Windows Server 2003: Grupos

Grupo: conjunto de usuarios, equipos, contactos y otros grupos. Los grupos simplifican la administración al permitir asignar privilegios a múltiples usuarios de una sola vez.

Tipos:

Seguridad: designa derechos de usuarios y permisos. Puede utilizarse como una lista de distribución de correo electrónico.

Distribución: asigna listas de usuarios o aplicaciones de correo electrónico. No puede usarse para asignar permisos.

Ámbito de grupo:

Global: administra objetos de directorio que requieren mantenimiento diario como las cuentas de usuarios y de equipo. Organiza los usuarios con trabajos y requisitos de acceso a la red similares. No crear un grupo global para el acceso a recursos específicos de dominio.

Universal: consolida grupos que abarcan varios dominios. Anida grupos globales para asignar permisos sobre los recursos relacionados de varios dominios.

Dominio local: define y administra el acceso a los recursos en un mismo dominio. Asigna permisos para los recursos ubicados en el mismo dominio que el grupo local. Ubica todos los grupos globales que comparten los mismos recursos en el grupo de dominio local adecuado.

Local: asigna permisos para recursos ubicados en el equipo en el que se ha creado el grupo local


El anidamiento de grupos significa agregar un grupo como integrante de otro grupo. Los grupos pueden anidarse para consolidar su administración. El diseño de la red debe limitarse a un nivel de anidamiento. Las opciones de anidamiento varía según el nivel funcional del dominio de Windows Server 2003: Windows 2000 nativo o Windows 2000 mixto.


Grupos Predeterminados y De Sistema:

Predeterminado: grupo creado durante la instalación que reciben automáticamente un conjunto de derechos de usuario. Controla el acceso a los recursos compartidos y delega tareas administrativas específicas.

De Sistema: representan a diferentes usuarios en momentos diferentes. Conceden derechos de usuario y permisos.

**Consideraciones: en lugar de agregar un usuario a un grupo predeterminado es mejor agregar el usuario a un nuevo grupo de seguridad que tenga asignado los privilegios mínimos necesarios. En lugar de iniciar sesión interactiva con credenciales administrativas es mejor iniciar una sesión sin derechos de administración y utilizar el comando "Ejecutar como:".

Administración de Red:

Centralizada: permite que un único administrador, administre los recursos de forma centralizada. Permite a los administradores localizar información y objetos de grupo. Utiliza directiva de grupo para especificar la configuración y controlar el entorno de usuario.

Desentralizada: permite la delegación de responsabilidades administrativas de red para unidades organizativas específicas a otros administradores. Permite la delegación de tareas específicas en OU.

Active Directory: Diseño, Planeamiento e Implementación.

Diseño: Recopilación de información organizativa, análisis de información organizativa, análisis de las opciones de diseño, selección de un diseño, perfeccionamiento del diseño. La salida del proceso de diseño incluye diseño de bosques y dominios, diseño de unidades organizativas y diseño de sitios.

Planeamiento: estrategias de cuentas, estrategias de auditorías, plan de implementación de sitios, unidades organizativas, software, plan de ubicación de servidores, plan de directivas de grupo.

Implementación: implementar estructura de bosques, dominios y DNS. Creación de unidades organizativas y grupos de seguridad, cuentas de usuario y equipo, directivas de grupo e implementación de sitios.

Administración de Discos:

Partición: un disco físico se divide en secciones independientes denominadas particiones. Se pueden crear hasta 24 letras de unidad. Para realizar particiones se debe inicializar y formatear el disco primero.

Los discos duros básicos pueden tener hasta 4 particiones primarias o 3 particiones primarias y 1 extendida. Las particiones primarias no se pueden subdividir.

Unidades Montadas: se le asigna una ruta de acceso en lugar de una letra de unidad. Unifica sistemas de archivos distintos e una unidad lógica. Permite agregar más unidades sin necesidad de utilizar letras de unidad.

Las unidades montadas agregan volúmenes a los sistemas, no aumenta el espacio de almacenamiento. La administración del almacenamiento de datos se basa en el entorno de trbajo y en el uso del sistema.

Discos básicos:

Se utilizan para crear un espacio separado y organizar los datos. Pueden dividirse hasta en 4 particiones primarias o 3 particiones primarias y 1 extendida.

Discos dinámicos:

Se utilizan para crear volúmenes que abarquen varios discos. No hay límite en el número de volúmenes por disco. Se utilizan para crear discos de tolerancia a errores que garanticen la integridad de los datos si se producen errores de hardware.

**Se puede convertir un disco de almacenamiento básico en dinámico en cualquier momento sin que se pierdan los datos. Los discos dinámicos se asocian con grupos de discos: los grupos de discos facilitan la organización de discos dinámicos, cada uno de los discos del grupo almacenan copias de las mismos datos de configuración, Windows inicializa el disco con la identidad de un grupo de discos y con una copia de la configuración activa del grupo de discos.**


Volúmenes:

Simple: contiene espacio en un sólo disco, unicamente puede crearse en discos dinámicos. Tiene menos restricciones que las particiones de un disco básico. Puede utilizar los sistemas de archivos FAT o FAT32 y NTFS. Puede extenderse si se formatea con NTFS.

Extendido: se crea extendiéndolo al espacio sin asignar en el mismo disco o en otro. No debe tener formato o tener formato de la versión NTFS.

Distribuido: espacio libre combinado en un volumen lógico en dos disco duros.

Seleccionado: Los datos se escriben en todos los discos en unidades de 64 Kb.

Tipos de Copia de Seguridad:

Normal: realiza copias de seguridad de todos los archivos seleccionados, independientemente de la configuración del atributo del archivo y borra el atributo de archivo de todas los archivos de los que se realizan copias de seguridad. (PRIMERA VEZ).

De Copia: identica a la copia de seguridad normal, con la diferencia de que no cambia el atributo de archivo y permite realizar otros tipos de copia de seguridad.

Diferencial: copia de seguridad de los archivos que se han modificado desde la última copia de seguridad normal. La presencia del atributo del archivo indica que el archivo se ha modificado y que únicamente se han realizado copias de seguridad en los archivos más adelante.

Incremental: crea copias de seguridad de archivos que han sufrido modificaciones desde la copia de seguridad normal o incremental más reciente.

Diaria: realiza copias de seguridad utilizando la fecha de modificación del archivo mismo y pasa por alto el estado actual del atributo del archivo.

Active Directory:

Un servicio de directorio almacena toda la información necesaria para utilizar y administrar objetos del sistema en una ubicación centralizada, simplificando el proceso de búsqueda y administración de estos recursos.

Los datos almacenados en Active Directory se organizan en objetos, que tienen atributos. El esquema de Active Directory define objetos que se pueden almacenar en Active Directory. Los atributos y las clases de esquema definen el esquema de Active Directory.

Las estructuras lógicas de una organización están representadas por los siguiente componentes de Active Directory: domino, OU, árboles y bosques.

Los componentes físicos de Active Directory son: sitios y controladores de dominio.

El catálogo global es el depósito central de información acerca de objetos de un árbol o bosque.

Active Directory replica información de dos maneras: dentro de un sitio (KCC, Knowledge Consistency Checker, genera automáticamente una topología de replicación entre controladores de domino del mismo dominio mediante una estructura de anillo) y entre sitios (se deben conectar manualmente creando vínculos a sitios, que representen conexiones de red y permitan que ocurra la replicación).


DNS: es un servicio utilizado en redes TCP/IP, como internet, para buscar equipos y servicios mediante nombres descriptivos. Active Directory utiliza DNS como servicio de ubicación de nombre de dominio.

Proceso de Diseño de la infraestructura de Active Directory:

1. creación de un plan de bosque
2. creación de un plan de dominio
3. creación de un plan de OU
4. creación de un plan de topología de sitio

**Sitio: una o más subredes TCP/IP bien conectadas (muy confiables y rápidas). Un sitio premite a los administradores configurar el acceso y la topología de replicación de Active Directory para utilizar la red física.**

Un dominio raíz del bosque es el primer dominio que se crea en un bosque de Active Directory. El dominio raíz del bosque debe ser administrado de forma centralizada por una organización TI responsable de la jerarquía de dominios, los nombres y las decisiones de directiva.

Antes de realiza runa copia de seguridad de datos de Active Directory se debe preparar los archivos que se desean copiar.

Active Directory y el Directorio Sysvol también se incluyen en los datos de estado de sistema. Por lo tanto, al hacer una copia de seguridad de datos de Active Directory se debe especificar que sólo se desean copiar datso de estado dee sistema.

Es posible realizar una copia de seguridad de datos de Active Directory a petición, o bien, progrmar la operación de copia de seguridad para que se realice diriamente, semanalmente, mensualmente, solo una vez, al iniciar el sistema, al iniciar sesión o cuando esté inactivo.

Derechos y Permisos

Derechos: los derechos de usuario se asignan a cuentas de usuario y de grupo y se aplican mediante un GPO a sitios, dominios y OU.

Permisos: relacionados con objetos se asignan a cuentas de usuario y de grupo.

**GPO: Group Policy Object, Es el conjunto de opciones de directiva de grupo. Los GPO son escencialmente documentos creados por el editor de objetos de directiva de grupo. Los GPO se almacenan en el nivel de dominio y afectan a los usuarios y equipos incluidos en sitios, dominios y OU**

Las directivas de cuenta se diferencian de otras directivas de seguridad porque sólo se pueden aplicar al dominio raíz del árbol de dominios. No se pueden aplicar a sitios ni a OU.

De manera adicional, puesto que los derechos de usuario forman parte de un GPO, pueden sobrescribirse, dependiendo del GPO que afecta al equipo o usuario.

Estructura del Directorio Activo

Directorio Activo: (Active Directory) es el servicio de directorio incorporado en Microsoft Windows Server 2000/2003, excepto en Web edition. Almacena información acerca de objetos de la red y facilita la búsqueda y utilización de esa información por parte de usuarios y administradores.

El Directorio Activo posee:

Dominio: estructura fundamental. Permite agrupar todos los objetos que se administrarán de forma estructurada y jerárquica.

Espacio de nomenclatura: conjunto de nombre que representan a un dominio y sirve para representar a todos sus objetos (dominio.com).

Bosque: colección de árboles de directorio que no comparten un espacio de nomenclatura contiguo, pero si tienen un esquema común y catálogo global. (dominio.com; domino2.com)

Árbol de dominio de directorio activo: estructura jerárquica de dominios que comparten un espacio de nomenclatura contiguo, un esquema común y un catálogo global común. Cuando se añade un nuevo dominio a un árbol de dominios ya existente, automáticamente se establece una relación de confianza transitiva entre todos ellos.

Unidad Organizativa: unidad jerárquica inferior del dominio que puede estar compuesta por una serie de objetos y/o por otras unidades organizativas u OU.

Grupos: conjunto de objetos del mismo tipo y se utilizan fundamentalmente para la asignación de derecho de acceso a los recursos.

Objetos: representación de un recurso de red (usuario, computador, impresora, etc.).


El Directorio Activo se ejecuta con el comando DCPROMO en la consola de windows.

Windows Server 2003

Sistema Operativo de Microsoft diseñado para realizar tareas administrativas como servidor de un dominio, a través de herramientas administrativas.

La familia de Windows Server 2003 está formada por las siguientes versiones:

Web Edition
Standard Edition
Enterprise Edition
Datacenter Edition

Antes de instalar se debe considerar el modo de licencia que se va a utilizar. Windows Server 2003 soporta dos tipos de licencia:

Por Servidor: Este tipo, asigna un número de licencias al servidor que permitirán realizar conexiones con un determinado producto de servidor. Cuando un usuario se conecte con el producto del servidor en dicho servidor, la conexión consume una licencia que, cuando dicho usuario se desconecte, quedará libre para su utilización por otro usuario. Es necesario cmo mínimo, disponer del mismo número de licencias en cada servidor que de estaciones que vayan a conectarse un un momento dado. Suele ser la instalación más económica para redes en que las estaciones se conectan a un único servidor.

Por dispositivo o por usuario: en este tipo, se requiere una licencia de acceso de cliente por cada dispositivo o usuario que se conecte al producto del servidor seleccionado. Una vez que el dispositivo o el usuario disponga de una licencia, puede tener acceso a cualquier servidor en el que se ejecute el producto. Suele ser la instalación más económica si se realizan conexiones a más de un servidor. Se neceista una organización de acceso de cliente para cada equipo que tenga acceso al servidor para servicios básico de red.

**En caso de no estar seguro del modo de licencia que se necesita, es preferible seleccionar POR SERVIDOR, ya que se puede cambiar posteriormente sin ningún problema**