Resumen Tema 4

Tema - 4: Administración de Políticas de Grupo:

4.1. Introducción:

Este capítulo introduce una de las herramientas que incluye Windows Server 2003.

Las políticas de grupo permiten establecer de forma centralizada múltiples aspectos de la configuración que reciben los usuarios cuando se conectan a una máquina del dominio.

4.2. Objeto de Política de Grupo (GPO):

En cada sistema Windows Server 2003, forme parte o no de un dominio, existe una política local que el administrador puede editar según su criterio para ajustar el comportamiento de dicho equipo. Cuando hay muchos equipos que administrar, resultaría incómodo tener que establecer este comportamiento uno por uno. Por este motivo, las políticas de grupo se han integrado dentro de la administración del Directorio Activo.

Los GPOs se crean y posteriormente se vinculan a distintos contenedores del Directorio Activo (sitios, dominios y unidades organizativas), de forma que los usuarios y equipos que se ubican dentro de estos contenedores reciben los parámetros de configuración establecidos en dichos GPOs.

Dentro de cada GPO, las políticas se organizan jerárquicamente en un árbol temático que permite una distribución lógica de las mismas.

Existen dos nodos principales que separan las configuraciones para equipos y para usuarios:

La configuración del equipo y la configuración de usuario.

4.3. Aplicación de Políticas de Grupo:

Las políticas de grupo son heredables y acumulativas.

Desde el punto de vista de un equipo o de un usuario concretos, la lista de GPOs que les afecta depende de su ubicación en Directorio Activo: esta lista incluye todos los GPOs vinculados a los contenedores por los que hay que pasar para llegar desde el sitio (y dominio) hasta la unidad organizativa concreta donde ese equipo o usuario se ubica.

Existe una relación "muchos a muchos" entre contenedores y GPOs: un mismo GPO puede vincularse a múltiples contenedores y un contenedor puede tener vinculados múltiples GPOs.

4.4. Políticas de Grupo y grupos de seguridad:

Como todos los objetos del Directorio Activo, los GPOs poseen listas de control de acceso (o DACLs). Estas DACLs establecen qué usuarios y grupos pueden leer, escribir, administrar, etc., dichos objetos. En el caso concreto de los GPOs, esta asociación de permisos a grupos de usuarios (o grupos de seguridad) permite filtrar el ámbito de aplicación de un GPO y delegar su administración.

4.4.1. Filtrar el ámbito de aplicación de un GPO:

Uno de los permisos de cada GPO es "Aplicar directiva de grupos" (o, simplemente, Aplicar). Por defecto, este permiso lo tienen concedido el grupo Usuarios autentificados, que incluye en la práctica a todos los usuarios del dominio.

4.4.2. Delegar la administración de un GPO:

Cualquier usuario o grupo que tenga concedido el permiso de Control Total sobre

un GPO puede administrarlo. Por defecto, en este caso se encuentran:

El grupo Administración de Empresas, el grupo Administradores del Dominio, el creador del GPO (Creator Owner), y el sistema (System).

4.5. Principales políticas incluidas en un GPO:

Cada GPO consta de un árbol de políticas, subdividido en su nivel más alto en dos subárboles denominados Configuración de equipo y Configuración de usuario. La jerarquía de políticas en cada uno de ellos se subdivide en tres grupos: Configuración de Software, Configuración de Windows, Plantillas Administrativas.

4.5.1. Plantillas administrativas:

Este grupo contiene todas las configuraciones de políticas basadas en el registro de Windows 2003, incluyendo aquellas que controlan el funcionamiento y apariencia del escritorio, de los componentes de Windows Server 2003 y de algunas aplicaciones que utilizan estas políticas.

4.5.2. Configuraciones de seguridad:

Centrándonos en los aspectos de seguridad a nivel de equipo, podemos destacar:

• Políticas de Cuentas. Se pueden configurar aspectos sobre el plan de cuentas, tales como caducidad de contraseñas, bloqueo de cuentas, etc.
• Políticas Locales. Bajo este apartado se encuentran las configuraciones que corresponden a la configuración de la auditoría, la asignación de derechos y privilegios de usuario y las opciones de seguridad.
• Registro de Eventos. Aquí se controla el registro de eventos en los registros de aplicación, seguridad y sistema, que posteriormente pueden visualizarse con la herramienta Visor de Sucesos.

4.5.3. Instalación de software:

Mediante este apartado se puede asignar y/o publicar aplicaciones a equipos o a usuarios en el dominio:

• Asignar una aplicación significa que los usuarios que la necesitan la tienen disponible en su escritorio sin necesidad de que un administrador la instale.
• Publicar una aplicación a un equipo o usuario le da la oportunidad al usuario de instalar dicha aplicación bajo su voluntad, pero no se realiza ninguna acción automática en el equipo.

4.5.4. Guiones (Scripts):

Los scripts pueden implementarse en cualquiera de los lenguajes que entiende el soporte de scripts independiente del lenguaje de Windows Server 2003, o Windows Scripting Host. Ahora existen soportes para Visual Basic Scripting Edition, Java Script, PERL y los tradicionales archivos por lotes MS-DOS. Posiblemente en el futuro se incluya un soporte para otros lenguajes como Tcl-Tk o

Python. Existen cuatro tipos de scripts principales:

• Inicio (equipo). Se ejecuta cada vez que el equipo arranca.

• Apagado (equipo). Se ejecuta cada vez que el equipo va a detenerse.
• Inicio de sesión (usuario). Se ejecuta cada vez que el usuario inicia una sesión interactiva (local) en un equipo.
• Cierre de sesión (usuario). Se ejecuta cada vez que el usuario se finaliza una sesión interactiva en un equipo.

4.5.5. Redirección de carpetas:

Este grupo de políticas permite redirigir la ubicación local predefinida de ciertas

carpetas particulares de cada usuario ("Mis Documentos" o el menú de inicio, como por ejemplo el recurso \\servidor\home\%username%) a otra ubicación, bien sea en la misma máquina o en una unidad de red.

4.5.6. Otras políticas:

Existen muchas otras políticas, entre ellas podemos destacar, el Mantenimiento de Internet Explorer (controla la apariencia y la configuración personal del navegador para cada usuario), y los Servicios de Instalación Remota (permiten configurar automáticamente las opciones de instalación de clientes Windows).

4.6. Recomendaciones de uso:

Las reglas básicas para simplificar el diseño y la administración de Políticas de Grupo, que un administrador debería de tener en cuenta son:
Administración de GPOs, separar usuarios y equipos en unidades organizativas diferentes, organización homogénea de unidades organizativas, minimizar los GPOs asociados a usuarios o equipos, minimizar el uso de "No reemplazar" y de "Bloquear la herencia", evitar asignaciones de GPOs entre dominios, utilizar el proceso Loopback (Política de Grupo "de bucle inverso" o En otras palabras, conseguir que nunca se apliquen las políticas de usuario, independientemente del usuario que inicie una sesión local en dichos equipos) sólo cuando sea necesario.

Texto sacado de temario de ASO.

Enlace a página de interés.

Módulo: Administración de sistemas operativos.

Realizado por: Raquel Esquinas Chaparro. 

Curso: 2º ASIR.

Resumen Tema 3

Tema 3. Administración de dominios Windows 2003 Server

3.1. Introducción

Aquí se explicarán conceptos fundamentales que soportan el Directorio Activo (Active Directory) tales como: 

La administración del mismo, incluyendo los principales objetos que pueden definirse en el mismo.

La compartición de recursos entre sistemas.

Y la delegación de tareas administrativas dentro de un dominio.

3.2. El Directorio Activo

Dominios Windows 2003 y el Directorio Activo

La mejor forma de aprovechar la característica principal de intercambiar información entre ordenadores conectados a una red, es la creación de un dominio, en donde toda la información se encuentra centralizada en uno o varios servidores, facilitando la labor del administrador. Una de las ventajas fundamentales es que separa la estructura lógica de la organización (dominios) de la estructura física (topología de red).

Estándares relacionados

Windows 2003 proporciona compatibilidad con muchos protocolos y estándares existentes, algunos de ellos son:

• DHCP, DNS, SNTP, LDAP, Kerberos V5, entre otros.

El Directorio Activo y DNS

El Directorio Activo y DNS son espacios de nombres. El Directorio Activo utiliza el DNS, para tres funciones principales: 

- Resolución de nombres: DNS permite realizar la resolución de nombres al convertir los nombres de host a direcciones IP y al revés.

- Definición del espacio de nombres: Directorio Activo utiliza las convenciones de nomenclatura de DNS para asignar nombre a los dominios. 
- Búsqueda de los componentes físicos de Active Directory: para realizar consultas en Directorio Activo.

Estructura lógica

La estructura lógica del Directorio Activo se centra en la administración de los recursos de la red organizativa, independientemente de la ubicación física de dichos recursos, y de la topología de las redes.

Dominios

La unidad central de la estructura lógica del Directorio Activo es el dominio.

El uso de dominios permite conseguir algunos objetivos como: Delimitar la seguridad, replicar información, aplicar políticas de Grupo, delegar permisos administrativos.

Múltiples dominios en la misma organización

Según los estándares de nombres DNS, los dominios de Active Directory se crean dentro de una estructura de árbol invertida, con la raíz en la parte superior. Cuando se instala el primer controlador de dominio en la organización se crea lo que se denomina el dominio raíz del bosque, el cual contiene la configuración y el esquema del bosque.

Un árbol: es un conjunto de uno o más dominios que comparten un espacio de nombres contiguo. Si existe más de un dominio, estos se disponen en estructuras de árbol jerárquicas.
Un ejemplo de al estructura arborescente:

Un bosque: es un grupo de árboles que no comparten un espacio de nombres contiguo, conectados a través de relaciones de confianza bidireccionales y transitivas.

Añadir nuevos dominios a un bosque es fácil. Sin embargo, existen ciertas limitaciones que hemos de tener en cuenta al respecto:
- No se pueden mover dominios de Active Directory entre bosques.
- Solamente se podrán eliminar dominios de un bosque si este no tiene dominios hijo.
- Después de haber establecido el dominio raíz de un árbol, no se pueden añadir dominios con un nombre de nivel superior al bosque.
- No se puede crear un dominio padre de un dominio existente.

 Los niveles funcionales son cuatro:

Windows 2000 mixto, Windows 2000 nativo, Windows Server 2003 provisional, Windows Server 2003.

Por otro lado, un bosque de dominios Windows 2003 puede estar en tres niveles funcionales: Windows 2000, Windows Server 2003 provisional, Windows Server 2003.

Relaciones de confianza

Una relación de confianza es una relación establecida entre dos dominios de forma que permite a los usuarios de un dominio ser reconocidos por los DCs de otro dominio.

Unidades Organizativas

El objetivo de las unidades organizativas es estructurar u organizar el conjunto de los objetos del directorio, agrupándolos de foma coherente. En el Directorio Activo, las unidades organizativas permiten: Delegar la administración, establecer de forma centralizada comportamientos distintos a usuarios y equipos.

Estructura física

En Active Directory, la estructura lógica está separada de la estructura física. La estructura lógica se utiliza para organizar los recursos de red mientras que la estructura física se utiliza para configurar y administrar el tráfico de red.

Sitios

Un sitio es una combinación de una o varias subredes IP que están conectadas por un vínculo de alta velocidad.

Normalmente los sitios se crean por dos razones principalmente, para optimizar el tráfico de replicación y para permitir que los usuarios se conecten a un controlador de dominio mediante una conexión confiable.

Controladores de dominio

Un controlador de dominio (Domain Controller, DC) es un equipo donde se ejecuta

Windows 2003 Server y que almacena una replica del directorio.

La información almacenada en cada controlador de dominio se divide en tres categorías (particiones): dominio, esquema y datos de configuración.

Servidor de catálogo global

El catálogo global cumple dos funciones importantes en el directorio:

- Permite que un usuario inicie una sesión en la red mediante el suministro de la información de pertenencia a grupos universales a un controlador de dominio cuando inicia un proceso de sesión.

- Permite que un usuario busque información de directorio en todo el bosque, independiente de la ubicación de los datos.
Operaciones de maestro único

Todos los bosques de Active Directory deben tener controladores de dominio que

cumplan dos de las cinco funciones de operaciones de maestro único. Las funciones

para todo el bosque son:

Maestro de esquema, Maestro de nombres de dominio, Maestro de identificadores relativos (RID), Emulador de controlador de dominio principal (PDC), Maestro de infraestructuras.

3.3. Objetos que administra un dominio

Este apartado expone con detalle los principales tipos de objetos que pueden

crearse en el Directorio Activo de Windows 2003:

Usuarios globales

En la administración de sistemas Windows 2003 independientes (administración local),

se crean en los sistemas cuentas de usuario y de grupo que sirven para identificar y autentificar a las personas (usuarios) que deben poder acceder al sistema y administrar los permisos y derechos a los usuarios.

Grupos

Existen tres clases de grupos de seguridad (o, de forma más precisa, se pueden definir grupos de tres ámbitos distintos): Grupos locales del dominio, Grupos globales, Grupos universales.

Equipos

La misma base de datos tanto de grupos como de usuarios de directorio recoge también una cuenta de equipo por cada uno de los ordenadores miembro de un dominio.

Entre otras informaciones, en cada una de estas cuentas se almacena el nombre

del ordenador, así como un identificador único y privado que lo identifica unívocamente.

3.4. Compartición de recursos

Cuando un sistema Windows 2003 participa en una red (grupo de trabajo o dominio),

puede compartir sus recursos con el resto de ordenadores.

Existen tres tipos:

Permisos y derechos.

Compartición dentro de un dominio.

Mandatos Windows 2003 para compartir recursos.

- Mandato net share: Crea, elimina o muestra recursos compartidos.

- Mandato net use: Conecta o desconecta un equipo de un recurso compartido o muestra información acerca de las conexiones del equipo.

3.5. Delegación de la administración

Para delegar, total o parcialmente, la administración de una unidad organizativa existe un asistente (wizard) que aparece cuando se selecciona la acción Delegar el control... en el menú contextual de la unidad organizativa. Este asistente pregunta básicamente los dos aspectos propios de la delegación: a quién se delega y qué se delega.
Texto sacado de temario de ASO.
Enlace a página de interés.

Módulo: Administración de sistemas operativos.

Realizado por: Raquel Esquinas Chaparro.

Curso: 2º ASIR.

Resumen Tema 2

Tema 2. Protección local en Windows 2003 Server.

2.1. Concepto de usuario: Nació para el control de personas que pueden entrar en un sistema (en este caso hablamos del sistema Windows 2003) y de las acciones que dichas personas están autorizadas a ejecutar. Como características especiales hay que destacar que tiene además de un nombre, tiene un SID (Identificador seguro).

2.2. Concepto de grupo: Permite agrupar de manera lógica a los usuarios y establecer permisos y restricciones a la vez. También poseen un nombre y un SID que los identifica.

Windows 2003 tiene una serie de usuarios y grupos integrados ya en el sistema que no se pueden borrar llamados “Built-in users” que son el administrador y el invitado y los  “Built-in groups” que son Administradores, Operadores de Copia,

Usuarios Avanzados, Usuarios, e Invitados.

2.3. Derecho o privilegio: es un atributo de un usuario o grupo que le permite realizar una acción que afecta al sistema en su conjunto y no a un objeto o recurso en concreto.

Permiso: es una característica de cada recurso (carpeta, archivo, impresora…) del sistema, que concede o deniega el acceso al mismo a un usuario o grupo concreto. Por ejemplo listar carpetas, leer, escribir, ejecutar etc.

2.4. Cuando un usuario es autorizado a conectarse interactivamente a un sistema Windows 2003, el sistema construye para él una acreditación denominada Security Ac-cess Token o SAT. Esta acreditación contiene la información de protección del usuario, y Windows 2003 la incluye en los procesos que crea para dicho usuario. Se utilizan para controlar los accesos que el proceso realiza a los recursos del sistema en nombre de dicho usuario.

2.5. Principales derechos de usuario en Windows 2003:

DERECHOS DE CONEXIÓN:

Acceder a este equipo desde la red e inicio de sesión local.

PRIVILEGIOS:

Hacer copias de seguridad, añadir estaciones al dominio (permite al usuario añadir ordenadores al dominio actual), restaurar copias de seguridad, atravesar carpetas, instalar manejadores de dispositivos (Plug and Play) entre otros.

2.6. En un sistema de archivos NTFS de Windows 2003, cada carpeta o archivo posee los siguientes atributos de protección:

SID del propietario, lista de control de acceso de protección, lista de control de acceso de seguridad.

• La lista de control de acceso de protección se divide realmente en dos listas, cada una de ellas denominada Discretionary Access Control List (lista de control de acceso discrecional) o DACL. Cada elemento de una DACL se denomina Access Control Entry (entrada de control de acceso) o ACE. Cada entrada liga a un SID de usuario o grupo con la concesión o denegación de un permiso concreto.

2.7. Reglas de protección que controlan la comprobación de permisos a carpetas y archivos son:

• Una única acción de un proceso puede involucrar varias acciones individuales sobre varios archivos o carpetas.
• Los permisos en Windows 2003 son acumulativos.
• La ausencia un cierto permiso sobre un objeto supone implícitamente la imposibilidad de realizar la acción correspondiente sobre el objeto.
• Si se produce un conflicto en la comprobación de los permisos, los permisos negativos tienen prioridad sobre los positivos, y los permisos explícitos tienen prioridad sobre los heredados.

Texto sacado de Temario de moodle.

Enlace para ampliar información.

Módulo: Administración de sistemas operativos.

Realizado por: Raquel Esquinas Chaparro.

Curso: 2º ASIR.