Servidores de impresión y archivos

Para compartir una carpeta en Windows (en Linux se realiza a través de SAMBA):

- En el menú contextual Compartir con /usuarios específicos

- Establecer los permisos para los usuarios

- Para acceder a ella Clic en Equipo/Red y escribir en la barra superior la ip del servidor donde se encuentra la carpeta compartida "\\ip_servidor"

- Montar la carpeta como unidad de red

- Por comandos: c:/> net use x: \\servidor\carpeta_compartida

- ¿Se podría compartir el disco C? Sí se puede pero no es recomendable porque C contiene el sistema operativo.

Administración de recursos compartidos

Desde la administración de recursos compartidos podemos administrar las particiones de Windows Server, crear particiones, extenderlas... y los recursos compartidos. También se pueden crear recursos compartidos y establecer sus permisos.

Instantánea

Las instantáneas es una utilidad del sistema operativo Windows Server que realiza copias de seguridad de carpetas y ficheros cada cierto tiempo. Permite la recuperación de ficheros corruptos o eliminados.

Hay que habilitarlas.

Sistema de archivos distribuidos

El sistema de archivos distribuidos es un componente de red de Windows Server. Crea y almacena un sistema de archivos entre distintos servidores por lo que los usuarios verán unos pocos directorios lógicos que incluyen todos los servidores y carpetas compartidas. Hay que instalar el servicio. Hay que crear un espacio de nombres.

- Espacio de nombres DFS: Permite agrupar las carpetas compartidas ubicadas en uno o más servidores en un uno o más espacios de nombres estructurados lógicamente. Los usuarios ven cada espacio de nombres como una sola carpeta compartida con una serie de subcarpetas.

- Replicación de datos DFS: Motor de replicación que mantienen sincronizadas las carpetas en la red entre los servidores.

Administración de cuentas de grupo y usuario

Para crear usuarios en Windows Server 2008 se pueden crear plantillas y por medio de esa plantilla crear varios usuarios con los mismos permisos. Para crear una plantilla creamos un usuario Inicio/Herramientas administrativas/Usuarios y equipos de Active Directory y definimos sus características, una vez hecho el usuario click derecho y Copiar.

Las propiedades que se mantienen en los usuarios creados por medio de una plantilla son:

- Descripción
- Cambiar la clave la próxima vez que conecte
- No puede cambiar la clave
- Clave no expira
- Grupos
- Perfil
- Horario
- Equipos

La contraseña que asignamos a las cuentas de usuarios viene definida por:

- Duración máxima y mínima
- Longitud mínima
- Bloqueo de cuentas

 Y los cambios tendrán efecto la siguiente vez que el usuario entre o la próxima vez que al usuario le afecte la política por ejemplo la longitud mínima de clave.

Las contraseñas deberían tener una longitud mínima de 6-8 caracteres, hay que cambiarla de vez en cuando, se debería bloquear la cuenta después de varios intentos de inicio de sesión incorrectos, no se deberían poder repetir las claves en los cambios.

El servidor o PDC debe llevar un mantenimiento:

Se debe promover el Controlador de dominio de backup BDC. Se copia el BDC a un nuevo PDC.
Mantener en línea el Controlador de Dominio Primario y el Controlador de dominio de Backup.

Sincronizar controladores de dominio

La sincronización o replicación de controladores de dominio sirve para que  todos los grupos y cuentas de usuarios estén actualizados en cada controlador de dominio.

Apuntes Cuentas de grupo

Un grupo es un conjunto de usuarios y equipos y se usa para simplificar la administración, delegar la administración y crear listas de distribución de correo electrónico.

Los grupos predeterminados se crean al instalar el dominio y se les asignan los derechos automáticamente. Al agregar a un usuario a un grupo recibe todos los derechos del grupo y todos los permisos.

Grupos locales: Estos grupos son los que podemos crear en cualquier instalación, salvo que sea Controlador de Dominio. Se pueden usar para asignar privilegios únicamente en la máquina local. Si la máquina está en grupo de trabajo, es la única posibilidad.

Grupos de Dominio: Estos grupos los creamos y los administramos en los Controladores de Dominio del dominio a través de la consola de administración del dominio.

Ámbito de los grupos: 

Grupos locales: Única alternativa en ambiente de grupo de trabajo. En ambiente de dominio solo en caso de que se necesiten asignar privilegios específicos locales. Ejemplos: que un grupo del dominio sea administrador local de la máquina, o que un grupo de dominio pueda ejecutar copias de seguridad o recuperación en un equipo en particular.

Grupos Globales: Se recomienda utilizarlos para agrupar cuentas con función similar. Por ejemplo un sector, un cargo, etc.

Grupos locales de dominio: Se recomienda utilizar para asignar privilegios (permisos y derechos).

Grupos universales: Se recomienda la utilización cuando se requiere agrupar grupos globales de diferentes dominios.

Agrupar por función: cuentas > Globales

Agrupar por permisos; grupos locales de dominio < Permisos

Fuente: http://windowserver.wordpress.com/2012/12/14/uso-recomendado-de-grupos-en-dominios-windows-server/

Apuntes Cuentas de usuario en Windows Server

Tipos de cuentas de usuario:

- Usuarios
- Invitados
- Administradores
- Asistente remoto

Las cuentas de usuarios poseen permisos. Los grupos poseen permisos.

Dominios y cuentas de usuarios.

Se puede dar de alta a usuarios en un dominio. Pasan unos minutos cuando se da de alta a un usuario en un dominio y pasa al backup.

Plantillas genéricas.

Crear una plantilla genérica sirve para definir los permisos que deben tener los usuarios. Para crear un usuario voy a esa plantilla y le cambio. A partir de esa plantilla creo los nuevos usuarios. Solo asigno los permisos una vez.

Convención de nombres.

- Nombres de usuarios únicos.
- Nombre de usuario relacionado con el nombre real.

Claves de acceso.

- El administrador siempre debe tener clave.
- Al hacer un dcpromo en Windows Server 2008 la configuración por defecto no permite dejar la clave vacía.
- Formación en seguridad de claves.

Restricciones de horarios y estaciones.

Directorio predeterminado.

- Realizar la copia de seguridad en local es correcto cuando son 5 o 6 usuarios.
- Lo lógico es que cada usuario tenga su directorio de trabajo.

Creación de cuentas de usuario:

- Nombre de usuario
- Nombre completo (256 caracteres)
- Descripción
- Contraseña
- Confirmación de contraseña
- El usuario debe cambiar la contraseña en el primer inicio
- El usuario no puede cambiar la contraseña
- La contraseña no expira
- Cuenta deshabilitada

Otras opciones sobre cuentas de usuarios:

Copiar cuentas, añadir cuenta a un grupo, deshabilitarla, impedirle a un usuario que acceda a un dominio, resetear contraseña, mover a un usuario de grupo...

Copias de seguridad

La característica Copias de seguridad de Windows Server 2008 nos permite crear copias de seguridad y restaurarlas. Las copias de seguridad deben ser almacenadas en un dispositivo de almacenamiento externo como un usb o disco duro extraíble o en una partición aparte de la del sistema operativo. Lo ideal es almacenar la copia de seguridad en un lugar distinto donde se encuentra el servidor y hacer 2 copias de la copia original.

Se pueden realizar copias de seguridad completas, incrementales y personalizadas para seleccionar únicamente los archivos y carpetas a copiar.

Para acceder a copias de seguridad Inicio/Herramientas administrativas/Copias de seguridad o Propiedades de unidad de disco/ Herramientas/Copia de seguridad:

En el menú de la derecha tenemos la opciones:

Hacer copia de seguridad de programación: Desde aquí podemos programar copias de seguridad para que se realicen semanalmente por ejemplo.

Hacer copia de seguridad una vez: Para programar una única copia de seguridad en un momento puntual.

Recuperar: Para restaurar una copia de seguridad ya realizada.

Visor de eventos

El visor de eventos mantiene registros para aplicaciones, seguridad y sistema en el equipo. Los sucesos se dividen en dos categorías: Registros de Windows y Registros de aplicaciones y servicios.

Nos ofrece acceso a todos los registros (LOGS). Estos son algunos de los registros que nos mostrará:

Application log: Todos los sucesos registrados por aplicaciones.

Security log: Registros de seguridad, como intentos de inicio de sesión, eliminación de archivos. 

System log: Errores, controladores, fallos en el inicio...

Para abrir el visor de eventos Inicio/Herramientas administrativas/Visor de eventos:

Monitor de rendimiento

Monitor de confiabilidad y rendimiento:

- Muestra la carga de trabajo y el efecto que produce en los recursos del sistema.
- Comprueba cambios de configuración.
- Diagnostica problemas.
- Se pueden planificar futuras actualizaciones según las tendencias de trabajo.

Monitor de rendimiento:

- Muestra en tiempo real el uso de los recursos del sistema.

Monitor de confiabilidad:

- Muestra la estabilidad del sistema y tiene 5 categorías: Instalaciones y desinstalaciones de software, Errores de aplicación, Errores de hardware, Errores de Windows y Errores varios.

Conjunto de recopiladores de datos e informes:

- Almacena información de registros y permite crear alertas.

Arranque y parada del sistema

Arranque del sistema operativo:

En el proceso de arranque se prepara el sistema para ser usado por los usuarios.

El gestor de arranque es un programa que se ejecuta una vez completado el inicio normal de la BIOS y que permite seleccionar el sistema operativo en caso de tener arranque múltiple. Esto se realiza a través del MBR localizando la partición activa que contiene el sistema operativo a ejecutar o lanzar el gestor de arranque de los sistemas operativos instalados.

Para acceder al gestor de arranque Inicio/Equipo/clic derecho Propiedades y Configuración avanzada del sistema.

Parada del sistema operativo:

En el apagado de un sistema operativo servidor como Windows Server 2008 se debe especificar el motivo de apagado ya que al ser un servidor se entiende que estará siempre encendido. Los comentarios o motivos de apagado se guardan en el visor de eventos.

Servicios del sistema:

Los servicios son aplicaciones que se ejecutan independientemente del usuario, ejemplos de servicios pueden ser: FTP, MySQL. Se encuentran en Inicio/Herramientas administrativas/Servicios

Procesos:

Programas que se ejecutan dependiendo del usuario. Para acceder a los procesos pulsar Alt+Supr+Ctrl/Administrador de tareas/pestaña Procesos:

Programador de tareas:

Desde el programador de tareas podemos crear tareas indicándoles un nombre, la fecha y hora cuándo se ejecutarán y cuál es el proceso que va a realizar.

Añadir equipos al dominio y crear controlador de dominio de backup

Pasos Previos

Antes de comenzar a unir los equipos clientes al dominio he creado dos cuentas en Active Directory. Una para cada equipo para iniciar sesión en el dominio desde los equipos clientes. Una para Windows 7 “clientew7” y otra para Windows XP “clientexp”.

Unir equipo Windows 7 al dominio

1. Configurar adaptador de red para estar en la misma red que el equipo servidor WS2K8. Las dos máquinas estarán con adaptador de red interna. En Servidor DNS preferido colocar la ip del servidor porque de lo contrario a la hora de intentar unir al dominio este equipo nos saldrá un mensaje de error indicando que no se encuentra un servidor DNS.

2. En Equipo/Propiedades Cambiar configuración unimos el cliente W7 al dominio.

Escribo en dominio “majadasir.es”

Al hacer clic en Aceptar nos aparece una pantalla donde tenemos que iniciar sesión con una cuenta que hayamos creado anteriormente en el Active Directory de WS2K8.

En mi caso la cuenta es clientew7:

Reiniciamos.

Iniciamos sesión con la cuenta “clientew7” en el dominio majadaasir.es

En Equipo/Propiedades comprobamos que estamos en el dominio “majadasir.es”

Cambiamos el nombre del equipo a “pc_7.majadasir.es”

Unir equipo Windows XP al dominio

1. Configuramos el adaptador de red. Con una ip dentro del rango de ip del servidor y en dns indicamos la ip del servidor.

En Equipo/Propiedades unimos el cliente al dominio “majadasir” y cambiamos el nombre de equipo a “pc_xp”.

Nos aparece la ventana para iniciar sesión con la cuenta creada en Active Directory.

En mi caso clientexp:

Se une al dominio:

Reiniciamos:

Iniciamos sesión:

En Equipo/Propiedades comprobamos que ya estamos en el dominio.

Controlador de dominio de respaldo

He clonado la máquina virtual WS2K8 y en la máquina clon he eliminado el dominio majadasir.es.

Configuré el adaptador de red para estar en el mismo rango de ip que el servidor de Pablo.

Compruebo con un ping que se ven los equipos.

Ejecuto dcpromo para eliminar el controlador de dominio.

Reinicio y ejecuto dcpromo nuevamente para crear el controlador de dominio de respaldo.

Selecciono Bosque existente y agregar un controlador de dominio a un dominio existente.

Escribo el nombre del dominio al que me voy a unir “majadasir.es”

Con una cuenta creada en el Active Directory del servidor otorgo credenciales de red.

Reinicio y compruebo que puedo ver la lista de cuentas de usuario desde Active Directory desde el controlador de dominio de respaldo:

Desde Active Directory del controlador de dominio de respaldo puedo crear cuentas y eliminar cuentas. Hicimos la prueba de crear una cuenta estando el servidor primario apagado y funcionó.

Apuntes Controladores de dominio

Una vez instalado Active Directory se crea el controlador de dominio con el comando dcpromo.exe. Un controlador de dominio administra toda la información correspondiente a usuarios y recursos de su dominio.

Subdominio

Un subdominio es un nombre de dominio que está basado en el nombre de dominio. Un ejemplo de subdominio del dominio tudominio.com sería admon.tudominio.com.


Usuarios y Grupos

Con un controlador de dominio se pueden gestionar de forma centralizada todos los usuarios y recursos de una organización y configurar desde una interfaz gráfica el acceso a diferentes servicios.

Apuntes Servicios de directorio

Servicio de directorio

Un servicio de directorio es un directorio o aplicación donde está almacenada la información de cuentas de usuarios y permite gestionarlas.

Protocolo LDAP

LDAP siglas de Protocolo de Acceso Ligero a Directorio es un protocolo de tipo cliente-servidor para acceder a un servicio de directorio.

Ventajas y desventajas de LDAP

Acceso desde cualquier plataforma.
Gran facilidad de implementar y a coherencia de sus API..
Los SGBD empiezan a incluir interfaces LDAP.

Se debe usar un cliente LDAP-enable o bien pasar a través de un gateway LDAP.
No soporta todos los aspectos de seguridad incluidos en X.500.

Estructura de un árbol

Entrada basada en login:

uid: carlos (Cuenta)
ou: informática (Grupo)
dc: majadasir (nombre dominio)
dc: es (Raíz del directorio)

Basada en el nombre:

cn: Carlos Carmona (Cuenta)
ou: informática (Grupo)
dc: majadasir (nombre dominio)
dc: es (Raíz del directorio)

Elementos que administra un dominio

Usuarios
Grupos
Equipos
Unidades organizativas
Objetos que contienen otros objetos

Esquema de servicio de directorio

El esquema es la colección de atributos definidos, clases de objetos definidas y ACIs para controlar donde es almacenado cada dato. El esquema define el modelo de datos, el diseño de como los datos se almacenan, tipos de datos y las relaciones entre datos almacenados.

Atributos: Los que son utilizados para un tipo específico de objeto se llaman Clases de objetos. Se pueden definir nuevas clases de objetos. Dentro de esas clases se pueden definir los atributos que son requeridos o no.

Funciones de los dominios

-Auditoría: determina si los eventos se registran en el registro de seguridad cuando se llevan a cabo determinadas operaciones en objetos del directorio.

-Directivas de contraseñas muy específicas: para definir varias directivas de contraseñas dentro de un único dominio.

-Controladores de dominio de sólo lectura: proporciona un medio para implementar un controlador de dominio con más seguridad en aquellos lugares donde se requieran servicios de autenticación rápidos y confiables, pero donde no esté garantizada la seguridad física de un controlador de dominio de escritura.

-Servicios de dominio de Active Directory reiniciables:  reduce el tiempo necesario para realizar determinadas operaciones.

-Herramienta de montaje de bases de datos:La finalidad de la herramienta de montaje de bases de datos de Active Directory es exponer los datos de AD DS que están almacenados en instantáneas o copias de seguridad en línea.

-Mejoras de la interfaz de usuario: Las mejoras de la interfaz de usuario (UI) de AD DS ofrecen nuevas opciones de instalación para controladores de dominio. Además, el Asistente para la instalación de los Servicios de dominio de Active Directory actualizado simplifica la instalación de AD DS.

Creación de usuarios y grupos en Windows Server 2008

En esta entrada vamos a crear usuarios y grupos en Active Directory de Windows Server 2008.

Para abrir Usuarios y grupos de Active Directory: Inicio/Herramientas Administrativas/Usuarios y equipos de Active Directory.

Crearemos dos unidades organizativas una para los usuarios y otra para los grupos.

Quedará de esta forma:

Para crear los usuarios clic derecho en la unidad organizativa usuarios y Nuevo.

En esta pantalla escribimos el nombre del usuario, en mi caso usuarioASIR1 y un nombre de inicio de sesión (el nombre de la cuenta de usuario). A la derecha junto al nombre de inicio de sesión aparece el dominio al que pertenece dicho usuario.

Escribimos una contraseña y clic en la casilla de “La contraseña nunca caduca”.

Finalizar y la cuenta de usuario usuarioASIR1 ha sido creada.

El mismo proceso para la creación del usuario usuarioASIR2.

Ya podemos ver las dos cuentas de usuario creadas.

Para crear el grupo clic derecho en Grupos y Nuevo Grupo.

El grupo se llamará grupoASIR. Ámbito de grupo y Tipo de grupo los dejaré por defecto.

El grupo creado.

Unir los usuarios al grupo.

En Usuarios seleccionamos el usuario que vamos a unir al grupo y clic derecho Propiedades.

En la pestaña “Miembro de” clic en Agregar.

En el campo de texto  escribimos el nombre del grupo y clic en Comprobar nombres, lo seleccionamos y Aceptar.

Nos aparece una lista con los grupos encontrados. Seleccionamos grupoASIR.

Aquí vemos que el usuario ya pertenece al grupo grupoASIR clic en Aplicar y Aceptar. El mismo proceso para el usuario usuarioASIR2.

Para ver una lista de los usuarios que pertenecen al grupo grupoASIR doble clic sobre el grupo desde Grupos.

En la pestaña Miembros está la lista de usuarios que pertenecen al grupo.