ADMINISTRACIN DE

SISTEMAS OPERATIVOS

ATICA

1
NDICE GENERAL

PARTE 1
Administracin de Windows como Sistema
Operativo Individual

PARTE 2
Administracin de Windows en una Red de
Ordenadores

2
 PARTE 1

WINDOWS COMO SISTEMA

OPERATIVO INDIVIDUAL

ATICA

3
NDICE

1. Entorno Windows
2. Conceptos bsicos de administracin
3. Instalacin
4. Configuracin
5. Acceso a los recursos
6. Administracin de cuentas y grupos
7. Seguridad
8. Tratamiento de errores
9. Rendimiento

4
ENTORNO WINDOWS
EVOLUCIN
Windows 2.X .. 3.1
Windows 3.11
Windows 95 - 98
Windows NT 4 (WS + Server)
Windows ME
Windows 2000 (WS + Server)
Windows XP - Windows Server 2003
Windows Vista - Windows Server
2008
Windows 7 - Windows Server 2008 R2
5
ENTORNO WINDOWS
Cules son las nuevas versiones de Windows?

Windows NT 4.x
Windows 2000 5.0
Windows XP 5.1
Wind.Server 2003 5.2
Windows Vista 6.0
Wind.Server 2008 6.0
Windows 7 ???
Wind.Server 2008 R2 ???

6
ENTORNO WINDOWS
Windows Management Instrumentation (WMI)

WMI proporciona compatibilidad

integrada para el Modelo de
Informacin Comn (CIM,
Common Information Model),
que describe los objetos
existentes en un entorno de
administracin.

7
ENTORNO WINDOWS
Windows Vista
EDICIONES
Windows Vista Business
reducir los costos de administracin y aumentar la seguridad y la
productividad.
Windows Vista Enterprise
para grandes organizaciones con infraestructuras de TI de gran complejidad.
Windows Vista Home Premium
Entretenimiento en el hogar y conexin a Internet.
Windows Vista Home Basic
para usuarios que slo necesitan las funciones esenciales de su equipo.
Windows Vista Ultimate
mejores caractersticas de movilidad y de entretenimiento.
Windows Vista Starter
disponible en los mercados emergentes, est diseado para usuarios
principiantes.

8
ENTORNO WINDOWS
Windows Server 2008

Standard Mejoras en configuracin y administracin y

caractersticas avanzadas de seguridad
Enterprise funcionalidades de cluster, adicin de procesadores
en caliente, consolidacin de aplicaciones...
Datacenter virtualizacin a gran escala, configuracin en cluster,
particionamiento dinmico del hardware, hasta
64 proc...
Web exclusivamente servidor web

( Existen versiones con y sin Hyper-V, excepto web)

9
CONCEPTOS BSICOS DE
ADMINISTRACIN WINDOWS

ATICA

10
CONCEPTOS BSICOS
Consola de administracin (MMC)

11
CONCEPTOS BSICOS
Complementos de la consola de administracin (MSC)

12
CONCEPTOS BSICOS
Uso de la consola para administrar equipos remotos

13
CONCEPTOS BSICOS
Secuencias de comandos

Smbolo del sistema (CMD) y archivos .CMD

Ejercicios:
1.- Crear un cmd para arrancar internet explorer si el equipo
tiene un nombre determinado.
2.- Crear un cmd que copie haga un espejo de nuestra carpeta
de trabajo en el directorio C:\Pares los das pares y en
C:\Impares los das impares.

14
CONCEPTOS BSICOS
Secuencias de comandos

Windows Scripts Host

Ejercicios
- Ejecutar un script del repositorio de ejemplos.
Enumerate Administrative Tools
Const ADMINISTRATIVE_TOOLS = &H2f&
Set objShell = CreateObject("Shell.Application")
Set objFolder = objShell.Namespace(ADMINISTRATIVE_TOOLS)
Set objTools = objFolder.Items
For i = 0 to objTools.Count - 1
Wscript.Echo objTools.Item(i)
Next
- Buscar y ejecutar un script del repositorio de ejemplos, para
prevenir la ejecucin de un proceso (p.ej. Iexplore.exe).
15
CONCEPTOS BSICOS
La nueva herramienta de scripting: PowerShell

Ms de 130 herramientas de la lnea de comandos (o "cmdlets") para

realizar las tareas de administracin habituales

Permiten ordenar, filtrar y dar formato a datos y objetos, con las

convenciones de nomenclatura estndar y los parmetros habituales.

Soporte para los lenguajes comandos y herramientas de la lnea de

comandos existentes

Permiten desplazarse por almacenes de datos, como el Registro y los

almacenes de certificados, como si fueran un sistema de archivos.

Anlisis de expresiones complejas y control de objetos de .NET

Framework en la lnea de comandos, incluida la canalizacin de objetos

Interfaz extensible que permite crear cmdlets personalizados para

aplicaciones y administracin del sistema.
16
Basada en C#
CONCEPTOS BSICOS
Programador de Tareas

WXP-W2003 Tareas Programadas en Panel de Control

17
CONCEPTOS BSICOS
Programador de Tareas

WXP-W2003 Tareas Programadas (en Explorer)

18
CONCEPTOS BSICOS
Programador de Tareas
W-Vista, W-7 y W-Server 2008: Complemento MMC

19
CONCEPTOS BSICOS
Programador de Tareas
W-Vista, W-7 y W-Server 2008

Nuevos desencadenadores
Al producirse un evento
Al modificar una tarea
Al conectarse con escritorio remoto
Al desconectarse
Al bloquear la estacin de trabajo
Al desbloquearla
Nuevas acciones
Iniciar un programa
Enviar un correo electrnico
Mostrar un mensaje 20
CONCEPTOS BSICOS
Programador de Tareas

Carpeta %windir%\Tasks

Archivo %windir%\SchedLgu.txt

Comando AT

Comando SCHTASKS

21
CONCEPTOS BSICOS
Servicios

22
CONCEPTOS BSICOS
Servicios
Ejercicios
Parar y arrancar un servicio

Configurar opciones de recuperacin

Habilitar y deshabilitar servicios.

Comando SC

Parar y arrancar un servicio desde la linea de

comandos.
Comandos Net Start y Net Stop

Parar y arrancar un servicio desde la linea de

comandos.
23
CONCEPTOS BSICOS
Programas de inicio y residentes
Msconfig.exe

24
CONCEPTOS BSICOS
Programas de inicio y residentes
Windows Defender

25
INSTALACIN Y
ACTUALIZACIN

26
INSTALACIN
Instalacin de un S.O. Windows

Desde otro sistema operativo.

Directamente arrancando el ordenador desde la unidad de CD-ROM.

Arrancando un sistema operativo a travs de la red.

Utilizando la tecnologa PXE a travs de Ethernet
Necesita un servidor DHCP
til para instalaciones desatendidas

Arrancando desde un disquete. Esta opcin est reservada solamente

para equipos antiguos que no permiten el arranque desde CD-ROM.

Programa de instalacin. Reside en I386: Winnt.exe y Winnt32.exe.

27
INSTALACIN
Instalacin clsica

28
INSTALACIN
Instalacin CORE en Server 2008

29
INSTALACIN
Instalacin masiva

Instalacin basada en imgenes (Image-based Setup, IBS) es el nuevo

mecanismo de implementacin de sistemas operativos para la
instalacin de Windows Vista. Incluye las siguientes herramientas:
XImage.exe comandos para crear y aplicar archivos de imgenes de
Windows.
Windows Imaging (WIM) Nuevo formato de archivo para imgenes.
Windows Deployment Services (WDS) Servicios de
implementacin de Windows que reemplazan a los servicios de
instalacin remota (RIS) en la implementacin de Windows.
Windows Preinstallation Environment (Windows PE) Entorno
de preinstalacin de Windows con mtodos de inicio adicionales
compatibles para las instalaciones cliente OEM o Enterprise.
Windows Setup Manager Para el mantenimiento de los archivos de
imgenes de Windows.
Unattend.xml Nuevo formato de secuencia de comandos para todas
las instalaciones basadas en imgenes de Windows Vista.
System Preparation (SysPrep) Herramienta de preparacin del 30
sistema con un funcionamiento mejorado.
INSTALACIN
Instalacin de varios sistemas Windows en el mismo equipo

Cuando se instala Windows XP o Windows Server 2003 en un equipo,

en la particin de arranque del sistema se crean varios archivos
(ocultos), algunos de ellos herencia de los antiguos sistemas MS-DOS.
Autoexec.bat; Config.sys; Bootfont.bin; Bootsect.dos; IO.sys;
MSDOS.sys
Boot.ini; Ntdetect.com; Ntldr
Pagefile.sys; Hiberfil.sys

Boot.ini.
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft
Windows XP Professional" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows XP Professional
Alternativo" /noexecute=optin /fastdetect
31
INSTALACIN
Arranque mltiple en Windows
Vista, W-7 y W.Server 2008

boot.ini se ha reemplazado por Boot

Configuration Data (BCD).

Herramienta de la lnea de comandos

Bcdedit.

Configurar el Arranque mltiple.

Panel de control -> Sistema ->
Configuracin avanzada del sistema -
> Opciones avanzadas -> Inicio y
recuperacin -> Configuracin.

Herramientas grficas
(VistaBootPRO).

32
INSTALACIN
Editor del almacn de datos de la configuracin de
arranque (BCD)

Sintaxis: Bcdedit.exe /?

Comandos que operan en un almacn

/createstore Crea un nuevo almacn de datos de arranque vaco.
/export Exporta el contenido del almacn del sistema a un archivo.
/import Restaura el estado del almacn del sistema
Comandos que operan en entradas de un almacn
/copy Hace copias de las entradas del almacn.
/create Crea nuevas entradas en el almacn.
/delete Elimina entradas del almacn.
Comandos que controlan el administrador de arranque
/bootsequence Establece la secuencia de arranque nica
/default Establece la entrada predeterminada que se usar
/displayorder Establece el orden en que se muestra el men de arranque mltiple.
/timeout Establece el valor de tiempo de espera del administrador de arranque.
/toolsdisplayorder Establece el orden en que se muestra el men de herramientas. 33
INSTALACIN
Actualizacin de los Sistemas Operativos Windows

Equipos individuales

Windows Update

Service Packs

34
INSTALACIN
Actualizacin de los Sistemas Operativos Windows

Equipos en una red corporativa

Activar la actualizacin en cada equipo

usando directivas de grupo para el
servicio Windows Update.

Mediante WSUS (Windows Server Update

Services).

35
CONFIGURACIN

36
CONFIGURACIN
El Registro de Windows
Enel registro se guardan los datos de
configuracin, como:
Perfiles de usuarios
Programas instalados
Configuracin de Propiedades de programas,
carpetas, iconos.
Configuracin hardware del equipo
Puertos en uso

37
 CONFIGURACIN
El Registro de Windows
Organizado jerrquicamente en:
Claves y subclaves
Secciones
Valores
Datos

Se puede editar con Regedit.exe y Regedit32.exe

38
 CONFIGURACIN
El Registro de Windows
Claves de primer nivel:
HKEY_CLASSES_ROOT
Asocia tipos de archivo con los programas correspondientes
HKEY_CURRENT_USER
Configuracin para el usuario que ha iniciado sesin
HKEY_LOCAL_MACHINE
Configuracin del equipo para todos los usuarios
HKEY_USERS
Perfiles de todos los usuarios que han hecho logon
HKEY_CURRENT_CONFIG
Perfil de HW que usa el equipo para arrancar el sistema 39
CONFIGURACIN
El Registro de Windows Tipos de datos

REG_DWORD
Un dato de 4 bytes en binario, hexadecimal o decimal
REG_SZ
Cadena de texto de longitud fija
REG_EXPAND_SZ
Cadena de longitud variable
REG_MULTI_SZ
Varias cadenas de longitud variable
REG_BINARY
En formato hexadecimal
REG_FULL_RESOURCE_DESCRIPTOR
40
Tablas anidadas con listas de recursos
CONFIGURACIN
El Registro de Windows

Ejercicios
Buscar un dato en el registro
Cambiar un dato

Aadir un valor

Proteger una clave

Administracin remota
Acceder al registro de un equipo remoto

41
CONFIGURACIN
El Registro de Windows
Administracin mediante lnea de comandos

El comando REG
Estudiar su sintaxis

Archivos .REG

Ejercicios
Hacer que al iniciar la sesin de usuario se arranque el block de notas.

42
CONFIGURACIN
Directivas de Grupo
(Group Policy)

Aparecieron en Windows 2000

Permiten aplicar directivas de configuracin a equipos y usuarios
Se ejecutan en tiempo de startup o de logon
Pueden ser Globales o Locales
Las directivas Globales se administran centralizadamente en un
dominio o UO.
Las directivas locales residen en cada mquina

A diferentes grupos de usuarios se les pueden aplicar directivas

diferentes

43
CONFIGURACIN
Directivas de Grupo
(Herramientas de administracin de GP)

GPMC.MSC
Permite administrar el conjunto de polticas de un dominio. En
W.Vista y WS2008 est integrada. En WXP se puede instalar.
Para usarla se necesita ser Administrador de Dominio

GPEDIT.MSC
Permite editar una poltica concreta.

44
CONFIGURACIN
Directivas de Grupo
(Novedades en Wvista, W7 y WS2008)
Aplicacin de las GP ms fiable y eficiente

Antes se aplicaban en Winlogon

Ahora con un servicio ad-hoc: Group Policy Service

Adaptabilidad a las condiciones de la red.

Extensin de la cobertura
Mayor nmero de parmetros y componentes que se pueden
configurar
Facilidad de uso
Gestin sencilla

45
CONFIGURACIN
Directivas de Grupo
(Directivas de Grupo Locales)
Permiten establecer parmetros de configuracin sin tener AD

Mltiples GP locales (LGPO)

Cada LGPO se asocia con un usuario o un grupo de usuarios.

(Ficheros de Log y Eventos)

Hasta Vista, Userenv.dll es el encargado de generar un log

(userenv.log) con anotaciones de la aplicacin de GPOs.

Ahora el encargado es Local Policy Service

Solo eventos relacionados y en formato XML

46
CONFIGURACIN
Aplicabilidad de Directivas de Grupo

Las directivas de grupo

locales se pueden
aplicar a usuarios
individuales, adems
de administradores /
no administradores.

47
CONFIGURACIN
Directivas de Grupo
Administracin de directivas locales

Gpedit.msc de MMC

48
CONFIGURACIN
Directivas de Grupo
Plantillas administrativas

Antes ficheros de texto. Ahora nuevo formato XML

Ficheros con extensin ADM (antes) y ADMX (nuevo)
En WVista y WS2008 pueden coexistir ambos
Soporte multiidioma
Las plantillas ADMX residen en
%systemRoot%\PolicyDefinitions

49
CONFIGURACIN
Directivas de Grupo
Directivas locales
Ejercicios
Recorrer las directivas. Aplicar alguna de usuario y cerrar y
abrir la sesin
Habilitar y deshabilitar que se apliquen directivas locales

Buscar plantillas de directivas de grupo y ver cmo estn

escritas

Buscar dnde se guardan las directivas locales y cmo se

podran desplegar en una red de ordenadores sin directorio
activo

Ojo!: En Windows XP y Server 2003, las directivas locales se aplican a todos

50
los usuarios de la mquina, incluidos los administradores
ACCESO A RECURSOS

51
APRENDIZAJES ESPERADOS

Conocer sobre administracin de

recursos
Acceso a recursos

Administrar cuentas y grupos de

usuarios

52
ACCESO A RECURSOS
Permisos

Definen el tipo de acceso concedido a un usuario o grupo para un

objeto o una propiedad de objeto.

Se otorgan a:
Grupos, usuarios y otros objetos con identificadores de seguridad del
dominio.
Grupos y usuarios del dominio y de cualquier dominio de confianza.
Grupos y usuarios locales del equipo en que reside el objeto.

Permisos comunes son:

Leer
Modificar
Cambiar propietario
Eliminar
53
ACCESO A RECURSOS

Propietario de los objetos

Cuando se crea un objeto, se le asigna un propietario.
De forma predeterminada es el creador del objeto.
El propietario del objeto siempre puede cambiar los permisos
de ste.

Herencia de permisos
Los objetos de un contenedor heredan automticamente todos
los permisos heredables de ese contenedor.
Slo se heredan los permisos marcados para ello

54
ACCESO A RECURSOS
Permisos y descriptores de seguridad

Entrada de control de acceso (ACE) es una

asignacin de permisos a un usuario o grupo

Listade control de acceso (ACL) es el conjunto

de las ACE de un objeto

55
 ACCESO A RECURSOS
Permisos especiales

Permisos especiales Control total Modificar Leer y Mostrar el Lectura Escritura

ejecutar contenido

Recorrer carpeta / Ejecutar archivo x x x x

Listar carpeta / Leer datos x x x x x
Atributos de lectura x x x x x
Atributos extendidos de lectura x x x x x
Crear archivos / Escribir datos x x x
Crear carpetas / Anexar datos x x x
Atributos de escritura x x x
Atributos extendidos de escritura x x x
Eliminar subcarpetas y archivos x
Eliminar x x
Permisos de lectura x x x x x x
Cambiar permisos x
Tomar posesin x
Sincronizar x x x x x 56
x
ACCESO A RECURSOS
Permisos efectivos

Un usuario puede pertenecer a varios grupos.

Los permisos efectivos se calculan a partir de
los factores siguientes:
Pertenencia al grupo global
Pertenencia al grupo local

Permisos locales

Privilegios locales

Pertenencia a grupos universales

57
ACCESO A RECURSOS
Aadir o modificar
permisos mediante
interfaz grfica

Propiedadesde objeto
-> pestaa Seguridad

58
ACCESO A RECURSOS
Permisos efectivos

59
ACCESO A RECURSOS
Lnea de comandos

Se pueden administrar los permisos de acceso a

ficheros y objetos en general mediante
comandos:

Icacls

subinacl (resource kit)

60
 ACCESO A RECURSOS
Auditora de accesos

Se puede aplicar a accesos

correctos o incorrectos

Antes de configurar la auditora

de archivos hay que habilitar la
auditora de objetos.

Los eventos de auditora se

muestran en el registro de
seguridad.

Pueden generarse muchos

eventos
61
ADMINISTRACIN DE
CUENTAS Y GRUPOS

62
ADMINISTRACIN DE CUENTAS
Cuenta de usuario

Coleccin de informacin que indica a Windows:

los archivos y carpetas a los que puede obtener acceso
los cambios que puede realizar en el equipo
preferencias personales, como el fondo de escritorio o tema de
color preferidos.

Permiten que se comparta el mismo equipo entre

varias personas, cada una de las cuales tiene sus
propios archivos y configuraciones.

Cada persona obtiene acceso a su propia cuenta de

usuario con un nombre de usuario y contrasea.
63
ADMINISTRACIN DE CUENTAS
Grupos
Permiten definir caractersticas comunes a varias cuentas
Facilitan la administracin
Existen grupos predeterminados y se pueden definir nuevos grupos
Una cuenta de usuario puede pertenecer a varios grupos.

Grupos predeterminados en Windows XP

*Administradores
*Duplicadores
*HelpServicesGroup
*Invitados
*Operadores de configuracin de red
*Operadores de copia
*Usuarios
*Usuarios avanzados
*Usuarios de escritorio remoto
64
*Usuarios del depurador
ADMINISTRACIN DE CUENTAS
Grupos Integrados
Administradores. Mximo nivel de permisos predeterminados y pueden cambiar sus
propios permisos.

Operadores de copia. Pueden hacer copias de seguridad y restaurar archivos en el

equipo, independientemente de los permisos que protejan dichos archivos. Tambin pueden
iniciar sesin en el equipo y apagarlo, pero no pueden cambiar la configuracin de seguridad.

Usuarios avanzados. Pueden crear cuentas y grupos pero nicamente pueden modificar
y eliminar los que creen. No pueden modificar los grupos Administradores u Operadores de
copia, ni pueden tomar la posesin de archivos, copiar o restaurar directorios, cargar o
descargar controladores de dispositivo ni administrar los registros de auditora y seguridad.

Usuarios. Pueden realizar las tareas ms habituales, como ejecutar aplicaciones, utilizar
impresoras locales y de red, as como cerrar y bloquear la estacin de trabajo.No pueden
compartir directorios ni crear impresoras locales.

Invitados. Permite a los usuarios ocasionales o a los usuarios de una sola vez iniciar sesin
y cerrar el sistema en una estacin de trabajo.

Replicador. El nico miembro del grupo Replicador debe ser una cuenta de usuario de
dominio que se utilice para iniciar los servicios Replicador del controlador de dominio. No
debe agregarse a este grupo cuentas de usuarios reales. 65
ADMINISTRACIN DE CUENTAS
Administrar cuentas de usuario y grupos

Mediante la consola MMC

Mediante secuencias
de comandos
> net user
> net group
> net localgroup

66
ADMINISTRACIN DE CUENTAS
Perfiles de usuario
Formado por un conjunto de carpetas en las que se guardan
todas las opciones de personalizacin, preferencias, ficheros
temporales, msica, fotos, documentos, etc. del usuario.
En la carpeta raz, se encuentra el archivo NTUSER.DAT donde
se guardan las claves de HKEY_CURRENT_USER.

Perfiles Itinerantes Perfiles obligatorios

Permiten trabajar en Renombrando ntsuser.dat

cualquier ordenador de la como .man, todas las
empresa conservando toda la modificaciones hechas por el
configuracin personal usuario se pierden
67
ADMINISTRACIN DE CUENTAS
Control de cuentas de usuario (UAC) en Windows Vista

Dos niveles de usuarios: Usuarios estndar y Administradores. (grupos:

Usuarios y Administradores)

Inicio de sesin:
Usuario normal -> Token de acceso con el nivel de acceso que se le concede al usuario.
Administrador -> Dos tokens de acceso independientes
Usuario estndar sin privilegios, para iniciar aplicaciones que no realizan tareas administrativas
("aplicaciones de usuario estndar").
Administrador, para cuando tiene que ejecutar aplicaciones que realizan tareas administrativas
(Vista pide que eleven su contexto de seguridad al de administrador).

Directiva de grupo
El comportamiento del mensaje de Control de cuentas de usuario se puede cambiar
mediante Directiva de grupo.

Diseo de aplicaciones
Los programadores deberan identificar su aplicacin como aplicacin de administrador o
aplicacin de usuario estndar. Si una aplicacin no se ha identificado como aplicacin de
administrador, Windows la trata como una aplicacin de usuario estndar.
68
ADMINISTRACIN DE CUENTAS
Control de cuentas de usuario (UAC) en Windows 7

El nuevo UAC trata

de resolver los
problemas de W.
Vista.

69
SEGURIDAD

70
SEGURIDAD
Administracin de la Seguridad del Sistema

Directivas de seguridad
Son reglas que se configuran para proteger los recursos de un equipo o una red.
Permiten controlar:
Cmo los usuarios se autentican en una red o un equipo.
Qu recursos estn autorizados a utilizar los usuarios.
Si las acciones de un usuario o un grupo se graban en el registro de sucesos.
Pertenencia a grupos.

Plantillas de seguridad
Son un complemento de MMC.
Una vez creada, se puede utilizar para configurar la seguridad de un sistema

Configuracin y Anlisis de Seguridad

Es otro complemento MMC
Permite aplicar una plantilla de seguridad
Permite llevar a cabo un anlisis de seguridad de un sistema en relacin con una plantilla de seguridad
El anlisis se actualiza cada 90 minutos en una estacin de trabajo o un servidor, y cada 5 minutos en
un controlador de dominio.
La configuracin se actualiza tambin cada 16 horas, con independencia de que se produzcan cambios o
no.

71
SEGURIDAD
Administracin de la Seguridad del Sistema

72
SEGURIDAD
Plantillas de Seguridad
Representa una configuracin de seguridad.

Se guarda en un archivo . Inf y se puede importar en un objeto de

Directiva de grupo.

Se pueden utilizar para definir (entre otras):

Directivas de cuenta
Directiva de contrasea
Directiva de bloqueo de cuentas
Directiva de auditora
Asignacin de derechos de usuario
Configuracin del registro de sucesos
Pertenencia a grupos importantes para la seguridad
Inicio y permisos de los servicios
Permisos para las claves del Registro

Se pueden utilizar plantillas de seguridad predefinidas. 73

SEGURIDAD
Plantillas de Seguridad predefinidas (WS2003, WXP)

Son el punto de partida para crear directivas de seguridad que se personalizan para cumplir
los diferentes requisitos organizativos. Estn almacenadas en
%SystemRoot%\Security\Templates

Seguridad predeterminada (Setup security.inf)

Representa la configuracin de seguridad predeterminada que se aplica durante la
instalacin

Compatible (Compatws.inf)
Los permisos predeterminados para estaciones de trabajo y servidores se conceden
principalmente a tres grupos locales: Administradores, Usuarios avanzados y Usuarios.

Segura (Secure*.inf)
Define una seguridad mejorada sin afectar a la compatibilidad de las aplicaciones.

De alta seguridad (hisec*.inf)

Son superconjuntos de plantillas seguras que imponen mayores restricciones en los niveles
de cifrado y firmado que se requieren para la autenticacin y para los datos que fluyen en
canales protegidos y entre clientes y servidores.
74
Seguridad de la raz del sistema (Rootsec.inf)
Especifica los nuevos permisos de la raz introducidos en Windows XP Professional.
SEGURIDAD
Directivas de Seguridad

Directivas de cuentas
Afectan a la forma en que las cuentas de usuario pueden interactuar con el equipo o el
dominio. Hay 3 subconjuntos:

Directiva de contraseas.
Directiva de bloqueo de cuentas.
Directiva Kerberos.

Directivas locales
Se aplican a un equipo y contienen tres subconjuntos:

Directiva de auditora.
Asignacin de derechos de usuario.
Opciones de seguridad.

En caso de tener aplicadas varias directivas, el orden de prioridad de mayor a menor es:
unidad organizativa, dominio y equipo local.

75
SEGURIDAD
Directivas de Seguridad

76
SEGURIDAD
Configurar la Seguridad del
sistema
Crear una plantilla de seguridad

En Configuracin y anlisis de seguridad

Abrir base de datos. (Si es la primera vez, hay que crearla)
Importar plantilla (con las directivas de seguridad que se quieren aplicar
al equipo).
Configurar el equipo ahora.

Configurar la seguridad del sistema mediante la lnea de

comandos:

secedit/configure /DB Archivo [/CFG Archivo] [/overwrite] [/areas rea1 rea2...] [/log RutaRegistro]
[/quiet]
77
 SEGURIDAD

Configurar la Seguridad del

sistema

78
SEGURIDAD
Analizar la Seguridad de un equipo y ver los resultados

Anlisis de seguridad
Se hace comparando el estado actual con una base de datos de
anlisis.
sta utiliza al menos una plantilla de seguridad. (puede usar ms de
una)

Resultados del anlisis de seguridad

Los presenta organizados por rea de seguridad.
Marcas visuales para indicar la existencia de problemas.
X roja Entrada definida en la base de datos de anlisis y en el sistema,
cuyos valores de las opciones de seguridad no coinciden
Marca verde Entrada definida en la base de datos de anlisis y en el
sistema, cuyos valores coinciden
Interrogacin Entrada no definida en la base de datos de anlisis.
Exclamacin Elemento de la base de datos de anlisis que no existe en el
sistema.
Sin resaltar Elemento no definido en la base de datos de anlisis ni en el 79
sistema.
TRATAMIENTO DE ERRORES

80
TRATAMIENTO DE ERRORES
El visor de eventos

Permite supervisar el funcionamiento de todos los elementos del S.O. como forma
de prevenir errores.
Un anlisis de los eventos de advertencia o error que se estn produciendo en un
equipo, permitira a un administrador anticiparse al problema y buscar
soluciones que lo eviten.

Los eventos son elementos con informacin relativa a algn suceso que ha
ocurrido en el equipo. Pueden ser de:
Informacin, como arranques y paradas, conexin con otros equipos, actualizacin de la
hora, etc.
Advertencia, como una desconexin del cable de red, etc.
Error, como que no se ha podido leer un archivo en un disco porque ste tiene algn
sector deteriorado.
Es un complemento de Microsoft Management Console (MMC)

Permite realizar las siguientes tareas:

Ver eventos desde varios registros de eventos
Guardar filtros de eventos tiles como vistas personalizadas que se pueden volver a usar
Programar una tarea para que se ejecute como respuesta a un evento
Crear y administrar suscripciones a eventos
81
TRATAMIENTO DE ERRORES
El visor de eventos

82
TRATAMIENTO DE ERRORES
Registros de eventos

Aplicacin. Eventos registrados por aplicaciones o programas. Los

programadores deciden qu registrar.

Seguridad. Intentos de inicio de sesin vlidos y no vlidos, creacin,

apertura o eliminacin de archivos (si se habilit auditora).

Sistema. Eventos registrados por componentes del sistema Windows.

Nuevos en W.Vista, W.7 y W.Server 2008

Instalacin. Eventos relacionados con la instalacin de aplicaciones.

Eventos reenviados. Se usa para almacenar eventos recopilados de

equipos remotos, mediante una suscripcin de evento.

83
TRATAMIENTO DE ERRORES
Registros de eventos en Vista y Srv2008

84
TRATAMIENTO DE ERRORES
Ejecutar una tarea como respuesta a un evento
dado

Es una opcin muy til para los administradores de un parque de

ordenadores consiste en la posibilidad de configurar una tarea
para que se ejecute cuando se registre un evento que cumpla los
criterios especificados. Esto permitira, por ejemplo, enviar una
correo electrnico o incluso un mensaje SMS a un administrador,
cuando un dispositivo deje de funcionar, o cuando se detenga una
aplicacin crtica.

Permite:
Iniciar un programa
Enviar correo electrnico
Mostrar un mensaje
85
RENDIMIENTO

86
RENDIMIENTO
Monitor de rendimiento

El Monitor de rendimiento muestra los contadores de

rendimiento
En tiempo real
Para revisar los datos histricos.
Contadores de rendimiento
Son mediciones del estado o de la actividad del sistema.

El Monitor de rendimiento muestra el valor de los contadores de

rendimiento a intervalos de tiempo especificados.

En XP y Srv2003 se arranca como herramienta administrativa.

En Vista, W.7 y Srv2008 es un complemento de MMC
87
RENDIMIENTO

88
RENDIMIENTO
Objetos y contadores de rendimiento
Objetos de rendimiento
Se integran en el sistema operativo y suelen corresponder a los componentes principales del hardware tales
como la memoria, los procesadores, etctera.

Contadores de rendimiento
Representan aspectos especficos de un sistema o servicio. (Por ej. Pginas por segundo)

Datos de rendimiento
Son los valores de los contadores en el momento actual o en periodos anteriores.

Objetos de rendimiento ms importantes

Cach
Memoria
Objetos
Archivo de paginacin
Disco fsico
Proceso
Procesador
Servidor
Sistema
Subproceso 89
RENDIMIENTO
Objetos y contadores de
rendimiento

Ejercicio:
Aadir al monitor en tiempo real algunos contadores importantes de
los objetos:
Memoria
Archivo de paginacin
Disco fsico
Procesador

90
RENDIMIENTO
Recopilacin de datos para anlisis

Registros de seguimiento.
Guardan sucesos detallados de las aplicaciones del sistema cuando
ocurren eventos como una operacin de E/S en un disco o un error de
pgina.
Cuando ocurre el suceso, el sistema operativo registra los datos de
sistema en un archivo especificado por el servicio Registros y alertas
de rendimiento.
Para interpretar el resultado del registro de seguimiento, se requiere
una herramienta de anlisis. Los programadores pueden crear una
herramienta de este tipo mediante las interfaces de programacin de
aplicaciones (API) proporcionadas en MSDN Library

Registros de contador
El servicio obtiene datos del sistema cuando ha transcurrido el
intervalo de actualizacin, en lugar de esperar a que se produzca un
suceso determinado.
91
RENDIMIENTO
Recopilacin de datos para anlisis

Ejercicio:
Crear un fichero con registros de contador y analizarlo

92
RENDIMIENTO
Monitor de confiabilidad

Permite medir la estabilidad del sistema y analizar

tendencias a partir de eventos individuales que
pueden afectar a la estabilidad general, como:
Instalaciones de software
Actualizaciones del sistema operativo
Errores de hardware.

La informacin de configuracin se recopila de los

valores de las claves del Registro de Windows.

93
RENDIMIENTO
Monitor de confiabilidad

94
WINDOWS 7 XP MODE

95
ENTORNO WINDOWS 7
Mquina Virtual XP dentro de Windwos 7
Qu es Windows 7 XP Mode?

Nueva versin de Windows Virtual PC

Windows XP Professional SP3 VM,
preconfigurado con Firewall y actualizaciones
automticas.
Disponible en W7 Professional, Enterprise y
Ultimate.

96
 PARTE 2
ADMINISTRACIN DE WINDOWS
EN UNA RED DE ORDENADORES

ATICA

97
NDICE

1. Creacin del entorno bsico de

pruebas
2. Planificacin del Directorio Activo
3. Creacin del Directorio Activo
4. Directorio Activo - Conceptos
5. Server Core
6. Read Only Domain Controllers
7. Seguridad

98
CREACIN DEL ENTORNO BSICO
DE PRUEBAS

ATICA

99
CREACIN DEL ENTORNO BSICO DE PRUEBAS

Entorno virtual con VMWare

S.O. Windows Server 2008 y W.7

Acceso a las imgenes ISO de los DVD

Red local virtual VMnet1 (host-only)

100
CREACIN DEL ENTORNO BSICO DE PRUEBAS

101
CREACIN DEL ENTORNO BSICO DE PRUEBAS

Sistemas operativos base

Windows Server 2008 Datacenter
WS2K8D
Windows Server 2008 Standard
WS2K8S
Windows Server 2008 Standard Core
WS2K8C
Windows 7
Win7

102
CREACIN DEL ENTORNO BSICO DE PRUEBAS

Acciones a realizar:
Cambiar contrasea de Administrador:
A-tic-A
Instalar VMWare Tools.
Cambiar nombre de la mquina.
Activar la deteccin de redes
Cambiar configuracin de actualizaciones a no
actualizar nunca.
Comprobar la direccin IP y apuntarla

103
CREACIN DEL ENTORNO BSICO DE PRUEBAS

Cambio de nombre en un Server Core:

> Netdom renamecomputer %computername%
/NewName:nuevo-nom

Comprobar la direccin IP en Server Core

> Ipconfig /all

104
Cmo ampliar el periodo de evaluacin de Windows?

- Comprobar estado: slmgr.vbs dli

- Restablecer periodo: slmgr.vbs rearm

(Se puede ejecutar 2 veces, lo que permite 3 periodos

de evaluacin. Se puede planificar y automatizar.)

Ms informacin: Support.microsoft.com/kb/948472

105
PLANIFICACIN DEL DIRECTORIO
ACTIVO

ATICA

106
 Planificacin del
Directorio Activo
Uno o varios dominios?

Razones por las que se debe crear ms de un dominio:

Requisitos de contraseas distintos en los diversos departamentos y

divisiones
Nmero muy grande de objetos
Administracin descentralizada de la red
Mayor control de la replicacin

El uso de un nico dominio en toda una red tiene ventajas

si la administracin es centralizada y el nmero de usuarios
no muy alto.

107
 Planificacin del
Directorio Activo
rboles y Bosques
Un bosque es una coleccin de dominios que
permite:
La interaccin de los usuarios con el directorio.
La administracin de mltiples dominios.
Un rbol es un conjunto de uno o varios dominios
con nombres DNS contiguos.
Un bosque puede tener ms de un rbol.

108
 Planificacin del
Directorio Activo
Unidades Organizativas (OU)

Son contenedores de AD con usuarios, grupos,

equipos y otras OU.

No puede contener objetos de otros dominios.

Se le pueden asignar directivas de grupo

Se puede delegar la autoridad administrativa.

109
 Planificacin del
Directorio Activo
Diseo de un Active Directory

110
 Planificacin del
Directorio Activo
Determinar el nmero de bosques de una red

Escenario con un nico bosque Normalmente

es suficiente en la mayora de las situaciones.
Administracin ms sencilla. Los cambios de
configuracin slo tienen que aplicarse una vez
para afectar a todos los dominios.

Escenario con varios bosques Si hay muchas

divisiones autnomas que:
No confan en sus administradores respectivos.
No pueden acordar una poltica de cambios en el bosque.
Desean limitar el alcance de una relacin de confianza.

111
 Planificacin del
Directorio Activo
Plan de dominios
Dibujar la topologa de la red

112
 Planificacin del
Directorio Activo
Plan de dominios
Crear particiones en el bosque

113
 Planificacin del
Directorio Activo
Plan de dominios
Plan de rboles de dominios

114
 Planificacin del
Directorio Activo
Plan de dominios
Plan de Unidades Organizativas OU

115
 Planificacin del
Directorio Activo
Plan de dominios
Plan de topologa de sitios

116
 Planificacin del
Directorio Activo
Nuestro ejemplo

Delegacion

empresa.es filial.es
SedeFilial

SedeCentral

rrhh.empresa.es

117
 Planificacin del
Directorio Activo
Nuestro ejemplo

Delegacion

empresa.es filial.es
SedeFilial

Controladores SedeCentral
de Dominio
RODC
rrhh.empresa.es

118
CREACIN DEL DIRECTORIO
ACTIVO

ATICA

119
DIRECTORIO ACTIVO
Creacin del Directorio Activo de ejemplo
Laboratorio

Clonar las mquinas base para obtener

mquinas que se pueden borrar y volver a
crear facilmente.
Tomar nota de todos los nombres,
contraseas, direcciones IP etc que se
vayan asignando.
Despus de instalar el primer DC,
observar los cambios producidos en el S.O.
120
DIRECTORIO ACTIVO
- CONCEPTOS -

ATICA

121
 Directorio Activo

Novedades en W2008
Active Directory Domain Services
Reemplaza a Active Directory
Active Directory Lightweight Directory Services
Reemplaza a Active Directory Application Mode o ADAM
Funciones de Servidor
Funcionalidades del servidor como AD DS, AD LDS, y DNS
Se administran centralmente a travs del Server Manager

Server Core para controladores de dominio

Opcin de instalacin mnima del Servidor
Menor superficie de ataque debido a los pocos componentes
instalados

122
 Directorio Activo

Novedades en W2008
AD DS reiniciable

Sin reiniciar el servidor, ahora se puede:

Aplicar parches de los DS
Realizar una desfragmentacin offline
Un servidor con los DS parados es similar a un
servidor miembro
NTDS.dit est offline
Puede iniciarse sesin local con la contrasea del Modo de
Recuperacin del Directorio Activo (DSRM)
Ojo: Un usuario que conozca la pwd de recuperacin podra arrancar en modo DSRM y forzar la
desinstalacin del AD DS comprometiendo todo el bosque => PROTEGERLA !!!!

123
 Directorio Activo

Novedades en W2008
Directivas de Grupo

DFS-R reemplaza a FRS para la replicacin de Sysvol

Compresin
Replicacin diferencial block-level
Planificacin
Control de Ancho de Banda

Es necesario que el Bosque/Dominio est funcionando en

el nivel funcional de Windows Server 2008
Requiere que todos los DCs sean Windows Server 2008
El paso de FRS a DFS-R no es automtico

124
DIRECTORIO ACTIVO
AD incluye:

El esquema conjunto de reglas que definen las

clases de objetos y los atributos del directorio
Un catlogo global contiene informacin acerca de
los objetos del directorio. Permite encontrar
informacin con independencia del dominio.
Un sistema de ndices y consultas, para publicar
y encontrar objetos y sus propiedades.
Un servicio de replicacin distribuye los datos
del directorio por toda la red a travs de los
controladores de dominio.

125
DIRECTORIO ACTIVO
Caractersticas principales:

Seguridad
Administracin flexible y simplificada
Escalabilidad
Alta disponibilidad
Capacidad de ampliacin
Compatibilidad con estndares abiertos
Acceso mediante programacin simple
Autenticacin de usuarios

126
DIRECTORIO ACTIVO

(Fuente: Caja Madrid) 127

DIRECTORIO ACTIVO
Autenticacin en el Directorio Activo:

La Autoridad de Seguridad Local (LSA) es el

subsistema de responsable de la autenticacin.
LSA tambin procesa solicitudes de autenticacin
realizadas por medio del protocolo Kerberos.
LSA del DC de autenticacin genera un testigo de
acceso de usuario y le asocia un Id. de seguridad
(SID).
Testigo de acceso contiene nombre de usuario, grupos a
los que pertenece, SID del usuario y todos los SID de los
grupos a los que pertenece.

128
DIRECTORIO ACTIVO
Cuentas de Directorio Activo
Cuentas de usuario: Es un objeto almacenado en
el AD que permite su inicio de sesin nico en la
red
Cuentas locales
Cuentas de dominio
Cuentas Integradas (Built-in)
Cuentas de Equipos. Ofrecen una forma de
autenticar y auditar a los equipos que acceden a la
red y a recursos del dominio.
Cuentas de grupos: Coleccin de usuarios,
equipos y otros grupos. Su principal objetivo es
simplificar la administracin
129
DIRECTORIO ACTIVO
User Principal Name (UPN)
En AD, cada cuenta de usuario tiene:

Un nombre de
inicio de sesin de
usuario. Un sufijo UPN (User
Un nombre de Principal Name, segun
inicio de sesin de RFC 822)
usuario anterior a
Windows 2000

UPN = nombre_de_inicio_de_sesin@Sufijo_UPN
130
DIRECTORIO ACTIVO
Cmo agregar Sufijos UPN
En la consola de Dominios y confianzas del AD

juanp@empresa.cl

juanp@grupoempresas

131
 Directorio Activo

NOMINACIN DE OBJETOS
Se puede hacer referencia a cada objeto de Directorio Activo con
varios nombres diferentes. AD crea a partir de los datos durante
la creacin del objeto:
El nombre completo relativo LDAP: identifica unvocamente al
objeto dentro su contenedor principal.
CN=JuanP
El nombre completo LDAP: es globalmente nico.
CN=JuanP, OU=Users, DC=empresa, DC=es
El nombre cannico: se crea de la misma manera que el nombre
completo, pero se representa con una notacin diferente.
Empresa.es/Users/JuanP

Objetos principales de Seguridad (Security Principals): Son

objetos del directorio que tienen asignados un Identificados
nico de seguridad (SID)
132
DIRECTORIO ACTIVO
Sintaxis LDAP
Cmo se construye el DN (Distinguish Name)
CN= : Common Name.
OU= : Unidad Organizativa
DC= : Domain Component

Ejemplos:
Dominio:
DC=empresa,DC=es
Controlador de Dominio:
CN=DC1,OU=Domain Controllers,DC=empresa,DC=es
Dominio hijo:
DC=rrhh,DC=empresa,DC=es
Site:
CN=SedeCentral,CN=Sites,CN=Configuration,DC=empresa,DC=es
Usuario:
CN=Administrador,CN=Users,DC=empresa,DC=es

133
DIRECTORIO ACTIVO

Bsquedas LDAP al directorio

RootDSE es parte del estndar de LDAPv3.0

Definido en RFC 2251
Define la raz de bsqueda en un servidor LDAP
Muestra, entre otras cosas, las particiones bsicas a las que se puede
conectar un cliente
Pasos:
Conexin con un servidor LDAP
Por defecto devuelve RootDSE
Antes de consultar hay que validarse
Opcin bind con usuario y contrasea
Buscar
Definir el mbito de la bsqueda (Base DN)
Uso de filtros con sintaxis LDAP (Sintaxis LDAP)
Profundidad de la bsqueda (En el mbito dado)
Resultados a devolver (Qu atributos extraer)

134
 Directorio Activo

NOMINACIN DE OBJETOS
Objetos en NTds.dit (editor ADSI)

135
DIRECTORIO ACTIVO

Creacin de usuarios en AD
Para crear/modificar/borrar un solo usuario
Usuarios y equipos de Directorio Activo
DsAdd, DsMod, DsRm (Scriptables). Solo en servidores DC

Para crear/modificar/borrar mltiples usuarios

Csvde
Importa/Exporta usuarios desde/a un fichero .csv
LDIFDE
Utiliza ficheros de texto, con formato de lneas separadas para cada
atributo, para crear, modificar o borrar objetos en el Directorio Activo
ADSI: Interfaz de programacin para crear objetos en Directorio Activo va desarrollo
En todos los casos, se deben especificar al menos estos atributos:
DN,objectClass, sAMAccountName, userPrincipalName, displayName,
userAccountControl

136
DIRECTORIO ACTIVO
Grupos
Grupos de Distribucin:
Utilizados por aplicaciones de correo (p.e Microsoft Exchange
Server 2000/2003)
No pueden ser usados para especificar controles de acceso a
recursos.
Grupos de Seguridad:
Asignacin de derechos (funciones que se pueden desempear)
Asignacin de permisos de acceso a recursos
Permiten anidacin, es decir, meter unos grupos dentro de otros.

Ambos tipos de grupo pueden ser de tres mbitos distintos:

Locales de Dominio
Global
Universal

137
DIRECTORIO ACTIVO

Grupos Locales de Dominio

Pueden contener:
Grupos Universales, Globales, Locales de su dominio
Usuarios de cualquier dominio del bosque
Pueden pertenecer a otro grupo Local de Dominio
Solo son visibles en su propio dominio

Se utilizan para asignar permisos a recursos existentes

en el dominio en donde se esta creando el grupo

138
DIRECTORIO ACTIVO
Grupos Globales
Pueden contener:
Usuarios, Grupos y equipos de su propio dominio
Otros grupos globales
Pueden pertenecer a Grupos Locales, Universales o
Globales del mismo dominio
Son visibles desde cualquier dominio del bosque en
los que se confe.
Pueden asignarse a recursos de cualquier dominio
de confianza del bosque

139
DIRECTORIO ACTIVO
Grupos Universales
Pueden contener:
Usuarios y equipos de cualquier dominio del bosque
Grupos globales o universales de cualquier dominio del bosque

Pueden pertenecer a otros grupos universales y a grupos Locales

de Dominio.
Son visibles desde todos los dominios del bosque
Se usan para asignar permisos a recursos relacionados en todos
los dominios del bosque, anidando en ellos grupos globales.

Identificar qu grupos son Locales, Globales y Universales en el primer controlador de

dominio instalado en el laboratorio.

140
DIRECTORIO ACTIVO
Grupos

141
DIRECTORIO ACTIVO
Tipos de Confianzas
Transitividad
Transitivas (T)
Intransitivas (I)
Direccin
Bidireccionales (B)
Unidireccionales (U)
Confianzas por defecto
Entre dominios (padres/hijos): Transitivas bidireccionales
Entre races de rboles: Transitivas bidireccionales
Otros tipos de confianzas:
Externa: Con NT 4.0 (I, U/B)
Territorios: Kerberos con sistemas no Windows: (T/I, U/B)
Bosque: Entre bosques (T, U/B)
Acceso Directo: Para mejorar los tiempos de acceso entre
dominios lejanos lgicamente (T, U/B)

142
DIRECTORIO ACTIVO
Confianzas

Kerberos
NT 4.0

143
DIRECTORIO ACTIVO
Dominios y Confianzas de AD

144
DIRECTORIO ACTIVO
Almacn de datos del directorio

Contiene informacin acerca de objetos como usuarios, grupos,

equipos, dominios, unidades organizativas y directivas de
seguridad.
Se almacena en controladores de dominio. Cada DC dispone de
una copia.
Los cambios realizados en el directorio en un DC se replican al
resto de DC en el dominio, el rbol de dominios o el bosque.
AD utiliza cuatro tipos diferentes de particiones de directorio:
Dominio. informacin acerca de los objetos de un dominio.
Configuracin. describen la topologa del directorio.
Esquema. definicin formal de todos los datos de objetos
Aplicacin. datos de aplicaciones
Cuando un DC es catlogo global, almacena un subconjunto de
datos del directorio para todos los dems dominios del bosque.
Los datos del directorio se almacenan en el archivo Ntds.dit del
DC. Los datos privados se almacenan de forma segura y los datos
pblicos del directorio se guardan en SYSVOL desde donde se
pueden replicar a otros controladores del dominio.
145
DIRECTORIO ACTIVO
Control de acceso en Active Directory

Un descriptor de seguridad contiene dos listas de

control de acceso (ACL):

Listas de control de acceso discrecional (DACL). Identifican a los

usuarios y grupos que tienen asignados o denegados permisos de acceso
a un objeto.

Listas de control de acceso al sistema (SACL). Identifican a los

usuarios y los grupos que desea auditar cuando consiguen o no
consiguen obtener acceso a un objeto.

Las DACL y las SACL estn asociadas de forma

predeterminada con todos los objetos de AD.

146
Directorio Activo

ACCESS TOKEN Y ACLS

DACL:
Discretionary
Access control
List
SACL: System
Access Control
List
ACE: Access
Control Entry

147
 DIRECTORIO ACTIVO
Funciones de servidor de Active Directory

Servidores miembro
Pertenece a un dominio
No es un controlador de dominio.
No procesa inicios de sesin de cuentas, no participa en la replicacin de AD ni
almacena informacin de directivas de seguridad de dominio.
Controladores de dominio (DC)
Almacena una copia de lectura y escritura del directorio de AD.
Autentica usuarios.
Sincroniza los datos del directorio utilizando replicacin.

Controladores de dominio de solo lectura (RODC)

Para escenarios donde la seguridad local no se puede garantizar o donde
almacenar credenciales de usuarios y servicios se considera un riesgo no
asumible.
El administrador del dominio decide qu contraseas se replican o cachean.

148
 Directorio Activo

Catlogo Global
DC que almacena una copia de todos los objetos de AD del bosque
(Copia completa de su dominio y parcial de los dems dominios del bosque )

Funciones:
Bsqueda de objetos
Autenticacin del nombre
principal de usuario
Informacin de pertenencia a
grupos universales en un entorno
de dominios mltiples
Validacin de referencias a
objetos dentro de un bosque

149
 Directorio Activo

Funciones del maestro de operaciones (FSMO)

(funciones flexibles de operaciones de un solo maestro)

Maestro de esquema
Maestro de nombres de dominio

Maestro de Id. relativo (RID)

Maestro emulador del controlador principal de

dominio (PDC)
Maestro de infraestructuras

150
 Directorio Activo

Funciones del maestro de operaciones (FSMO)

Funciones que solo puede desempear un DC en cada

bosque:
Maestro de esquema: DC que controla todos los
cambios que tienen lugar en el esquema.

Maestro de nombres de dominio: Controla las

altas y bajas de dominios del bosque.

151
 Directorio Activo

Funciones del maestro de operaciones (FSMO)

Funciones que solo puede desempear un DC en cada
dominio:
Maestro de Id. relativo (RID): Asigna secuencias de Id.
relativos (RID) a cada uno de los distintos controladores del dominio que
los usa para asignar id. de seguridad (SID).
Maestro emulador del controlador principal de
dominio (PDC): Acta como controlador principal de dominio.
Tambin se encarga de sincronizar la hora en todos los controladores del
dominio.
Maestro de infraestructuras: Es el responsable de
actualizar las referencias de los objetos de su dominio en los objetos de
los otros dominios.

152
 Directorio Activo

Funciones del maestro de operaciones (FSMO)

Qu DCs ejercen las funciones FSMO en un dominio?

> netdom query /Domain:empresa.es FSMO

Maestro de esquema WS2K8DC1.empresa.es

Maestro nomencl. Dominios WS2K8DC1.empresa.es
PDC WS2K8DC1.empresa.es
Administrador de grupos RID WS2K8DC1.empresa.es
Maestro de infraestructura WS2K8DC1.empresa.es

El comando se complet correctamente.

153
 Directorio Activo

Transferir funciones del maestro de operaciones

Es una operacin crtica que hay que realizar cuando
debe sustituirse el DC que la haca.
Funcin Consola de MMC

Maestro de esquema Esquema de AD

Maestro nomencl. Dominio Dominios y confianzas de AD

PDC Usuarios y equipos de AD

Administrador de grupos RID Usuarios y equipos de AD

Maestro de infraestructura Usuarios y equipos de AD

Ejercicio: Llegar a los cuadros de dilogo para transferir las funciones de maestro de Operaciones

154
 Directorio Activo

Transferir la funcin del maestro de esquema

El complemento de consola Esquema de Active
Directory no aparece por defecto:

Es preciso registrar la dll: schmmgmt.dll Para ello:

Colocarse en %windir%\system32

Ejecutar: regsvr32 schmmgmt.dll

155
SERVER CORE

ATICA

156
 Server Core

Server
Core es una opcin de instalacin
mnima de Windows Server 2008
GUI? Desaparece (En su mayora).
Windows Explorer? Desaparece.
Internet Explorer y Media Player? Desaparecen.
.Net Framework? Desaparece
MMC? Tambin desaparece.
Diseado para cubrir ciertos entornos y cargas
de trabajo
Disponible en 32 y 64 bits

157
 Server Core
Porqu Server Core?

Reduce el mantenimiento del software

Solo se instalan los componentes esenciales
Reduce la superficie de Ataque
Menos cosas que parchear y asegurar
Reduce la Gestin
Menos cosas que gestionar.
Consumo menor de Memoria
Ejemplo: 184 MB frente a 309 MB
Menos espacio en disco requerido
Core: 1.6 GB / Completo: 7.6 GB
Instalacin base (sin Pagefile.sys).
(A la gente de UNIX les pone).

158
 Server Core
Server, Server Roles
Opciones Mnimas de Instalacin (Por ejemplo, solo)

Poca superficie Web Share

TS IAS Etc
Server Point
Interface por Lnea de Comando
Conjunto limitado de Roles de
Servidor
Roles de Servidor de Server Core Servidor
With WinFx, Shell, Tools, etc.
Web Media
DNS DHCP File AD Server Server

Server Core GUI, CLR,

Shell, IE,
Seguridad, TCP/IP, Sistema de Ficheros, RPC, Media, OE,
y otros Sub-Systems del nucleo de Servidor.
etc.
 SERVER CORE

Compatibilidad de Aplicaciones
Las aplicaciones han de ser probadas

NO esta disponible lo siguiente:

.Net Framework (En WS2008 R2 s estar disponible)
Windows Explorer (shell o GUI)
Globos de notificacin
Run as
PowerShell (En WS2008 R2 s estar disponible)
MMC

160
 SERVER CORE

Instalacin
Se puede:
Instalar desde el mismo DVD de Windows Server
2008

No se puede:
Actualizar desde versiones previas de Windows
Convertir una instalacin completa en Core
Convertir una instalacin Core en completa

161
SERVER CORE

Configuracin Inicial de Server Core

Establecer la contrasea del Administrador
CTRL+ALT+DEL y hacer click en Cambiar la Contrasea
net user administrator *
Cambiar el nombre del servidor
Netdom renamecomputer %computername% /Newname:nuevonombre
Configurar una IP Esttica
Netsh
interface ipv4
show interfaces
show address
set address 2 static 192.168.x.104 255.255.255.0
set dnsserver 2 static 192.168.x.101 primary

162
 SERVER CORE
Configuracin Inicial de Server Core
Ver opciones bsicas de configuracin del Server Core
Cscript scregedit.wsf (ejecutado desde %windir%\system32)
Cscript scregedit.wsf/cli
Activar la copia de Windows
Slmgr.vbs ato
Unirse a un dominio (si se requiere)
Netdom join /domain:dominio /UserD:usuario
/PassworD:contrasea /UserO:usuario /PasswordO:contrasea
/reboot
Aadir funciones (roles) y caractersticas
Ocsetup
Listar las funciones y caractersticas instaladas
Oclist
Ejercicio: Activar la consola remota para acceder al server core desde otro equipo.

163
 SERVER CORE
SCRegEdit.wsf
No todas las tareas se pueden ejecutar mediante la
lnea de comando o de manera remota
SCRegEdit.wsf esta incluido en Server Core para:
Permitir las actualizaciones automticas
Permitir Sesiones de terminal en modo administracin
Permitir la administracin remota del Monitor de IPSEC
Configurar el peso y la prioridad de un registro DNS SRV
Nuevo modificador /cli que lista comandos y
modificadores comunes
Localizado en \Windows\System32

164
 SERVER CORE

OCList.exe
nica herramienta de linea de comando
propia de Server Core
Lista los roles de servidor y las
funcionalidades adicionales que se pueden
instalar con OCSetup
Lista si los paquetes estn o no instalados

165
 SERVER CORE
Aadir Roles de Servidor
nicamente mediante lnea de comando, sin Server Manager
Start /w Ocsetup RolePackage
DHCP = DHCPServerCore
DNS = DNS-Server-Core-Role
File Replication service = FRS-Infrastructure
Distributed File System service = DFSN-Server
Distributed File System Replication = DFSR-Infrastructure-
ServerEdition
Network File System = ServerForNFS-Base
Media Server = MediaServer
Print = Printing-ServerCore-Role
LPD = Printing-LPDPrintService
Active Directory
Dcpromo instala el Active Directory
Dcpromo /unattend:Unattendfile
Ocsetup no esta soportado para instalar Active Directory

166
 SERVER CORE
Aadir Caractersticas Adicionales
Start /w ocsetup OptionalFeaturePackage
Failover Cluster = FailoverCluster-Core
Network Load Balancing =
NetworkLoadBalancingHeadlessServer
Subsystem for UNIX-bases applications = SUA
Multipath IO = MultipathIo
Removable Storage Management = Microsoft-Windows-
RemovableStorageManagementCore
Bitlocker Drive Encryption = BitLocker
Backup = WindowsServerBackup
Simple Network Management Protocol (SNMP) = SNMP-SC
Telnet Client = TelnetClient
WINS = WINS-SC
QoS = QWAVE

167
 SERVER CORE

Desinstalar funciones y caractersticas

Start /w Ocsetup Package /uninstall
Excepto para Active Directory
Hay que usar DCPromo y demote
Dcpromo /unattend:<unattendfile>
Esto tambin elimina los binarios del Active Directory
NO hay herramienta de entorno grafico para
instalar o desinstalar roles y funcionalidades
en remoto

168
 SERVER CORE
Administracin de Server Core
CMD para ejecucin de comandos en local
CMD usando Terminal Server
WS-Management y Windows Remote Shell
para ejecucin remota de comandos
WMI
Programador de Tareas para ejecutar trabajos
y tareas
Event Logging y Event Forwarding
RPC y DCOM para soporte remoto a MMC

169
 SERVER CORE
Hardware en un Server Core
Plug and Play esta incluido en Server Core
Si se aade hardware con un driver que ya est incluido en el
sistema, PnP lo instalara silenciosamente
Si el driver no esta incluido, pero tienes un driver PnP
para el hardware
Copiar los ficheros del driver al servidor
Ejecutar: Pnputil i a driverinf
Para listar los drivers instalados
sc query type= driver
Para eliminar un driver
sc delete driver_name

170
 SERVER CORE
Trucos
Panel de control (Algunos)
Cambio de la Zona horaria Control timedate.cpl
Cambios para el idioma o teclado Control intl.cpl
Notepad, Incluido con algunas limitaciones
La Ayuda no funciona
Cuadros de dialogo antiguos
Copiar, Pegar, Buscar, Reemplazar, si funcionan
Si cierras lnea de comando
Presionar ctrl-alt-del, click Start Task Manager,
Cierra e inicia sesin

171
 SERVER CORE

Limitaciones
NO hay soporte para cdigo manejado

No hay globos de notificacin, como por

ejemplo para las actualizaciones o la
activacin. Tampoco para la notificacin de la
caducidad de las contraseas

Ejecutar como no esta soportado

172
READ ONLY DOMAIN
CONTROLLERS

ATICA

173
 RODC
Desafos de las delegaciones remotas

Los administradores se enfrentan a los siguientes desafos a la

hora de desplegar Controladores de Dominio en una delegacin
remota
El DC se coloca en una localizacin fsica insegura
El DC tiene una conexin de red poco fiable con el HUB
El personal de la delegacin tiene pocos conocimientos o permisos
para gestionar el DC, por lo que:
Los Domain Admins gestionan el DC remotamente, o
Los Domain Admins delegan privilegios al personal de la delegacin
Para consolidar la infraestructura de Directorio Activo, los
administradores quisieran eliminar los DCs de las delegaciones
remotas, pero
Los usuarios no podran iniciar sesion o acceder a recursos de red si
la WAN falla

174
RODC

Desafos de las
delegaciones
remotas

175
 RODC
Modelos de Administracin recomendados
Cuentas no cacheadas (por defecto)
A Favor: Mas seguro, permitiendo adems la autenticacin rpida y
la aplicacin de polticas
En Contra: No hay acceso offline para nadie. Se requiere de la
WAN para el inicio de sesin
La mayor parte de las cuentas cacheadas
A Favor: facilidad en la gestin de contraseas. Para entornos en
los que es ms importante la administrabilidad que la seguridad.
En contra: Ms contraseas expuestas potencialmente por el RODC
Solo una pocas contraseas cacheadas
A Favor: Permite el acceso offline de quien lo necesite realmente,
maximizando la seguridad de los dems
En Contra: Requiere una administracin granular ms fina
Mapear equipos por delegacin
Requiere buscar manualmente el atributo Auth2 para identificar las
cuentas

176
 RODC
Menor superficie de ataque para los DCs
de delegaciones remotas
Por defecto, no hay contraseas de usuarios o equipos
almacenadas en un RODC
El Read-only Partial Attribute Set (RO-PAS) puede evitar que
las credenciales de las aplicaciones se repliquen al RODC
Estado de Solo lectura con replicacin unidireccional del AD y
FRS/DFSR
Cada RODC tiene su propia cuenta KDC KrbTGT para tener
claves criptogrficas propias y distintas
La delegacin del DCPROMO elimina la necesidad de que el
Administrador del dominio se conecte va TS al RODC
Los RODCs tienen cuentas de estacin de trabajo
No son miembros de los grupos Enterprise-DC o Domain-DC
Derechos muy limitados para escribir en el Directorio
Los RODC son totalmente compatibles con Server Core

177
 RODC
Cacheo de secretos en el primer inicio de sesin
Como Funciona 1. AS_Req enviado al RODC
(TGT request)
2. RODC: No tiene las credenciales
de este usuario
3. Reenva la peticin al DC del Hub
4. El DC del Hub autentica la peticin

DC en el Hub Read Only DC 5. Devuelve la peticin de

3
2
autenticacin y el TGT al RODC
4 6. El RODC da el TGT al usuario y
5 encola una peticion de replicacin
7 6 de los secretos
7. El DC del Hub comprueba
7 la poltica de replicacin
de contraseas para ver
si la contrasea puede
6 ser replicada

Hub Delegacin
1
`
SEGURIDAD

ATICA

179
 SEGURIDAD
Auditoras de cambios en AD
Los Event logs dicen
exactamente: Event Event
Event description
ID type
Quien hizo el cambio 5136 Modify This event is logged
Cundo se hizo el cambio when a successful
modification is made to
Que objeto/atributo fue an attribute in the
cambiado directory.
5137 Create This event is logged
Los valores inicial y final when a new object is
created in the directory.
5138 Undelete This event is logged
La auditora esta controlada when an object is
undeleted in the
por directory.
5139 Move This event is logged
Poltica global de auditora when an object is moved
SACL within the domain.
Schema

180
 SEGURIDAD

Backup/Recovery
Windows Server Backup (wbadmin.exe)
NTBackup est discontinuado
Nueva tecnologa Block-Level, basada en imgenes
Backup/recovery del System State por lnea de comandos
Debe hacerse a una particin diferente
Recuperacin del System State en DSRM (auth & non-auth)

Se instala agregando: Caractersticas de copia de

Seguridad de Windows Server
No est instalado por defecto

181
 Seguridad

DATABASE MOUNTING TOOL

NTDSUtil.exe permite sacar instantneas (snapshots) de AD DS/LDS
regularmente.
DsaMain.exe permite a los administradores elegir la instantnea
ms apropiada y exponerla con LDAP.
NO permite restaurar objetos (hay que hacerlo manualmente)
Ahora: Herramienta + tombstone reanimation + LDAP
Post-WS08: Undelete?

NTDSUTIL.EXE DSAMAIN.EXE LDP.EXE

Saca SnapShots Expone las Ver datos de

de DS/LDS via snapshots como solo lectura de
VSS servidores DS/LDS
LDAP

182
 Seguridad
DATABASE MOUNTING TOOL
NTDSUtil.exe
? (para ver las opciones disponibles).
snapshot
Instantnea: ? (para ver las opciones disponibles)
Instantnea: activate instance NTDS (se establece la instancia a NTDS)
Instantnea: create
Creando instantnea...
Conjunto de instantneas {b9b1cfd4-8687-46f3-906d-f5eddf7e8e54} generado correctamente.
Instantnea: list all
1: 2008/08/24:23:13 {b9b1cfd4-8687-46f3-906d-f5eddf7e8e54}
2: C: {88626e0b-72ca-4b56-8a44-df66d7eb761e}
Instantnea: mount {b9b1cfd4-8687-46f3-906d-f5eddf7e8e54}
Instantnea {88626e0b-72ca-4b56-8a44-df66d7eb761e} montada como
C:\$SNAP_200808242313_VOLUMEC$\

DsaMain.exe
dsamain /dbpath
C:\$SNAP_200808242313_VOLUMEC$\Windows\NTDS\ntds.dit
/ldapport 456
EVENTLOG (Informational): NTDS General / Control de servicios : 1000
Inicio de los Servicios de dominio de Active Directory de Microsoft completado,
versin 6.0.6001.18000

183
 Seguridad
ADUC: Proteccin contra borrado accidental
Algunos objetos y contenedores tienen una nueva opcin: Prevent
container from accidental deletion (por defecto est marcado cuando se
crea una OU)
Objeto/OU existentes Nueva unidad Organizativa

184
 Seguridad
Polticas de contraseas granulares (PSO)
PSO
Resultante
= PSO1
Precedencia= 10

Password
Settings Object Se aplica a
PSO 1
PSO
Resultant
e = PSO1

Precedencia= 20

Password
Settings Object Se aplica a
PSO 2

Aplicar una PSO => modificar atributo msDsPSOAppliesTo

185
 Seguridad

ADMINISTRACIN DE PSO
Recomendacin: Administracin basada en grupos
Delegar la modificacin de la membresa del grupo
Esta caracterstica puede ser tambin delegada
Por defecto, solo los Administradores de Dominio pueden:
Crear y leer PSOs
Aplicar una PSO a un grupo o usuario

Permisos

Operacin a Delegar Permisos Delegados

En el PSO:
Crear y borrar PSOs Create all child objects
Delete all child objects
En el PSO:
Aplicar PSOs a usuarios/grupos
Write
186
FIN

ATICA

187