Upload
trinhnga
View
235
Download
2
Embed Size (px)
Citation preview
ADMINISTRACIÓN DE WINDOWS SERVER 2003
CONTENIDO
Introducción y conceptos básicos
Familias de productos Windows
Grupos de Trabajo
Administración de Usuarios
Configuración de Usuarios para Grupos de Trabajo
Perfiles de Usuario
Directivas de Grupo
CONTENIDO
Permisos de Directorios
Escritorio y asistencia remota
Asignación y Modificación de permisos de
archivos y usuarios
Uso Compartido de Recursos
Taller: Grupos de Trabajo
CONTENIDO
Instalación segura de Windows Server 2003
Dominios
Conceptos (Dominios, árboles, bosques, unidad organizacional, grupos, estructura, políticas)
Instalación de Directorio Activo
Administración de cuentas de usuario
Administración de grupos
Administración de cuentas de equipo
CONTENIDO
Acceso a recursos (permisos NTFS y permisos
de recurso compartido)
Taller: Administración de permisos y recursos
Servicios de impresión
Administración de dispositivos y controladores
Administración de discos
Administración de almacenamiento
CONTENIDO
Implementación de políticas de seguridad
Implementación de directivas de grupo
Taller: Implementación de políticas y directivas
en un dominio
Monitoreo de Windows Server 2003
Taller: Herramientas de monitoreo de Windows
Server 2003
CONTENIDO
Copias de seguridad y restauraciones
Recuperación de desastres
Administración de plantillas de seguridad y
políticas de auditoría
Taller: plantillas de seguridad y políticas de
auditoría
CONTENIDO
DNS
WINS
DCHP
WINS
IIS (Internet Information Services)
WSUS
Terminal Services (Modo Administración y Modo de Aplicaciones)
Taller Instalación y configuración DNS
Taller Instalación y configuración WINS
CONTENIDO
DNS
WINS
DCHP
WINS
IIS (Internet Information Services)
WSUS
Terminal Services (Modo Administración y Modo de Aplicaciones)
Taller Instalación y configuración DNS
Taller Instalación y configuración WINS
CONTENIDO
Taller Instalación y configuración DHCP
Taller Instalación y configuración Terminal
Services – Modo Administración
Taller Instalación y configuración Terminal
Services – Modo Aplicaciones
CONCEPTOS BÁSICOS - ROLES
Rol Características
Controlador de Dominio
(AD)
Almacena un directorio centralizado
y administra los procesos de logon,
autenticación autorización, políticas,
seguridad, etc.
Servidor de Archivos Provee almacenamiento
centralizado y seguro para archivos
Servidor de Impresión Administra colas de impresión en
forma centralizada
Servidor DNS, WINS,
DCHP
Servicios básicos de red
CONCEPTOS BÁSICOS - ROLES
Rol Características
Servidor de Aplicaciones Servidor de correo
Servidor web
Servidor FTP
Servidor de base de datos
Servidor de streaming
Office Server, Project Server,
Workflow server, etc.
Terminal Server Provee acceso al entorno Windows
a dispositivos remotos a través del
protocolo RDP (Remote Desktop
Protocol). Modo Admon o Modo App
LA FAMILIA WINDOWS SERVER 2003
Producto Características
Windows Server 2003 –
Web Edition
Servidor web. No puede ser
controlador de dominio. Soporta
hasta 2 GB de RAM y 2
procesadores.
Windows Server 2003 –
Standard Edition
Soporta la mayoría de los servicios
sobre Windows, excepto clustering.
Ideal para ambientes
departamentales o pequeñas
empresas. Soporta hasta 4 GB de
RAM y 4 procesadores.
LA FAMILIA WINDOWS SERVER 2003
Producto Características
Windows Server 2003 –
Enterprise Edition
Servidor poderoso y con
características de alta disponibilidad
(clustering). Soporta hasta 32 GB
de RAM y 8 procesadores.
MMS (MS Metadirectory Services)
Hot Add Memory
WSRM (Windows System Resource
Manager)
LA FAMILIA WINDOWS SERVER 2003
Producto Características
Windows Server 2003 –
Datacenter Edition
Sólo disponible en versión OEM.
Soporta hasta 32 procesadores y 64
GB de RAM (en 32 bits) y hasta 64
procesadores y 512 GB de RAM (en
64 bits)
LA FAMILIA WINDOWS SERVER 2003
Producto Características
Windows Server 2003 –
R2
Mejoras en servicios de archivos y
Terminal Services.
REQUISITOS MINIMOS DE HARDWARE
Producto Requisitos mínimos
Windows Server 2003 –
Web Edition
Proc: 133 MHz; 550 MHz
recomendado
RAM: 128 MB
Disco Duro: 1.5 GB disponibles
Windows Server 2003 –
Standard Edition
Proc: 133 MHz; 550 MHz
recomendado
RAM: 128 MB; 256 MB
recomendado
Disco Duro: 2.0 GB disponibles
LA FAMILIA WINDOWS SERVER 2003
Producto Características
Windows Server 2003 –
Enterprise Edition
Proc: 133 MHz; 550 MHz
recomendado
RAM: 128 MB; 256 MB
recomendado
Disco Duro: 2.0 GB disponibles
Windows Server 2003 –
Datacenter Edition
Proc: 400 MHz; 733 MHz
recomendado
RAM: 512 MB; 1 GB recomendado
Disco Duro: 2.0 GB disponibles
GRUPOS DE TRABAJO
Es un grupo de computadores
conectados entre sí a través de una red
y que comparten recursos . También se
les denomina “peer to peer” debido a
que las máquinas comparten los
recursos sin un servidor dedicado.
ESTRATEGIAS DE AUTENTICACIÓN
Autenticación: Proceso para verificar la identidad de algo o alguien. El usuario es quién dice ser. Normalmente a través de una combinación nombre de usuario y contraseña.
ESTRATEGIAS DE AUTENTICACIÓN
Autorización: Proceso para determinar si algo o alguien tiene permisos para usar un recurso.
Cómo lo accede?
User Resource
Esquemas de Autenticación/Autorización:
Característica Grupo_Trabajo Dominio
Autenticación Local Centralizada
Compartir recursos Local y
engorrosa
Local y fácil
Definición políticas Local
(recorridos)
Centralizada
Alcance
Máximo 10
equipos
Muchos
usuarios
Componentes de Grupo de Trabajo:
-Autenticación local
-Seguridad local
-Políticas locales
WorkGroup
Domain
Componentes de Grupo de Trabajo:
Administración de Usuarios Locales:
Una cuenta de usuario es una cuenta a
la cual se le pueden otorgar derechos
en el computador en el cual es creada.
Administración de Usuarios Locales - Creación
- En la consola de Administración de
Equipos
- Usando línea de comandos:
net user [nombreDeUsuario
[contraseña | *] [opciones]]
[/domain]
Administración de Usuarios Locales - Creación
- El nombre de usuario debe ser único
- Puede contener hasta 20 caracteres excepto " / \ [ ] : ; |
= , + * ? < >
- La clave puede ser hasta de 127 caracteres. Sin
embargo, si en el entorno existen equipos con Win 9X,
se recomienda usar password de máximo 14
caracteres.
- No debería adicionarse el usuario al grupo
Administradores, al menos que sea estrictamente
necesario.
Usuarios Locales Predefinidos
- Administrador
- Invitado: Conexiones anónimas
- Support_XXXX: Cuenta de servicios de ayuda y soporte
- IUSR_NombreServidor: IIS (Conexión anónima)
- IWAM_NombreServidor: IIS
Grupos Locales Predefinidos
- Administradores: Acceso completo y sin restricciones
- Distributed COM Users: Iniciar, activar, usar objetos
COM
- Duplicadores: Replicar archivos.
- Invitados: Permite a los usuarios ocasionales iniciar
una sesión en el equipo utilizando la cuenta de invitado
y se le conceden menos capacidades que al grupo
local de usuarios.
- Operadores conf. de Red: Administrar las conf. de red
Grupos Locales Predefinidos
- Operadores de copia: Realizar copias de seguridad y
restauraciones.
- Operadores de impresión: Pueden administrar
impresoras.
- Usuarios: Pueden ejecutar aplicaciones, utilizar
impresoras locales y de red, cerrar y bloquear la
estación de trabajo pero no pueden compartir
directorios ni crear impresoras locales. Pueden crear
grupos locales nuevos pero únicamente pueden
modificar los grupos locales que ellos hayan creado.
Grupos Locales Predefinidos
- Usuarios avanzados: Pueden crear cuentas de usuario
y grupos locales pero únicamente pueden modificar y
eliminar las cuentas que ellos mismos hayan creado.
Pueden quitar usuarios de los grupos locales de
usuarios avanzados, usuarios e invitados, pero no
pueden modificar los grupos locales de
administradores u operadores de copia, ni pueden
tomar posesión de archivos, copiar o restaurar
directorios, cargar o descargar controladores de
dispositivo ni administrar los registros de auditoria y
seguridad
Grupos Locales Predefinidos
- Usuarios de escritorio remoto: Tienen el derecho de
iniciar sesión remotamente a través de RDC (Remote
Desktop Connection)
- Usuarios del monitor del sistema: Acceso remoto para
monitorear el equipo.
- Usuarios del registro de rendimiento: Acceso remoto al
registro de contadores de desempeño.
- HelpServicesGroup: Grupo de ayuda y soporte técnico
- Telnet Clients: Tienen acceso telnet al servidor.
Directivas Locales
Si se tiene un Grupo de Trabajo, la
configuración de directivas de grupos
y de usuario debe realizarse
localmente.
Se utiliza mmc (Microsoft Manament
Console). Se crea un msc o Consola.
Directivas Locales – Crear un msc
1.Haga clic en Inicio y a continuación, haga clic en Ejecutar.
2.Escriba mmc.exe y a continuación, presione ENTRAR.
Directivas Locales – Crear un msc
3.En el menú Consola, haga clic en Agregar o quitar complemento.
Directivas Locales – Crear un msc
4.Haga clic en el complemento que desea a continuación, haga
clic en Agregar.
Directivas Locales – Crear un msc
5.Haga clic en Cerrar.
6.Haga clic en Aceptar.
7. Guarde el msc.
Directivas Locales
Son de dos tipos:
- Directivas de Equipo: Configuración del equipo.
- Directivas de Usuario: Usuarios que inicien
sesión. Aplican para todos los usuarios que
inicien sesión, incluyendo al Administrador
Escritorio Remoto
- Disponible Windows 2000 Server y
productos posteriores (Windows Server
2003, XP)
- Permite administrar un servidor/PC
remotamente a través del protocolo RDP
- Utiliza el puerto TCP 3389.
Escritorio Remoto
Escritorio Remoto
- Se seleccionan los usuarios deseados o
se agregan al grupo local: Usuarios de
Escritorio Remoto.
Asistencia Remota
- Disponible Windows 2000 Server y
productos posteriores (Windows Server
2003, XP)
- Se usa para soporte técnico, resolución
de problemas, entrenamiento.
Asistencia Remota
Asistencia Remota
-El usuario puede especificar si el soporte
puede tomar control remoto de su equipo o
únicamente ver su sesión.
Asistencia Remota
-Para recibir asistencia remota, un cliente
debe generar una invitación y enviarla a un
contacto. Puede usar:
Windows Messenger email (archivo anexo) email
Asistencia Remota
Asistencia Remota
Excepciones en Firewall:
- TCP Port 3389
- TCP port 135
- %WINDIR%\System32\Sessmgr.exe
- %WINDIR%\PCHealth\HelpCtr\Binaries\Helpsvc.exe
- %WINDIR%\PCHealth\HelpCtr\Binaries\Helpctr.exe
Asistencia y Escritorio Remotos
TALLER: GRUPOS DE TRABAJO
Instalación de Windows Server 2003
- Instalación del Sistema Operativo
- Instalación del Directorio Activo
- Aplicación de Último Service Pack
- Aplicación de Parches o Hotfixes
- Guía de Aseguramiento Windows Server
2003
- MBSA
Directorio Activo
Es una base de datos distribuida con información
sobre usuarios, computadores, impresoras y casi
absolutamente cualquier objeto relacionado a la
computación en la empresa.
Directorio Activo
Administra las identidades en Windows
Server 2003 junto a las muchas identidades
que están dispersas en otros sistemas y
plataformas
Controla las directivas de seguridad y el
acceso a otros recursos.
Los usuarios pueden acceder de forma
segura a los recursos de otros dominios con
un solo inicio de sesión
Directorio Activo
Centraliza la administración de seguridad
Da una mejor delegación de la autoridad
administrativa
Elimina los problemas entre dominios
Ofrece mejoras en la administración de
dominios
Ofrece escalabilidad
Directorio Activo
Directorio Activo
Ventajas del Active Directory de Windows Server
2003:
– Mayor flexibilidad
– Coste reducido
Mejoras:
– Implementación y administración más sencilla
– Mayor seguridad
– Mejor rendimiento y confiabilidad
– Renombrar Dominios
Cuentas de usuario local vs de dominio
Cuenta de usuario local
Grupo de Trabajo Dominio
Directorio Activo
Nombre Membresía del grupo Contraseña Ruta del perfil Secuencia de comandos de inicio de sesión Carpeta principal
Más de 100 propiedades en DA
Grupo de Trabajo Dominio
Directorio Activo - Protocolos
DNS (Domain Name System)
DHCP (Dynamic Host Configuration Protocol )
SNTP (Simple Network Time Protocol)
LDAP (Lightweight Directory Access Protocol )
Kerberos: Autenticación de usuarios y equipos
Certificados X.509: Información en forma
segura
Directorio Activo - Dominio
Dominio: Es un conjunto de equipos
que comparten una base de datos de
directorio común y que se identifica
mediante un nombre de dominio DNS.
Requiere mínimo un Controlador de
Dominio.
Directorio Activo - Dominio
Las cuentas de usuarios, grupos y máquinas
son creados en el dominio
Las políticas de seguridad son definidas a nivel
del dominio
– Políticas de Contraseñas
– Políticas de Account Lockout
– Políticas de Ticket Kerberos
El dominio es una frontera de administración.
Directorio Activo - Árbol
Árbol: Es una jerarquía de dominios que comparten
un sufijo DNS. El dominio situado en la raíz del árbol
se denomina principal y los posibles subdominios
que se creen por debajo se denominan secundarios.
Directorio Activo - Bosque
Bosque: Conjunto de uno o más dominios
Active Directory que comparten una
estructura lógica común.
Directorio Activo – Unidad Organizacional
Contenedores de objetos en la jerarquía dentro de un
dominio Directorio Activo
Subdivisiones lógicas del dominio
Anidamiento
OUs no son Security Principals:
– OUs no pueden ser miembros de grupos
– No se puede asignar permisos a recursos a través de OUs
Políticas de Grupo pueden ser asociadas a OUs:
– Permite utilizar distintas políticas de usuarios, equipos y
desktops dentro de un mismo dominio.
Directorio Activo – Relaciones de Confianza
Son canalizaciones de autenticación que
se definen para que los usuarios de un
dominio puedan tener acceso a los
recursos en otro dominio.
Directorio Activo – Relaciones de Confianza
Directorio Activo – Relaciones de Confianza
Cuentas de Usuario
Es un objeto que contiene toda la información que define
un usuario en el ambiente de Windows 2003. Se usa
para:
- Habilitar a alguien para iniciar sesión en un equipo
- Habilitar que procesos y servicos corran bajo un
contexto seguro
- Administrar el acceso de los usuarios a recursos del
Directorio Activo (Carpetas, equipos, impresoras,
directorios, otros usuarios, etc.)
Cuentas de Usuario
Nombre Ejemplo
User logon name ahernand
Pre-Windows 2000 logon name Diplomado\ahernand
User principal logon name [email protected]
LDAP relative distinguished
name
CN=ahernand,CN=users,dc=dip
lomado,dc=com
Cuentas de Usuario
Cuentas de Usuario
Instalación de
Exchange Server
Pestañas Exchange ampliadas:
Aspectos generales de Exchange
Direcciones de correo electrónico
Funciones de Exchange
Cuentas de Usuario
Plantilla
Información de la cuenta:
• Ruta del perfil
• Membresía del grupo
• Secuencias de comandos de inicio de sesión
• Departamento
• Dirección
Copiar plantilla
User001
User002
User003
Cuentas de Usuario
-DSADD: Agrega objetos al directorio: dsadd user DNUsuario [-samid nombreSAM] [-upn UPN] [-fn nombre] [-mi
inicial] [-ln apellidos] [-display nombreDescriptivo] [-empid idEmpleado] [-pwd
{contraseña | *}] [-desc descripción] [-memberof grupo ...] [-office oficina] [-
tel númeroDeTeléfono] [-email correoElectrónico] [-hometel
númeroDeTeléfonoParticular] [-pager númeroDeLocalizador] [-mobile
númeroDeTeléfonoMóvil] [-fax númeroDeFax] [-iptel númeroDeTeléfonoIP] [-
webpg páginaWeb] [-title cargo] [-dept departamento] [-company compañía]
[-mgr director] [-hmdir directorioPrincipal] [-hmdrv letraDeUnidad:][-profile
rutaDeAccesoDePerfil] [-loscr rutaDeAccesoDeSecuenciaDeComandos] [-
mustchpwd {yes | no}] [-canchpwd {yes | no}] [-reversiblepwd {yes | no}] [-
pwdneverexpires {yes | no}] [-acctexpires númeroDeDías] [-disabled {yes |
no}] [{-s servidor | -d dominio}] [-u nombreDeUsuario] [-p {contraseña | *}] [-q]
[{-uc | -uco | -uci}]
Cuentas de Usuario
-DSGET: Muestra las propiedades del objeto dsget userDNUsuario ...[-dn][-samid] [-sid][-upn] [-fn] [-mi] [-ln] [-display] [-
empid][-desc][-office] [-tel] [-email] [-hometel] [-pager] [-mobile][-fax] [-
iptel][-webpg][-title][-dept][-company][-mgr][-hmdir][-hmdrv][-profile][-
loscr][-mustchpwd][-canchpwd][-pwdneverexpires][-disabled][-
acctexpires][-reversiblepwd][{-uc | -uco | -uci}][-partDNPartición[-qlimit][-
qused]]
Cuentas de Usuario
-DSMOD: Modifica las propiedades del objeto dsmod user DNUsuario ... [-upn UPN] [-fn nombre] [-mi inicial] [-ln apellidos]
[-display nombreDescriptivo] [-empid IdDeEmpleado] [-pwd (contraseña | *)]
[-desc descripción] [-office oficina] [-tel númeroDeTeléfono] [-email
direcciónDeCorreoElectrónico] [-hometel númeroDeTeléfonoParticular] [-
pager númeroDeLocalizador] [-mobile númeroDeTeléfonoMóvil] [-fax
númeroDeFax] [-iptel númeroDeTeléfonoIP] [-webpg páginaWeb] [-title cargi]
[-dept departamento] [-company Compañía] [-mgr director] [-hmdir
directorioPrincipal] [-hmdrv letraDeUnidad:] [-profile rutaDeAccesoDePerfil] [-
loscr rutaDeAccesoDeSecuenciaDeComandos] [-mustchpwd {yes | no}] [-
canchpwd {yes | no}] [-reversiblepwd {yes | no}] [-pwdneverexpires {yes |
no}] [-acctexpires númeroDeDías] [-disabled {yes | no}] [{-s servidor | -d
dominio}] [-u nombreDeUsuario] [-p {contraseña | *}][-c] [-q] [{-uc | -uco | -
uci}]
Cuentas de Usuario
-DSMOVE: Mueve el objeto dentro del directorio dsmove DNObjeto [-newname nuevoNombre] [-newparent DNPrincipal] [{-s
servidor | -d dominio}] [-u nombreDeUsuario] [-p {contraseña | *}] [-q] [{-uc | -
uco | -uci}]
Cuentas de Usuario
-DSRM: Elimina el objeto del directorio dsrm DNObjeto ... [-subtree [-exclude]] [-noprompt] [{-s servidor | -d
dominio}] [-u nombreDeUsuario] [-p {contraseña | *}][-c][-q][{-uc | -uco | -uci}]
Cuentas de Usuario
-DSQUERY: Consulta Directorio Activo dsquery user [{nodoDeInicio| forestroot | domainroot}] [-o {dn | rdn | upn |
samid}] [-scope {subtree | onelevel | base}] [-name nombre] [-desc
descripción] [-upn UPN] [-samid nombreDeSAM] [-inactive
númeroDeSemanas] [-stalepwd númeroDeDías] [-disabled] [{-s servidor| -d
dominio}] [-u nombreDeUsuario] [-p {contraseña| *}] [-q] [-r] [-gc] [-limit
númeroDeObjetos] [{-uc | -uco | -uci}]
Cuentas de Usuario
EJEMPLOS DE COMANDOS:
DSADD
DSGET
DSQUERY
DSRM
DSMOVE
PERFILES DE USUARIO
- Un perfil es una colección de carpetas y
archivos de datos que contienen información
sobre el ambiente de trabajo de un usuario
(Escritorio, accesos directos, quick launch bar,
favoritos, cookies, papel tapiz,etc.)
PERFILES DE USUARIO
Perfiles Locales:
- Son almacenados localmente en la carpeta
%Systemdrive%\Documents and Settings\%Username%
- El perfil All users extiende el perfil del
usuario
- El perfil es netamente local
PERFILES DE USUARIO
Perfiles Roaming:
- Son almacenados en una recurso compartido
- Se almacena en la ruta
\\<server>\<share<\%username%
-El usuario obtiene su perfil en cualquier
estación que inicie sesión
PERFILES DE USUARIO
Perfiles Mandatorios:
- El usuario no puede modificar su perfil
- Aunque el usuario pudiera hacer cambios,
éstos no se mantienen entre sesiones.
- El archivo Ntuser.dat se debe renombrar
como Ntuser.man
CUENTAS DE EQUIPO
- Identifica un computador en un dominio
- Se usa para autenticación y auditoría del
acceso a la red y a recursos del dominio
- Se requiere para computadores que
corren:
- Windows Server 2003
- Windows XP
- Windows 2000 (Pro y Server)
- Windows NT
GRUPOS
- Un grupo es una colección de cuentas de
usuario y equipos que se pueden administrar
como una unidad única.
-Simplifican la administración
-Pueden ser anidados
GRUPOS - CLASIFICACION
Por alcance:
- Global: Visible sólo en el dominio al cual
pertenece y en los dominios en los que se
confía.
- Dominio Local: Visible sólo en el dominio al
cual pertenece. No conf con grupo local (GT)
- Universal: Visible en todos los dominios de
un bosque.
GRUPOS - CLASIFICACION
Por tipo:
- Seguridad: Se usan para asignar permisos
a recursos. Se pueden usar también para
distribuir emails
- Distribución: Se usan sólo para distribuir
emails.
TALLER: USUARIOS, PERFILES,
GRUPOS
ACCESO A RECURSOS
Carpetas compartidas:
- Son carpetas que se pueden acceder a través de la red.
Aparecen con una mano en el explorador.
- Se comparten carpetas, no archivos
- Por defecto:
- Grupo Todos tiene el permiso de lectura
- Cuando se agrega un Grupo, tiene permiso R
ACCESO A RECURSOS
Carpetas compartidas:
- Cuando una carpeta compartida se copia:
- La original permanece compartida
- La copia no es compartida
- Cuando una carpeta compartida se mueve:
- Deja de estar compartida
ACCESO A RECURSOS
Carpetas compartidas ocultas:
- Se pueden ocultar colocando un signo pesos ($)
después del nombre de la carpeta compartida.
- El usuario no puede verlas a través de su interfase, pero
sí puede acceder a ellas a través de la ruta UNC
(Universal Naming Convention): \\server\secrets$
ACCESO A RECURSOS
Carpetas compartidas de administración:
- Creadas automáticamente para desarrollar tareas de
administración.
- C$, D$, E$, …
- Admin$ : C:\Winnt
- Print$: Systemroot\System32\Spool\Drivers
- IPC$
- FAX$
ACCESO A RECURSOS
Quiénes pueden crear carpetas compartidas:
-En un controlador de dominio:
- Miembros del grupo Administradores
- Miembros del grupo Operadores del servidor
- En un servidor miembro stand alone:
- Miembros del grupo Administradores
- Miembros del grupo Usuarios avanzados
ACCESO A RECURSOS
Permisos de carpetas compartidas:
Permiso Permite
Lectura - Ver archivos y sus atributos
- Ver nombres de archivos y subcarpetas
- Ejecutar programas
Cambio - Agregar archivos y carpetas
- Cambiar datos en archivos
- Eliminar archivos y carpetas
Control total - Incluye todos los de Lectura y Cambio
- Permite cambiar los permisos NTFS
DEMOSTRACIÓN: RECURSOS
COMPARTIDOS
ACCESO A RECURSOS
NTFS (NT File System). Permite:
- Confiabilidad
- Seguridad Permisos, logs, auditoría
- Administración almacenamiento
Importante: No es accesible desde DOS
ACCESO A RECURSOS
Permisos NTFS:
- Definen el tipo de acceso otorgado a un
usuario, grupo o equipo sobre un objeto.
- Se aplican sobre archivos, carpetas, carpetas
compartidas e impresoras.
- Se pueden asignar a usuarios y grupos en el
Directorio Activo o localmente.
ACCESO A RECURSOS
Permisos estándares: Más frecuentes y utilizados
ACCESO A RECURSOS
Permisos estándares para archivos:
- Control total
- Modificar
- Leer y ejecutar
- Escribir
- Leer
ACCESO A RECURSOS
Permisos estándares para carpetas:
- Control total
- Modificar
- Leer y ejecutar
- Escribir
- Leer
- Listar contenido de carpetas
ACCESO A RECURSOS
Permisos estándares para carpetas:
- Control total
- Modificar
- Leer y ejecutar
- Escribir
- Leer
- Listar contenido de carpetas
ACCESO A RECURSOS
Al copiar:
- Cuando se copian archivos o carpetas ellos heredan el
permiso de la carpeta madre destino (si es NTFS).
Al mover:
- Cuando se mueven archivos o carpetas en la misma
partición, los permisos se mantienen.
- Cuando se mueven archivos o carpetas a una partición
diferente, se heredan los permisos de la carpeta madre
destino (si es NTFS).
ACCESO A RECURSOS
ACCESO A RECURSOS
ACCESO A RECURSOS
ACCESO A RECURSOS
Herencia de permisos:
Por defecto, los permisos otorgados a una capeta madre
son heredados por los archivos y las subcapertas
contenidos en ella.
Esta herencia se puede evitar y existen dos opciones:
- Copiar los permisos heredados de la carpeta madre o
- Remover los permisos heredados y conservar sólo los
permisos explícitos (no heredados)
DEMOSTRACIÓN: PERMISOS
EFECTIVOS
ACCESO A RECURSOS
Permisos combinados:
-Por defecto, el grupo Todos tiene el permiso de
Lectura
-Para acceder a un archivo o carpeta, se debe
contar con los respectivos permisos: de recurso
compartido y NTFS
-Cuando se combinan permisos de recurso
compartido y NTFS, el permiso resultante es el
más restrictivo.
ACCESO A RECURSOS
Mejores prácticas:
- Otorgar permisos a grupos en lugar de usuarios
- Agrupar los recursos para simplificar
- Permitir sólo el nivel de acceso que se requiere
- Otorgar los permisos de RX para carpetas de
aplicaciones
- Otorgar los permisos de RXW para carpetas de
datos
TALLER: RECURSOS COMPARTIDOS
SERVICIOS DE IMPRESIÓN
- Servidor de impresión: Es donde los clientes envían
los documentos y se encolan los trabajos de impresión.
- Impresora lógica: Es una interfase de software entre
las aplicaciones y el dispositivo de impresión. Está
instalada en el servidor de impresión.
- Impresora física/Dispositivo de impresión:
Hardware que produce la salida de impresión. Puede
estar conectado directamente al servidor de impresión o
directamente a la red con su propia tarjeta de red.
SERVICIOS DE IMPRESIÓN
1. Un usuario en un equipo cliente Windows decide
imprimir un documento.
2. Si el documento se envía desde una aplicación
Windows, la aplicación llama a la interfaz de dispositivo
gráfico (GDI) que, a su vez, llama al controlador de
impresora asociado a la impresora de destino. Con la
información de documento procedente de la aplicación, la
GDI y el controlador intercambian datos para procesar el
trabajo de impresión en el lenguaje de la impresora y, a
continuación, lo transfieren a la cola de impresión del
equipo cliente.
SERVICIOS DE IMPRESIÓN
3. El equipo cliente entrega el trabajo de impresión al
servidor de impresión.
4. En el servidor de impresión, los trabajos de impresión
procedentes de clientes Windows XP, Windows 2000 o
Windows NT 4.0 utilizan el tipo de datos de metarchivo
mejorado (EMF). Muchas otras aplicaciones utilizan el tipo
de datos RAW (preparado para imprimir).
5. El enrutador del servidor transfiere el trabajo de
impresión al proveedor de impresión local del servidor
(componente de la cola de impresión), que pone en la cola
el trabajo (lo escribe en el disco).
SERVICIOS DE IMPRESIÓN
6. El proveedor de impresión local sondea al procesador
de impresión. El procesador de impresión reconoce el tipo
de datos del trabajo y recibe el trabajo de impresión. A
continuación, el procesador de impresión convierte el
trabajo de impresión según su tipo de datos.
7. El control del trabajo de impresión se pasa al
procesador de páginas de separación, que agrega una
página de separación, si se especifica, al principio del
trabajo.
SERVICIOS DE IMPRESIÓN
8. El trabajo sale de la cola de impresión hacia los
monitores de impresión.
9. La impresora recibe el trabajo de impresión, convierte
cada página al formato de mapa de bits y lo imprime.
SERVICIOS DE IMPRESIÓN
Impresión sin un servidor:
- Los usuarios no conocen el estado actual de la
impresora.
- Cada computador tiene su propia cola, que muestra los
trabajos enviados desde ese computador.
- El usuario no puede determinar cómo están sus trabajos
de impresión con respecto a los enviados por otros
usuarios.
SERVICIOS DE IMPRESIÓN
Impresión sin un servidor:
- Los mensajes de error (atasco o falta de papel) aparecen
en la cola del computador que envió el trabajo.
SERVICIOS DE IMPRESIÓN
Impresión con un servidor:
- El servidor de impresión administra la configuración de
los controladores de impresoras.
- La cola de impresión (única) aparece en todos los
computadores que tienen conectada la impresora.
- Los errores de impresión son visibles en todos los
computadores.
- Se pueden centralizar los registros de impresión.
SERVICIOS DE IMPRESIÓN
Tipos de impresoras:
- Impresora local: Directamente conectadas al
servidor de impresión a través de LPT, USB o IR.
- Impresora de red: Usan TCP/IP, IPX o AppleTalk
SERVICIOS DE IMPRESIÓN
Permisos de impresoras compartidas:
- Imprimir.
- Administrar impresoras: Control de la impresora:
pausar, reiniciar, cambiar la configuración de la
cola, compartir, configurar permisos, cambiar
propiedades.
- Administrar documentos: Pausar, rearrancar,
reiniciar, cancelar, reordenar. No permite imprimir.
SERVICIOS DE IMPRESIÓN
Permisos por defecto:
Grupo Imprimir Administrar
Documentos
Administrar
Impresoras
Administradores X X X
Creator Owner X
Todos X
Usuarios avanzados X X X
Operadores de
Impresión
X X X
Operadores de
Servidor
X X X
SERVICIOS DE IMPRESIÓN
Controladores (Drivers) de impresora:
- Software que permite que los programas del
computador se comuniquen con la impresora
- Traduce la información que se envía desde el
computador al “lenguaje” de la impresora
SERVICIOS DE IMPRESIÓN
Controladores (Drivers) de impresora:
- Tiene los siguientes tipos de archivos:
- Configuración: Propiedades y preferencias de
la impresora. Extensión dll
- Archivo Data: Capacidades de la impresora.
Extensiones dll, pcd, gd, ppd
- Archivo de gráficos de impresora: Extensión
dll
SERVICIOS DE IMPRESIÓN
Spool de impresión:
- Es un ejecutable que administra el proceso de
impresión:
- Busca la ubicación del controlador
- Carga el controlador
- Realiza el proceso de impresión
SERVICIOS DE IMPRESIÓN
Spool de impresión:
- Localización de la carpeta de spool:
\\SystemRoot\System32\Spool\Printers
SERVICIOS DE IMPRESIÓN
Cambiar la ruta del spool:
- Mejorar performance
- Resolver problemas de espacio
- Reducir la fragmentación en la partición boot
- Mejorar la seguridad
- Implementar cuotas de disco
- Mejorar la confiabilidad
DEMOSTRACIÓN: CAMBIAR EL
DIRECTORIO SPOOL
SERVICIOS DE IMPRESIÓN
Prioridades de impresión:
Se establecen prioridades entre impresoras para
priorizar documentos que se imprimen en el
mismo dispositivo.
Los usuarios pueden enviar documentos críticos a
una impresora de alta prioridad y documentos no
críticos a una impresora de baja prioridad.
SERVICIOS DE IMPRESIÓN
Prioridades de impresión:
- Apuntar dos o más impresoras al mismo
dispositivo.
- Configurar prioridades diferentes a cada
impresora conectada al dispositivo de impresión.
(Prioridad más alta: 99, Prioridad más baja: 1)
- Crear grupos de usuarios con permisos a una y
otra impresora.
DEMOSTRACIÓN: PRIORIDADES
DE IMPRESIÓN
SERVICIOS DE IMPRESIÓN
Programación de la disponibilidad de impresión:
- Se utiliza para programar la impresión de
grandes volúmenes de documentos
- Se deben configurar diferentes impresoras al
mismo dispositivo y configurar cada una de
ellas para que estén disponibles a diferentes
horas.
SERVICIOS DE IMPRESIÓN
Programación de la disponibilidad de impresión:
- Establecer seguridad para limitar el uso de las
impresoras
- Difundir sobre la disponibilidad de las
impresoras
- Mantener suficiente espacio en disco para
encolar los trabajos de impresión retenidos.
DEMOSTRACIÓN: DISPONIBILIDAD
DE IMPRESORAS
SERVICIOS DE IMPRESIÓN
Pool de impresoras:
- Es una impresora (lógica) apuntando a múltiples
dispositivos de impresión.
- Los documentos son enviados al primer
dispositivo disponibles.
- El controlador debe ser compatible con todos los
dispositivos de impresión del pool.