la Seguridad del Sistema
Directivas de seguridad
Son reglas que se configuran para proteger los recursos de un equipo o una red.
Permiten controlar:
Cmo los usuarios se autentican en una red o un equipo.
Qu recursos estn autorizados a utilizar los usuarios.
Si las acciones de un usuario o un grupo se graban en el registro de sucesos.
Pertenencia a grupos.
Plantillas de seguridad
Son un complemento de MMC.
Una vez creada, se puede utilizar para configurar la seguridad de un sistema
71
SEGURIDAD
Administracin de la Seguridad del Sistema
72
SEGURIDAD
Plantillas de Seguridad
Representa una configuracin de seguridad.
Son el punto de partida para crear directivas de seguridad que se personalizan para cumplir
los diferentes requisitos organizativos. Estn almacenadas en
%SystemRoot%\Security\Templates
Compatible (Compatws.inf)
Los permisos predeterminados para estaciones de trabajo y servidores se conceden
principalmente a tres grupos locales: Administradores, Usuarios avanzados y Usuarios.
Segura (Secure*.inf)
Define una seguridad mejorada sin afectar a la compatibilidad de las aplicaciones.
Directivas de cuentas
Afectan a la forma en que las cuentas de usuario pueden interactuar con el equipo o el
dominio. Hay 3 subconjuntos:
Directiva de contraseas.
Directiva de bloqueo de cuentas.
Directiva Kerberos.
Directivas locales
Se aplican a un equipo y contienen tres subconjuntos:
Directiva de auditora.
Asignacin de derechos de usuario.
Opciones de seguridad.
En caso de tener aplicadas varias directivas, el orden de prioridad de mayor a menor es:
unidad organizativa, dominio y equipo local.
75
SEGURIDAD
Directivas de Seguridad
76
SEGURIDAD
Configurar la Seguridad del
sistema
Crear una plantilla de seguridad
secedit/configure /DB Archivo [/CFG Archivo] [/overwrite] [/areas rea1 rea2...] [/log RutaRegistro]
[/quiet]
77
SEGURIDAD
78
SEGURIDAD
Analizar la Seguridad de un equipo y ver los resultados
Anlisis de seguridad
Se hace comparando el estado actual con una base de datos de
anlisis.
sta utiliza al menos una plantilla de seguridad. (puede usar ms de
una)
80
TRATAMIENTO DE ERRORES
El visor de eventos
Permite supervisar el funcionamiento de todos los elementos del S.O. como forma
de prevenir errores.
Un anlisis de los eventos de advertencia o error que se estn produciendo en un
equipo, permitira a un administrador anticiparse al problema y buscar
soluciones que lo eviten.
Los eventos son elementos con informacin relativa a algn suceso que ha
ocurrido en el equipo. Pueden ser de:
Informacin, como arranques y paradas, conexin con otros equipos, actualizacin de la
hora, etc.
Advertencia, como una desconexin del cable de red, etc.
Error, como que no se ha podido leer un archivo en un disco porque ste tiene algn
sector deteriorado.
Es un complemento de Microsoft Management Console (MMC)
82
TRATAMIENTO DE ERRORES
Registros de eventos
83
TRATAMIENTO DE ERRORES
Registros de eventos en Vista y Srv2008
84
TRATAMIENTO DE ERRORES
Ejecutar una tarea como respuesta a un evento
dado
Permite:
Iniciar un programa
Enviar correo electrnico
Mostrar un mensaje
85
RENDIMIENTO
86
RENDIMIENTO
Monitor de rendimiento
88
RENDIMIENTO
Objetos y contadores de rendimiento
Objetos de rendimiento
Se integran en el sistema operativo y suelen corresponder a los componentes principales del hardware tales
como la memoria, los procesadores, etctera.
Contadores de rendimiento
Representan aspectos especficos de un sistema o servicio. (Por ej. Pginas por segundo)
Datos de rendimiento
Son los valores de los contadores en el momento actual o en periodos anteriores.
Ejercicio:
Aadir al monitor en tiempo real algunos contadores importantes de
los objetos:
Memoria
Archivo de paginacin
Disco fsico
Procesador
90
RENDIMIENTO
Recopilacin de datos para anlisis
Registros de seguimiento.
Guardan sucesos detallados de las aplicaciones del sistema cuando
ocurren eventos como una operacin de E/S en un disco o un error de
pgina.
Cuando ocurre el suceso, el sistema operativo registra los datos de
sistema en un archivo especificado por el servicio Registros y alertas
de rendimiento.
Para interpretar el resultado del registro de seguimiento, se requiere
una herramienta de anlisis. Los programadores pueden crear una
herramienta de este tipo mediante las interfaces de programacin de
aplicaciones (API) proporcionadas en MSDN Library
Registros de contador
El servicio obtiene datos del sistema cuando ha transcurrido el
intervalo de actualizacin, en lugar de esperar a que se produzca un
suceso determinado.
91
RENDIMIENTO
Recopilacin de datos para anlisis
Ejercicio:
Crear un fichero con registros de contador y analizarlo
92
RENDIMIENTO
Monitor de confiabilidad
93
RENDIMIENTO
Monitor de confiabilidad
94
WINDOWS 7 XP MODE
95
ENTORNO WINDOWS 7
Mquina Virtual XP dentro de Windwos 7
Qu es Windows 7 XP Mode?
96
PARTE 2
ADMINISTRACIN DE WINDOWS
EN UNA RED DE ORDENADORES
ATICA
97
NDICE
98
CREACIN DEL ENTORNO BSICO
DE PRUEBAS
ATICA
99
CREACIN DEL ENTORNO BSICO DE PRUEBAS
100
CREACIN DEL ENTORNO BSICO DE PRUEBAS
101
CREACIN DEL ENTORNO BSICO DE PRUEBAS
102
CREACIN DEL ENTORNO BSICO DE PRUEBAS
Acciones a realizar:
Cambiar contrasea de Administrador:
A-tic-A
Instalar VMWare Tools.
Cambiar nombre de la mquina.
Activar la deteccin de redes
Cambiar configuracin de actualizaciones a no
actualizar nunca.
Comprobar la direccin IP y apuntarla
103
CREACIN DEL ENTORNO BSICO DE PRUEBAS
104
Cmo ampliar el periodo de evaluacin de Windows?
Ms informacin: Support.microsoft.com/kb/948472
105
PLANIFICACIN DEL DIRECTORIO
ACTIVO
ATICA
106
Planificacin del
Directorio Activo
Uno o varios dominios?
107
Planificacin del
Directorio Activo
rboles y Bosques
Un bosque es una coleccin de dominios que
permite:
La interaccin de los usuarios con el directorio.
La administracin de mltiples dominios.
Un rbol es un conjunto de uno o varios dominios
con nombres DNS contiguos.
Un bosque puede tener ms de un rbol.
108
Planificacin del
Directorio Activo
Unidades Organizativas (OU)
109
Planificacin del
Directorio Activo
Diseo de un Active Directory
110
Planificacin del
Directorio Activo
Determinar el nmero de bosques de una red
111
Planificacin del
Directorio Activo
Plan de dominios
Dibujar la topologa de la red
112
Planificacin del
Directorio Activo
Plan de dominios
Crear particiones en el bosque
113
Planificacin del
Directorio Activo
Plan de dominios
Plan de rboles de dominios
114
Planificacin del
Directorio Activo
Plan de dominios
Plan de Unidades Organizativas OU
115
Planificacin del
Directorio Activo
Plan de dominios
Plan de topologa de sitios
116
Planificacin del
Directorio Activo
Nuestro ejemplo
Delegacion
empresa.es filial.es
SedeFilial
SedeCentral
rrhh.empresa.es
117
Planificacin del
Directorio Activo
Nuestro ejemplo
Delegacion
empresa.es filial.es
SedeFilial
Controladores SedeCentral
de Dominio
RODC
rrhh.empresa.es
118
CREACIN DEL DIRECTORIO
ACTIVO
ATICA
119
DIRECTORIO ACTIVO
Creacin del Directorio Activo de ejemplo
Laboratorio
ATICA
121
Directorio Activo
Novedades en W2008
Active Directory Domain Services
Reemplaza a Active Directory
Active Directory Lightweight Directory Services
Reemplaza a Active Directory Application Mode o ADAM
Funciones de Servidor
Funcionalidades del servidor como AD DS, AD LDS, y DNS
Se administran centralmente a travs del Server Manager
122
Directorio Activo
Novedades en W2008
AD DS reiniciable
123
Directorio Activo
Novedades en W2008
Directivas de Grupo
124
DIRECTORIO ACTIVO
AD incluye:
125
DIRECTORIO ACTIVO
Caractersticas principales:
Seguridad
Administracin flexible y simplificada
Escalabilidad
Alta disponibilidad
Capacidad de ampliacin
Compatibilidad con estndares abiertos
Acceso mediante programacin simple
Autenticacin de usuarios
126
DIRECTORIO ACTIVO
128
DIRECTORIO ACTIVO
Cuentas de Directorio Activo
Cuentas de usuario: Es un objeto almacenado en
el AD que permite su inicio de sesin nico en la
red
Cuentas locales
Cuentas de dominio
Cuentas Integradas (Built-in)
Cuentas de Equipos. Ofrecen una forma de
autenticar y auditar a los equipos que acceden a la
red y a recursos del dominio.
Cuentas de grupos: Coleccin de usuarios,
equipos y otros grupos. Su principal objetivo es
simplificar la administracin
129
DIRECTORIO ACTIVO
User Principal Name (UPN)
En AD, cada cuenta de usuario tiene:
Un nombre de
inicio de sesin de
usuario. Un sufijo UPN (User
Un nombre de Principal Name, segun
inicio de sesin de RFC 822)
usuario anterior a
Windows 2000
UPN = nombre_de_inicio_de_sesin@Sufijo_UPN
130
DIRECTORIO ACTIVO
Cmo agregar Sufijos UPN
En la consola de Dominios y confianzas del AD
juanp@empresa.cl
juanp@grupoempresas
131
Directorio Activo
NOMINACIN DE OBJETOS
Se puede hacer referencia a cada objeto de Directorio Activo con
varios nombres diferentes. AD crea a partir de los datos durante
la creacin del objeto:
El nombre completo relativo LDAP: identifica unvocamente al
objeto dentro su contenedor principal.
CN=JuanP
El nombre completo LDAP: es globalmente nico.
CN=JuanP, OU=Users, DC=empresa, DC=es
El nombre cannico: se crea de la misma manera que el nombre
completo, pero se representa con una notacin diferente.
Empresa.es/Users/JuanP
Ejemplos:
Dominio:
DC=empresa,DC=es
Controlador de Dominio:
CN=DC1,OU=Domain Controllers,DC=empresa,DC=es
Dominio hijo:
DC=rrhh,DC=empresa,DC=es
Site:
CN=SedeCentral,CN=Sites,CN=Configuration,DC=empresa,DC=es
Usuario:
CN=Administrador,CN=Users,DC=empresa,DC=es
133
DIRECTORIO ACTIVO
134
Directorio Activo
NOMINACIN DE OBJETOS
Objetos en NTds.dit (editor ADSI)
135
DIRECTORIO ACTIVO
Creacin de usuarios en AD
Para crear/modificar/borrar un solo usuario
Usuarios y equipos de Directorio Activo
DsAdd, DsMod, DsRm (Scriptables). Solo en servidores DC
136
DIRECTORIO ACTIVO
Grupos
Grupos de Distribucin:
Utilizados por aplicaciones de correo (p.e Microsoft Exchange
Server 2000/2003)
No pueden ser usados para especificar controles de acceso a
recursos.
Grupos de Seguridad:
Asignacin de derechos (funciones que se pueden desempear)
Asignacin de permisos de acceso a recursos
Permiten anidacin, es decir, meter unos grupos dentro de otros.
137
DIRECTORIO ACTIVO
Pueden contener:
Grupos Universales, Globales, Locales de su dominio
Usuarios de cualquier dominio del bosque
Pueden pertenecer a otro grupo Local de Dominio
Solo son visibles en su propio dominio
138
DIRECTORIO ACTIVO
Grupos Globales
Pueden contener:
Usuarios, Grupos y equipos de su propio dominio
Otros grupos globales
Pueden pertenecer a Grupos Locales, Universales o
Globales del mismo dominio
Son visibles desde cualquier dominio del bosque en
los que se confe.
Pueden asignarse a recursos de cualquier dominio
de confianza del bosque
139
DIRECTORIO ACTIVO
Grupos Universales
Pueden contener:
Usuarios y equipos de cualquier dominio del bosque
Grupos globales o universales de cualquier dominio del bosque
140
DIRECTORIO ACTIVO
Grupos
141
DIRECTORIO ACTIVO
Tipos de Confianzas
Transitividad
Transitivas (T)
Intransitivas (I)
Direccin
Bidireccionales (B)
Unidireccionales (U)
Confianzas por defecto
Entre dominios (padres/hijos): Transitivas bidireccionales
Entre races de rboles: Transitivas bidireccionales
Otros tipos de confianzas:
Externa: Con NT 4.0 (I, U/B)
Territorios: Kerberos con sistemas no Windows: (T/I, U/B)
Bosque: Entre bosques (T, U/B)
Acceso Directo: Para mejorar los tiempos de acceso entre
dominios lejanos lgicamente (T, U/B)
142
DIRECTORIO ACTIVO
Confianzas
Kerberos
NT 4.0
143
DIRECTORIO ACTIVO
Dominios y Confianzas de AD
144
DIRECTORIO ACTIVO
Almacn de datos del directorio
146
Directorio Activo
DACL:
Discretionary
Access control
List
SACL: System
Access Control
List
ACE: Access
Control Entry
147
DIRECTORIO ACTIVO
Funciones de servidor de Active Directory
Servidores miembro
Pertenece a un dominio
No es un controlador de dominio.
No procesa inicios de sesin de cuentas, no participa en la replicacin de AD ni
almacena informacin de directivas de seguridad de dominio.
Controladores de dominio (DC)
Almacena una copia de lectura y escritura del directorio de AD.
Autentica usuarios.
Sincroniza los datos del directorio utilizando replicacin.
148
Directorio Activo
Catlogo Global
DC que almacena una copia de todos los objetos de AD del bosque
(Copia completa de su dominio y parcial de los dems dominios del bosque )
Funciones:
Bsqueda de objetos
Autenticacin del nombre
principal de usuario
Informacin de pertenencia a
grupos universales en un entorno
de dominios mltiples
Validacin de referencias a
objetos dentro de un bosque
149
Directorio Activo
Maestro de esquema
Maestro de nombres de dominio
150
Directorio Activo
151
Directorio Activo
152
Directorio Activo
153
Directorio Activo
Ejercicio: Llegar a los cuadros de dilogo para transferir las funciones de maestro de Operaciones
154
Directorio Activo
Colocarse en %windir%\system32
155
SERVER CORE
ATICA
156
Server Core
Server
Core es una opcin de instalacin
mnima de Windows Server 2008
GUI? Desaparece (En su mayora).
Windows Explorer? Desaparece.
Internet Explorer y Media Player? Desaparecen.
.Net Framework? Desaparece
MMC? Tambin desaparece.
Diseado para cubrir ciertos entornos y cargas
de trabajo
Disponible en 32 y 64 bits
157
Server Core
Porqu Server Core?
158
Server Core
Server, Server Roles
Opciones Mnimas de Instalacin (Por ejemplo, solo)
Compatibilidad de Aplicaciones
Las aplicaciones han de ser probadas
160
SERVER CORE
Instalacin
Se puede:
Instalar desde el mismo DVD de Windows Server
2008
No se puede:
Actualizar desde versiones previas de Windows
Convertir una instalacin completa en Core
Convertir una instalacin Core en completa
161
SERVER CORE
162
SERVER CORE
Configuracin Inicial de Server Core
Ver opciones bsicas de configuracin del Server Core
Cscript scregedit.wsf (ejecutado desde %windir%\system32)
Cscript scregedit.wsf/cli
Activar la copia de Windows
Slmgr.vbs ato
Unirse a un dominio (si se requiere)
Netdom join /domain:dominio /UserD:usuario
/PassworD:contrasea /UserO:usuario /PasswordO:contrasea
/reboot
Aadir funciones (roles) y caractersticas
Ocsetup
Listar las funciones y caractersticas instaladas
Oclist
Ejercicio: Activar la consola remota para acceder al server core desde otro equipo.
163
SERVER CORE
SCRegEdit.wsf
No todas las tareas se pueden ejecutar mediante la
lnea de comando o de manera remota
SCRegEdit.wsf esta incluido en Server Core para:
Permitir las actualizaciones automticas
Permitir Sesiones de terminal en modo administracin
Permitir la administracin remota del Monitor de IPSEC
Configurar el peso y la prioridad de un registro DNS SRV
Nuevo modificador /cli que lista comandos y
modificadores comunes
Localizado en \Windows\System32
164
SERVER CORE
OCList.exe
nica herramienta de linea de comando
propia de Server Core
Lista los roles de servidor y las
funcionalidades adicionales que se pueden
instalar con OCSetup
Lista si los paquetes estn o no instalados
165
SERVER CORE
Aadir Roles de Servidor
nicamente mediante lnea de comando, sin Server Manager
Start /w Ocsetup RolePackage
DHCP = DHCPServerCore
DNS = DNS-Server-Core-Role
File Replication service = FRS-Infrastructure
Distributed File System service = DFSN-Server
Distributed File System Replication = DFSR-Infrastructure-
ServerEdition
Network File System = ServerForNFS-Base
Media Server = MediaServer
Print = Printing-ServerCore-Role
LPD = Printing-LPDPrintService
Active Directory
Dcpromo instala el Active Directory
Dcpromo /unattend:Unattendfile
Ocsetup no esta soportado para instalar Active Directory
166
SERVER CORE
Aadir Caractersticas Adicionales
Start /w ocsetup OptionalFeaturePackage
Failover Cluster = FailoverCluster-Core
Network Load Balancing =
NetworkLoadBalancingHeadlessServer
Subsystem for UNIX-bases applications = SUA
Multipath IO = MultipathIo
Removable Storage Management = Microsoft-Windows-
RemovableStorageManagementCore
Bitlocker Drive Encryption = BitLocker
Backup = WindowsServerBackup
Simple Network Management Protocol (SNMP) = SNMP-SC
Telnet Client = TelnetClient
WINS = WINS-SC
QoS = QWAVE
167
SERVER CORE
168
SERVER CORE
Administracin de Server Core
CMD para ejecucin de comandos en local
CMD usando Terminal Server
WS-Management y Windows Remote Shell
para ejecucin remota de comandos
WMI
Programador de Tareas para ejecutar trabajos
y tareas
Event Logging y Event Forwarding
RPC y DCOM para soporte remoto a MMC
169
SERVER CORE
Hardware en un Server Core
Plug and Play esta incluido en Server Core
Si se aade hardware con un driver que ya est incluido en el
sistema, PnP lo instalara silenciosamente
Si el driver no esta incluido, pero tienes un driver PnP
para el hardware
Copiar los ficheros del driver al servidor
Ejecutar: Pnputil i a driverinf
Para listar los drivers instalados
sc query type= driver
Para eliminar un driver
sc delete driver_name
170
SERVER CORE
Trucos
Panel de control (Algunos)
Cambio de la Zona horaria Control timedate.cpl
Cambios para el idioma o teclado Control intl.cpl
Notepad, Incluido con algunas limitaciones
La Ayuda no funciona
Cuadros de dialogo antiguos
Copiar, Pegar, Buscar, Reemplazar, si funcionan
Si cierras lnea de comando
Presionar ctrl-alt-del, click Start Task Manager,
Cierra e inicia sesin
171
SERVER CORE
Limitaciones
NO hay soporte para cdigo manejado
172
READ ONLY DOMAIN
CONTROLLERS
ATICA
173
RODC
Desafos de las delegaciones remotas
174
RODC
Desafos de las
delegaciones
remotas
175
RODC
Modelos de Administracin recomendados
Cuentas no cacheadas (por defecto)
A Favor: Mas seguro, permitiendo adems la autenticacin rpida y
la aplicacin de polticas
En Contra: No hay acceso offline para nadie. Se requiere de la
WAN para el inicio de sesin
La mayor parte de las cuentas cacheadas
A Favor: facilidad en la gestin de contraseas. Para entornos en
los que es ms importante la administrabilidad que la seguridad.
En contra: Ms contraseas expuestas potencialmente por el RODC
Solo una pocas contraseas cacheadas
A Favor: Permite el acceso offline de quien lo necesite realmente,
maximizando la seguridad de los dems
En Contra: Requiere una administracin granular ms fina
Mapear equipos por delegacin
Requiere buscar manualmente el atributo Auth2 para identificar las
cuentas
176
RODC
Menor superficie de ataque para los DCs
de delegaciones remotas
Por defecto, no hay contraseas de usuarios o equipos
almacenadas en un RODC
El Read-only Partial Attribute Set (RO-PAS) puede evitar que
las credenciales de las aplicaciones se repliquen al RODC
Estado de Solo lectura con replicacin unidireccional del AD y
FRS/DFSR
Cada RODC tiene su propia cuenta KDC KrbTGT para tener
claves criptogrficas propias y distintas
La delegacin del DCPROMO elimina la necesidad de que el
Administrador del dominio se conecte va TS al RODC
Los RODCs tienen cuentas de estacin de trabajo
No son miembros de los grupos Enterprise-DC o Domain-DC
Derechos muy limitados para escribir en el Directorio
Los RODC son totalmente compatibles con Server Core
177
RODC
Cacheo de secretos en el primer inicio de sesin
Como Funciona 1. AS_Req enviado al RODC
(TGT request)
2. RODC: No tiene las credenciales
de este usuario
3. Reenva la peticin al DC del Hub
4. El DC del Hub autentica la peticin
Hub Delegacin
1
`
SEGURIDAD
ATICA
179
SEGURIDAD
Auditoras de cambios en AD
Los Event logs dicen
exactamente: Event Event
Event description
ID type
Quien hizo el cambio 5136 Modify This event is logged
Cundo se hizo el cambio when a successful
modification is made to
Que objeto/atributo fue an attribute in the
cambiado directory.
5137 Create This event is logged
Los valores inicial y final when a new object is
created in the directory.
5138 Undelete This event is logged
La auditora esta controlada when an object is
undeleted in the
por directory.
5139 Move This event is logged
Poltica global de auditora when an object is moved
SACL within the domain.
Schema
180
SEGURIDAD
Backup/Recovery
Windows Server Backup (wbadmin.exe)
NTBackup est discontinuado
Nueva tecnologa Block-Level, basada en imgenes
Backup/recovery del System State por lnea de comandos
Debe hacerse a una particin diferente
Recuperacin del System State en DSRM (auth & non-auth)
181
Seguridad
182
Seguridad
DATABASE MOUNTING TOOL
NTDSUtil.exe
? (para ver las opciones disponibles).
snapshot
Instantnea: ? (para ver las opciones disponibles)
Instantnea: activate instance NTDS (se establece la instancia a NTDS)
Instantnea: create
Creando instantnea...
Conjunto de instantneas {b9b1cfd4-8687-46f3-906d-f5eddf7e8e54} generado correctamente.
Instantnea: list all
1: 2008/08/24:23:13 {b9b1cfd4-8687-46f3-906d-f5eddf7e8e54}
2: C: {88626e0b-72ca-4b56-8a44-df66d7eb761e}
Instantnea: mount {b9b1cfd4-8687-46f3-906d-f5eddf7e8e54}
Instantnea {88626e0b-72ca-4b56-8a44-df66d7eb761e} montada como
C:\$SNAP_200808242313_VOLUMEC$\
DsaMain.exe
dsamain /dbpath
C:\$SNAP_200808242313_VOLUMEC$\Windows\NTDS\ntds.dit
/ldapport 456
EVENTLOG (Informational): NTDS General / Control de servicios : 1000
Inicio de los Servicios de dominio de Active Directory de Microsoft completado,
versin 6.0.6001.18000
183
Seguridad
ADUC: Proteccin contra borrado accidental
Algunos objetos y contenedores tienen una nueva opcin: Prevent
container from accidental deletion (por defecto est marcado cuando se
crea una OU)
Objeto/OU existentes Nueva unidad Organizativa
184
Seguridad
Polticas de contraseas granulares (PSO)
PSO
Resultante
= PSO1
Precedencia= 10
Password
Settings Object Se aplica a
PSO 1
PSO
Resultant
e = PSO1
Precedencia= 20
Password
Settings Object Se aplica a
PSO 2
185
Seguridad
ADMINISTRACIN DE PSO
Recomendacin: Administracin basada en grupos
Delegar la modificacin de la membresa del grupo
Esta caracterstica puede ser tambin delegada
Por defecto, solo los Administradores de Dominio pueden:
Crear y leer PSOs
Aplicar una PSO a un grupo o usuario
Permisos
ATICA
187