IDP: 2015

domingo, 31 de mayo de 2015

Supervisión del rendimiento del sistema.

Administrador de tareas: Podemos ver los programas que se están ejecutando en ese momento en el equipo. Se puede finalizar programas, cambiar de programa o iniciar uno nuevo.

Para iniciar el Administrador de tareas existen varias formas como por ejemplo:

Ctrl + alt + supr
Ctrl + shift + esc

El administrador de tareas consta de 6 fichas y cada una alberga una función diferente. Estas fichas son:

Aplicaciones.
Procesos.
Servicios.
Rendimiento.
Funciones de red.
Usuarios.

Ficha aplicaciones:

Se muestran las aplicaciones que están siendo ejecutadas.

Finalizar tarea à Si seleccionamos una aplicación y luego seleccionamos aquí, la aplicación se cerrará.

Cambiar a à Si seleccionamos una aplicación y luego seleccionamos aquí, nos mostrará la aplicación seleccionada.

Nueva tarea… à Podemos iniciar una aplicación desde esta opción.

Ficha procesos:

Nos muestra información de los procesos que se están ejecutando en el sistema.

Información sobre el nombre de la imagen, el nombre de usuario, CPU, memoria, descripción.

Si le damos a Finalizar proceso a alguna imagen, se cerrará cualquier programa abierto asociado a esta imagen, sin guardarse. Si se finaliza un proceso del sistema, el sistema podría quedar en un estado inestable.

Ficha servicios:

Nos muestra información sobre los servicios que se están ejecutando en el sistema.

Información acerca del nombre, PID, descripción, estado y agrupación.

En Servicios podemos iniciar o detener un servicio.

Ficha rendimiento:

Nos muestra información actualizada sobre el rendimiento del equipo, gráficos de utilización de memoria y CPU, número total de identificadores, procesos y subprocesos, que se están ejecutando, tamaño total (MB) de memoria física y kernel.

En Monitor de recursos… nos lleva al monitor de rendimiento con información de CPU, Disco, Red y Memoria.

Ficha funciones de red:

Nos muestra información gráfica sobre las redes que están funcionando en el equipo.

Ficha usuarios:

Nos muestra información acerca de los usuarios conectados al equipo, el estado de conexión, el nombre del cliente y la información se sesión.

En Desconectar podemos desconectar al usuario.

En Cerrar sesión cerramos la sesión.

Y en Enviar mensaje… podremos enviar un mensaje al usuario.

El visor de eventos: Se encarga de administrar y examinar los eventos del equipo.

Evento/suceso: Acontecimiento significativo o de una aplicación que requiere una notificación de usuario.

Registros que se muestran:

Vistas personalizadas (filtros).
Registros de Windows.

Aplicación.
Seguridad.
Instalación.
Sistema.
Eventos reenviados (equipos remotos).

Registro de aplicaciones y servicios.

Administración.
Operativos.
Analíticos.
De recuperación.
Suscripciones.

Un único equipo remoto (aunque la solución puede requerir analizar otros equipos).

Puede mostrar los siguientes tipos de sucesos:

Crítico.
Error.
Advertencia.
Información.
Auditoría correcta.
Auditoría incorrecta.

Monitor de rendimiento: Herramienta gráfica para visualizar datos sobre el rendimiento, en tiempo real y con archivos de registro. Podemos:

Reunir datos de rendimiento en tiempo real del equipo.
Ver datos reunidos, actuales o anteriores.
Presentar datos gráficamente, en un histograma o en un informe.
Exportar los datos a Office o html.

Conjunto de recopiladores de datos en Windows Server 2008:

Permite la recogida de datos de los equipos y la creación de informes de rendimiento.
Se pueden:

Registrar individualmente.
Agruparlo con otro conjunto de recopiladores para incorporarlo al registro.
Verlo en el monitor de rendimiento.
Configurarlo para que generen alertas.
Ser usado por otras aplicaciones que no sean Microsoft.

También se pueden programar para que recojan datos a horas determinadas.
Tipos:

Contadores de rendimiento.
Datos de seguimiento de eventos.
Información de configuración del sistema.
Alerta de contador de rendimiento.

Conjunto de recopiladores de datos en Windows Server 2008 utilizados para analizar el sistema:

Active Directory Diagnostics: Directorio activo.

Claves de registro.
Contadores de rendimiento.
Eventos de seguimiento.

LAN Diagnostics: Conexión LAN del equipo local.

Registro de depuración de conexiones por cable.
Claves de registro.
Información del hardware del sistema (puede ayudar a solucionar un problema de LAN).

System Diagnostics: Recoge datos para generar un informe del estado de los recursos hardware local, tiempos de respuesta del sistema y datos de configuración. Da sugerencias para optimizar el rendimiento del sistema y para agilizar las operaciones del sistema.
System Performance: Recoge los mismos datos que el anterior pero elabora informes para ver la pérdida de rendimiento del sistema. Incorpora dos carpetas:

Sesiones de seguimiento de eventos.
Sesiones de seguimiento de eventos de inicio.

La información se puede guardar en registros separados por comas, tabuladores... o en sql.

Monitor de confiabilidad:

Calcula un índice de estabilidad que refleja si hay problemas no esperados que reducen la confiabilidad del sistema.
El gráfico identifica las fechas en la que comenzaron a producirse los problemas.

Comando tracerpt: El comando tracerpt procesa los registros de seguimiento de sucesos o datos en tiempo real de proveedores de seguimiento de sucesos. Genera, entre otros, los archivos siguientes (se pueden modificar los nombres y el formato):

Dumpfile.xml: Es un archivo XML que contiene información sobre los datos guardados.
Summary.txt: Es un archivo de texto delimitado por tabuladores con un resumen del análisis del recurso de seguimiento.

miércoles, 27 de mayo de 2015

La formación de los usuarios

La asistencia a los usuarios.

viernes, 1 de mayo de 2015

Administración de acceso a dominios.

Administración de acceso a dominios

Permisos y derechos:

Establece el control de acceso de los usuarios a los recursos.
Acciones que los usuarios pueden hacer sobre los recursos.
Basado en los atributos de protección asignados a los procesos de usuario y al sistema y a sus recursos.

Derechos: Atributos de usuario que le permite realizar una acción que afecta al sistema en su conjunto.

Hay un conjunto fijo y predefinido de derechos de Windows.
Cada derecho tiene una lista de usuarios que lo tienen.

Permisos: Característica de cada recurso.

Permite o deniega el acceso a cada recurso a un usuario concreto.
Cada recurso tiene una lista de usuarios/grupos (lectura, modificación...)

Acreditación de usuarios:

Al autorizar la conexión a un usuario Windows construye el SAT (Security Access Token - Acreditación)
SAT contiene información de protección del usuario.
Windows la incluye en los procesos que crea para él.
Atributos de protección del SAT:

SID - Identificador de usuario.
SID de los grupos a los que pertenece el usuario.
Lista de derechos del usuario y del grupo.

Derechos de usuario:

Atributo para realizar una acción sobre el sistema.
El SAT tiene los derechos que el usuario tiene de manera individual y los que tiene por pertenecer a los grupos a los que pertenece.
Dos tipos de derecho:

Derechos de conexión: Diferentes formas en las que un usuario puede conectarse al sistema.

Denegar el acceso desde la red a este equipo: conectar con el ordenador desde otro equipo.
Permitir el inicio de sesión local: en el ordenador.

Privilegios: Ciertas acciones predefinidas que el usuario puede realizar una vez conectado al sistema.

Agregar estaciones de trabajo al dominio.
Hacer copias de seguridad de archivos y directorios.
Restaurar archivos y directorios.
Cambiar la hora del sistema.
Dispositivos: impedir que los usuarios instalen controladores de impresoras.
Apagar el sistema: Ordenador local.

En caso de conflicto prima el derecho.

Ejemplo: Los miembros del grupo de operadores de copia pueden hacer copias de seguridad, incluso aquellos ficherps sobre los que no tengan permisos.

Directivas de seguridad:

Los derechos están agrupados en un conjunto de reglas de seguridad que se encuentran en las directivas de seguridad.
Existen 3 tipos:

Directiva de seguridad local: Para cunado el equipo es una estación de trabajo.
Directiva de seguridad de dominio: Para cuando el equipo es un controlador de dominio y se requiere modificar la seguridad de todos los miembros del dominio.
Directiva de seguridad del controlador de dominio: Para cuando el equipo es un controlador de dominio y se requiere modificar la seguridad de todos los controladores de dominio.

Algunas directivas que se pueden establecer:

Directivas de cuentas: Políticas de cuentas o de contraseña. 3 grupos:

Contraseñas.
Bloqueo.
Kerberos.

Directiva local: Auditoría para registrar en el visor de sucesos ciertos eventos y derechos y privilegios.
Directiva de clave pública: opciones de seguridad de clave pública.

Atributos de protección de los recursos:

En un sistema de archivos NTFS cada carpeta o fichero posee los siguientes atributos de protección:

SID de propietario: Puede ser modificado.
Lista de control de acceso de protección ACL: Permisos del usuario sobre el archivo. Se suele dividir en dos listas (ambas se llaman igual):

Lista de control de acceso discrecional DACL: Cada elemento se denomina entrada de control de acceso. Une el SID con la concesión o denegación de un permiso. Son dos por el mecanismo de herencia de permisos: Cada carpeta puede heredar los permisos y definir permisos propios.

Lista de control de acceso de seguridad: Qué acciones sobre un archivo tiene que auditar el sistema. En un principio está vacía.

Asociación de permisos a recursos:

La asociación sigue una serie de reglas:

Los archivos o carpetas nuevas heredan los permisos de su carpeta.
Los usuarios con control total podrán incluir nuevos permisos.
El control sobre la herencia de permisos se realiza en dos niveles:

En cada objeto se puede decidir si se desea o no heredar los permisos de su padre.
Cuando se define un permiso en una carpeta, se puede también decidir qué objetos van a heredarlo (archivos, carpetas o subcarpetas).

Copiar un archivo a otra carpeta es un creación.
Mover un archivo supone dos casos:

Dentro del mismo volumen: Adquiere los permisos de la nueva ubicación.
Volúmenes distintos: Igual que una copia.

Permisos NTFS. Estándar y especiales:

Especiales: Controlan las acciones sobre archivos o carpetas.

Estándar: Combinaciones de los especiales que están predefinidas.

Si no se cumplen los permisos estándar, se recurre a los permisos especiales.

Reglas que controlan la aplicación de los permisos:

Una acción puede involucrar varias acciones individuales. El sistema verificará si tiene o no permisos para todas ellas. Si le falta alguno informa del error.
En Windows los permisos son acumulativos. Un proceso de usuario posee todos los permisos de los usuarios y de los grupos a los que pertenezca.
La ausencia de un permiso supone la imposibilidad de realizar la acción.
En caso de conflicto prima el negativo.

Permisos de recursos compartidos:

Los permisos sobre directorios compartidos son efectivos solo cunado se tiene acceso a dicho directorio a través de la red (no lo protegen en local).

Para los directorios locales se usan los permisos NTFS.

Los permisos de recursos compartidos se aplican a todos los archivos y subdirectorios del directorio compartido y se puede limitar el número de usuarios que pueden acceder a él simultáneamente.

Para controlar el acceso a los recursos compartidos hay 3 métodos:

Permisos de recursos compartidos que son sencillos de aplicar y administrar.
Permisos NTFS que proporcionan un control más detallado.
Combinación de los métodos anteriores (siempre se aplicará el permiso más restrictivo).

La compartición de directorios:

Al instalar el directorio activo en Windows Server se compartieron 2 carpetas:

SYSVOL: Tiene una carpeta con el nombre del dominio con dos subdirectorios.

Policies: Directivas de grupo.
Scripts: Archivos de scripts. El nombre de éste es NETLOGON.

Para ver los directorios compartidos:

Inicio --> Herramientas administrativas --> Administración de equipos. A la izquierda buscar carpetas compartidas y recursos compartidos.

Permisos de las carpetas compartidas:

Se aplican a todos los archivos y subcarpetas dentro de la carpeta.
Se puede especificar además el número máximo de usuarios.
Hay que ser administrador.
4 tipos de permisos (in crescendo)

Sin acceso.
Leer.
Cambiar.
Control total.

Recursos compartidos especiales:

Son aquellos creados por el sistema y que no deberían cambiarse (aunque el usuario puede crearlos).

Estos recursos son:

ADMIN$: Recursos para la administración remota del equipo. Corresponde a C:\\Windows.
IPC$: Recurso que comparte las canalizaciones con nombre para la comunicación entre programas.
NETLOGON: Recurso para inicio de sesión para procesar el script.
SYSVOL: Recurso para inicio de sesión para controladores de dominio.
PRINT$: Recurso para administración remora de impresoras.
FAX$: Recurso usado por los clientes en el proceso de envío de un fax.
Letra_de_unidad$: Recurso para conectar con el directorio raíz de un dispositivo de almacenamiento. Por ejemplo C$ es el recurso para conectar con el disco duro C a través de la red.

Permisos NTFS:

Para definir el acceso de u usuario a un directorio.

Solo los puede cambiar el propietario o el que haya recibido el permiso del propietario.

Afectará a los archivos y subcarpetas que desciendan de él, tanto los que ya estaban como los nuevos (herencia) aunque esto se puede cambiar.

3 formas de cambiar los permisos heredados:

Cambiar los permisos de la carpeta padre (y se cambiará la de sus hijos).
Seleccionar el permiso contrario (denegar-permitir) para sustituir el permiso heredado.
Desactivar la casilla de verificación Incluir todos los objetos...

Los permisos son:

Control total.
Modificar (Archivos).
Lectura y ejecución (Archivos).
Mostrar el contenido de la carpeta (Directorios).
Lectura (Directorios).
Escritura (Directorios).

jueves, 9 de abril de 2015

Directivas de seguridad y auditorías.

Directivas de seguridad:

1. Directivas de seguridad local:

Sirve para modificar la directiva de seguridad de un equipo que no es servidor Windows o no tiene instalado el directorio activo.
Para acceder a esta utilidad, Inicio --> Herramientas administrativas --> Directiva de seguridad local.

2. Directivas de seguridad de dominio:

Es un Windows Server controlador de dominio.
Modifica la configuración de seguridad para todos los equipos miembros del dominio.
Para acceder a esta utilidad, Inicio --> Herramientas administrativas --> Administración de directivas de grupo.

3. Directivas de seguridad de controlador de dominio:

Se realiza desde un servidor Windows Server.
Nos permite modificar todos los controladores de dominio.
Para acceder a esta utilidad, Inicio --> Herramientas administrativas --> Administración de directivas de grupo.

Las directivas de grupo:

Definen los distintos componentes de la configuración del equipo y del usuario.
Influyen en las cuentas de usuario, de grupo y de equipo.
Se aplican a dominios, sitios o unidades organizativas.

Las directivas del grupo se aplican en el siguiente orden ascendente:

Directiva de equipo local.
Directiva de usuario local.
Directiva de grupo de sitio.
Directiva de grupo de dominio.
Directiva del grupo de la unidad organizativa.
Directiva del grupo del controlador de dominio.

Si una configuración de directiva de equipo estuviera en conflicto con una configuración de la directiva de grupo del controlador de dominio, prevalecerá la de este último.

Configuración del equipo:

Al iniciarse el equipo (sin tener en cuenta el usuario). Está formada por la siguiente configuración:

Configuración de Software.
Configuración de Windows.

En la configuración de Software encontramos software para todos los usuarios.

En la configuración de Windows tenemos scripts que se ejecutan al inicio y al final y la configuración de seguridad. Esta configuración de seguridad, se divide a su vez, en el siguiente contenido:

Directivas de cuenta:

Directivas de contraseña.

Longitud mínima de la contraseña.
Vigencia máxima/mínima de la contraseña.
Y otros muchos aspectos.

Directivas de bloqueo de cuentas

Inicios erróneos de sesión.

Duración del bloqueo.
Umbral de bloqueos.
Y otros aspectos.

Directivas locales:

Directiva de auditoría.

Auditar el acceso a objetos.
Auditar eventos de inicio de sesión.
Y otros aspectos.

Asignación de derechos de usuario.

Hacer copias de seguridad.
Restaurar archivos.
Apagar el sistema.

Opciones de seguridad.

Impedir que se instalen controladores de impresora.
Permitir apagar sistema sin tener que iniciar sesión.
Desconectar a los clientes cuando expire el tiempo de inicio de sesión.

Registro de eventos:

Tamaño máximo de los distintos registros.
Conservar los distintos registros.

Servicios del sistema.

Registros:

Permisos de acceso.
Configuración de la auditoría.

Sistemas de archivos:

Permisos de acceso.
Configuración de la auditoría.

Directivas de red cableada:

Para establecer directivas sobre la red cableada.

Firewall de Windows con seguridad avanzada:

Para configurar aspectos avanzados.

Directivas de red inalámbrica:

Para establecer directivas sobre la red inalámbrica.

Directivas de restricción de software

Plantillas administrativas: Permiten administrar la configuración del equipo.

Componentes de Windows:

NetMeeting.
Internet Explorer.
Programador de tareas.
Y otros componentes.

Impresoras:

Directivas de habilitación y configuración.

Panel de control:

Directivas para habilitar y configurar el panel de control.

Configuración regional y de idioma.
Cuentas de usuario.

Red:

Directivas de habilitación y configuración de la red.

Archivos sin conexión.
Conexiones de red.

Sistema:

Directivas de habilitación y configuración del sistema.

Inicio de sesión.
Cuotas de disco.
Perfiles de usuario.
Y otros aspectos.

Configuración de usuario:

Se aplica cuando un usuario inicia sesión. Independientemente del equipo.

Configuración de software:

Configuración de software aplicada a usuarios.
Independiente del equipo.

Configuración de Windows:

Servicios de instalación remota:

Opciones disponibles para los usuarios durante el asistente para la instalación de clientes.

Script:

Script que hay que ejecutar cuando el usuario inicie o finalice sesión.

Configuración de seguridad:

Directivas de clave pública.
Directivas de restricción de software.

Mantenimiento de Internet Explorer:

Interfaz de usuario del explorador.
Conexión.
Direcciones URL.
Y otros aspectos.

Plantillas administrativas:(Configura el HKEY_CURRENT_USER).

Carpetas compartidas:

Habilitación y configuración.

Componentes de Windows (como ya vimos anteriormente).
Escritorio:

Escritorio.
Active Directory.

Menú de Inicio y barra de tareas:

Habilitación y configuración.

Panel de control:

Habilitar y configurar:

Agregar o quitar programas.
Pantalla.
Impresora.

Red:

Archivos sin conexión.
Conexiones de red.

Sistema:

Habilitación y configuración:

Perfiles de usuario.
Scripts.
Ctrl+alt+supr.
Y otros aspectos.

Directivas de grupo incorporadas por defecto:

Default Domain Policy:

Se aplica a todos los equipos del dominio.
Afecta a la configuración del equipo y a la del usuario.

Default Controller Domain Policy:

Se aplican a todos los equipos que sean controladores de dominio.
Afecta a los equipos y a los usuarios.

Para acceder a ellas: Herramientas administrativas --> Administración de directivas de dominio.

Nodo del bosque --> Nodo del dominio --> Nodo Objetos de directiva de grupo.

Botón derecho sobre la política y editar.

Trabajar con las directivas de Windows:

Para conseguir que las directivas se apliquen en un orden distinto al predefinido, al pulsar sobre ella, a la derecha aparecerá el orden. Seleccionamos el orden que queramos establecer y le damos al triángulo arriba o abajo.

Si lo que queremos es impedir que otras directivas anulen la configuración de una directiva de grupo, seleccionamos la directiva --> botón derecho --> Exigido.

Para que no se apliquen otras directivas de grupos superiores, seleccionamos la directiva --> botón derecho --> Bloquear herencia.

Para ver o modificar una directiva de grupo, seleccionamos la directiva --> Editar --> Menú acción --> Propiedades --> Seguridad y se verán los usuarios y grupos que tienen permisos y cuáles son esos permisos.

Como se puede apreciar en la imagen, se ven cuatro fichas cada cuál con su función:

Ficha ámbito:

Vínculos de la directiva de grupo (para modificar alguna, botón derecho).
En filtrado de seguridad muestra los grupos, usuarios y equipos a los que se aplica la directiva.
En los filtros WMI encontramos los filtros que se aplican a la directiva.

Ficha Detalles:

Información sobre la directiva.
En estado GPO para deshabilitar la configuración del equipo de usuario o de ambas.

Ficha configuración:

Resumen de los datos recopilados de la directiva.

Ficha delegación:

Grupos y usuarios que tienen permisos sobre la directiva de grupo.

El comando ejecutar como:

No es conveniente trabajar como administrador mas que lo estrictamente necesario.
Usuarios: tareas habituales.
Operadores: tareas habituales + instalar programas.
Administrador: tareas administrativas.
Otra opción: Ejecutar como (menú contextual).

Auditorías:

Permiten supervisar sucesos relacionados con la seguridad, los más comunes son:

Acceso a objetos.
Administración de cuentas de usuario y grupos.
Inicio y finalización de sesión de usuarios.

Auditar sucesos de seguridad:

Con el fin de:

Llevar un seguimiento de los problemas de seguridad.
Controlar la creación/modificación de objetos.
Proporcionar pruebas en caso de infracción de seguridad.

Para ello se llevan a cabo 3 pasos:

Especificar las categorías de los sucesos que se desean auditar.
Definir el tamaño y el comportamiento del registro de seguridad.
Determinar los objetos.

Directiva de auditoría:

Categorías de sucesos relacionados con la seguridad que se auditan.
Se pueden auditar:

Acceso a objetos (archivos, impresoras, carpetas...).
Acceso a servicio de directorio.
Cambio de directivas.
Seguimiento de procesos.
Uso de privilegios.
Administración de cuentas.
Sucesos de inicio de sesión (servicios).
Sucesos de inicio de sesión de cuentas (usuarios).
Sucesos del sistema (apagado, reinicio...).

Cada objeto dispone de un descriptor de seguridad (información de seguridad) con dos partes:

La lista de control de acceso discrecional: Una parte del descriptor de seguridad es usuarios y grupos que tienen acceso al objeto y los permisos concedidos yo denegados.

La lista de control de acceso al sistema: Sucesos que se van a auditar que indica:

Cuentas de grupo y usuario que se van a auditar al tener acceso al objeto.
Los sucesos de acceso que se van a auditar para cada usuario y/o grupo.
Un atributo (acierto/error) para cada suceso de acceso.

Solo se puede auditar en sistemas NTFS y se ha de especificar archivos/carpetas y usuarios.

Son acciones auditables, entre otras, las siguientes:

Recorrer carpeta.
Mostrar carpeta.
Leer atributos.
Crear archivos.
Crear carpetas.
Escribir atributos.
Eliminar carpeta.
Premisos de lectura.
Cambiar permisos.
Tomar posesión de la carpeta.
Ejecutar archivos.
Leer datos.
Escribir datos.
Anexar datos.
Eliminar archivos
Etc.

Para ver los registros de seguridad:

Ejecute la utilidad Panel de control --> Herramientas administrativas --> visor de eventos.
Pulse sobre el signo + que hay a la izquierda de Registros de Windows.
Sitúese sobre el nodo Seguridad y en el panel central se mostrarán todos los eventos correspondientes.

miércoles, 1 de abril de 2015

Aspectos avanzados del directorio activo.

Los primeros tres aspectos que vamos a abarcar ya los hemos visto anteriormente en el blog Administración de dominios, pero no está de más volver a repasarlo.

Bosques y árboles de dominio:

Cuando varios dominios comparten un esquema y un catálogo global comunes de denomina bosque. Si varios dominios tienen nombres de dominio DNS contiguos, a dicha estructura se le denomina árbol de dominios.

Árboles de dominios:

El primer dominio de un árbol de dominios se denomina dominio raíz. Los dominios adicionales del mismo árbol de dominios son dominios secundarios. Un dominio que se encuentra inmediatamente encima de otro dominio del mismo árbol se denomina dominio principal del dominio secundario.

Todos los dominios que comparten el mismo dominio raíz forman un árbol de dominios y constituyen un espacio de nombres contiguo, es decir, el nombre de un dominio secundario consta del nombre de dicho dominio mas el nombre del dominio principal.

Los dominios de Windows Server 2008 que forman parte de un árbol están unidos entre sí mediante relaciones de confianza transitivas y bidireccionales. Dado que estas relaciones de confianza son bidireccionales y transitivas, un dominio recién creado es un bosque o árbol de dominios tiene establecidas inmediatamente relaciones de confianza con todos los demás dominios existentes en dicho bosque o árbol de dominios. Estas relaciones de confianza permiten que un único proceso de inicio de sesión sirve para autenticar a un usuario en todos los dominio del bosque o del árbol de dominios. Dado que un dominio es un límite de seguridad, los derechos y permisos deben asignarse para cada dominio.

Bosques:

Un bosque está formado por uno o varios árboles de dominios. Los árboles de dominios de un bosque constituyen un espacio de nombres contiguo, como ya hemos señalado anteriormente.

Sin embargo, un bosque no tiene ningún dominio raíz propiamente dicho. El dominio raíz del bosque es el primer dominio que se creó en el bosque. Los dominios raíz de todos los árboles de dominios del bosque establecen relaciones de confianza transitivas con el dominio raíz del bosque.

Todos los dominios de todos los árboles de dominio de un bosque comparten las siguientes características:

Relaciones de confianza transitivas entre los dominios.
Relaciones de confianza transitivas entre los árboles de dominio.
Un esquema común.
Información de configuración común.
Un catálogo global común.

Al utilizar bosques y árboles de dominios, se obtiene la flexibilidad que ofrecen los sistemas de espacios de nombres contiguos y no contiguos (puede ser útil en el caso de organizaciones que tienen divisiones independientes que necesitan conservar sus propios nombres DNS).

El nivel funcional de dominios y bosques:

La funcionalidad de los dominios y los bosques, introducida en el directorio activo en Windows Server 2008, permite habilitar funciones del directorio activo para todo un dominio o bosque.

Los controladores de dominio que ejecutan Windows 2000 Server no admiten la funcionalidad de dominios y bosques.

Si todos los controladores del dominio o bosque ejecutan Windows Server 2008 y el nivel funcional se establece en Windows Server 2008, estarán disponibles todas las funciones para dominios y bosques completos. En cambio, cuando un dominio o bosque con controladores de dominio que ejecutan Windows Server 2008 incluya controladores de dominio que ejecutan Windows Server 2003 o Windows 2000, las funciones del directorio activo estarán limitadas.

El nivel funcional del dominio:

El nivel funcional del dominio habilita las funciones que afectan a un único dominio por completo.

La tabla siguiente muestra los cuatro niveles funcionales de dominios y los controladores de dominio compatibles en cada caso:

Tras elevar el nivel funcional del dominio, no podrán incluirse en dicho dominio controladores de dominio que ejecuten sistemas operativos anteriores. Por ejemplo, si se eleva el nivel funcional del dominio a Windows Server 2008, no podrán agregarse a dicho dominio los controladores de dominio que ejecuten Windows Server 2003.

Cómo ver el nivel funcional de un dominio:

Para ver el nivel funcional de un dominio, siga los pasos siguientes:

Ejecute Dominios y confianzas de Active Directory que se encuentra en Herramientas administrativas del menú inicio y verá la pantalla principal de la utilidad.
Sitúese sobre el dominio al que desea ver su modo de operación, muestre su menú contextual, seleccione Propiedades y verá una pantalla.
En ella muestra el nombre DNS del dominio, el nombre NetBios del dominio, el nivel funcional del dominio y el nivel funcional del bosque.

Cómo elevar el nivel funcional de un dominio:

Para elevar el nivel funcional de un dominio (este proceso es irreversible), siga los pasos siguientes:

Ejecute Dominios y confianzas de Active Directory que se encuentra en Herramientas administrativas del menú inicio y verá la pantalla principal de la utilidad.
Sitúese sobre el dominio al que desea elevar su nivel funcional, muestre su menú contextual, seleccione Elevar el nivel funcional de dominio y verá una pantalla parecida a la siguiente:

3. Seleccione el nivel funcional de dominio que desee (en el ejemplo, Windows Server 2003), pulse Elevar y le mostrará una pantalla de confirmación del proceso (si hubiera algún controlador de dominio con Windows Server 2003 no le permitirá elevar el nivel funcional del dominio).

4. Cuando lo desee. pulse Aceptar. Al cabo de un momento, le mostrará una pantalla de aviso. Cuando la haya leído, pulse Aceptar.

5. Compruebe que el nivel funcional del dominio ha cambiado y, cuando lo desee, cierre la utilidad.

El nivel funcional del bosque;

El nivel funcional del bosque habilita las funciones que afectan a todos los dominios de un bosque.

La tabla siguiente incluye los niveles funcionales de bosques y los controladores de dominio compatibles en cada caso:

Tras elevar el nivel funcional del bosque, no podrán incluirse en dicho dominio controladores de bosque que ejecuten sistemas operativos anteriores. Por ejemplo, si se eleva el nivel funcional del bosque a Windows Server 2008, no podrán agregarse a dicho bosque controladores de dominio que ejecuten Windows Server 2003.

Cómo ver el nivel funcional de un bosque:

Para ver el nivel funcional de un bosque, siga los pasos siguientes:

Ejecute Dominios y confianzas de Active Directory que se encuentra en Herramientas administrativas del menú inicio y verá la pantalla principal de la utilidad.
Sitúese sobre el dominio del que desea ver su modo de operación, pulse el botón derecho del ratón para que muestre su menú contextual, seleccione Propiedades y verá una nueva pantalla.
En ella se muestra el nombre DNS del dominio, el nombre NetBIOS del dominio, el nivel funcional del dominio y el nivel funcional del bosque.

Cómo elevar el nivel funcional de un bosque:

Para elevar el nivel funcional de un bosque (este proceso es irreversible), siga los pasos siguientes:

Ejecute Dominios y confianzas de Active Directory que se encuentra en Herramientas administrativas del menú inicio y verá la pantalla principal de la utilidad.
Sitúese sobre el nodo Dominios u confianzas de Active Directory, pulse muestre su menú contextual, seleccione Elevar nivel funcional del bosque y verá una pantalla parecida a la siguiente:

3. Seleccione el nivel funcional de bosque que desee (en el ejemplo, Windows Server 2008), pulse Elevar y le mostrará una pantalla de confirmación del proceso (si hubiera algún controlador de dominio con Windows Server 2003 no le permitirá elevar el nivel funcional del dominio).

4. Cuando lo desee, pulse Aceptar. Al cabo de un momento, le mostrará una pantalla de aviso. Cuando la haya leído, pulse Aceptar.

5. Compruebe que el nivel funcional del dominio ha cambiado y, cuando lo desee, cierre la utilidad.

El esquema del directorio activo:

El esquema es el conjunto de definiciones que describen las clases de objetos y los tipos de información acerca de dichos objetos que se pueden almacenar en el directorio activo. Las definiciones se almacenan en el esquema como objetos para que se puedan administrar con las mismas operaciones de administración utilizadas para el resto de los objetos del directrio.

Hay dos tipos de definiciones en el esquema (también se las conoce como objetos del esquema o metadatos):

Atributos: Es una propiedad del objeto que se define independientemente de las clases. Cada atributo sólo se define una vez y se puede utilizar en múltiples clases.
Clases:Es una categoría de objeto que comparte un conjunto de atributos y que se utiliza para describir los posibles objetos que puede haber en el directorio.

Con Windows Server 2008 se proporciona un conjunto de clases y atributos básicos. No se pueden eliminar objetos del esquema, sin embargo, los objetos se pueden marcar como desactivados, lo que proporciona muchas de las ventajas de la eliminación. Los programadores y los administradores de la red con experiencia pueden extender dinámicamente el esquema mediante la definición de nuevas clases y atributos para las clases existentes.

Recordamos que extender el esquema es una operación que puede tener consecuencias adversas.

La estructura y el contenido del esquema son controlados por el controlador de dominio que desempeña la función de maestro de operaciones de esquema o FSMO (Flexible Single Master Operations) en cada bosque y, como únicamente puede haber un esquema en cada bosque, la partición del directorio del esquema, junto con la partición de directorio de configuración, se replica a todos los controladores de dominio del bosque. El uso de este esquema común asegura la integridad y coherencia de los datos en todo el bosque.

Para el desarrollo de aplicaciones y las pruebas, se puede ver y modificar el esquema del directorio activo con el complemento Esquema de Active Directory. Previamente a su instalación, es necesario registrarlo. Para ello y desde el símbolo del sistema, escriba regsvr32 schmmgmt.dll y pulse intro. Le mostrará un mensaje en el que le indica que se ha registrado con éxito. Pulse en Aceptar cuando lo haya leído.

Objetos del esquema:

Hay dos tipos de objetos del esquema:

Los objetos Esquema de clase (classSchema) que definen una clase.
Los objetos Esquema de atributo (attributeSchema) que definen un atributo.

Por tanto, para cada clase del esquema, hay un objeto Esquema de clases que especifica la clase y, para cada atributo del esquema, hay un objeto Esquema de atributos que especifica el atributo y aplica restricciones en los objetos que son instancias de una clase con dicho atributo.

Algunas de las restricciones de los objetos Esquema de clases son:

Una lista de atributos obligatorios que se deben definir para una clase.
Una lista de atributos opcionales que se pueden definir para una clase.

Las reglas de jerarquía que determinan los objetos principales, auxiliares y superiores del directorio activo de una clase.

El catálogo global:

De forma predeterminada, en el controlador de dominio inicial del bosque se crea automáticamente un catálogo global que se utiliza para almacenar una réplica completa de todos los objetos del directorio de su dominio y una réplica parcial de sólo lectura de todos los objetos contenidos en el directorio de cada uno de los demás dominios del bosque (la réplica es parcial ya que almacena algunos, pero no todos, de los valores de los atributos de cada objeto del bosque).

El catálogo global realiza cuatro funciones de directorio principales:

Resuelve los nombres principales de los usuarios (UPN) cuando el controlador de dominio donde inicia la sesión un usuario no tiene conocimiento de la cuenta.
Proporciona información de pertenencia a grupos universales a un controlador de dominio cuando comienza un proceso de inicio de sesión.
Permite encontrar información del directorio con independencia de cuál sea el dominio que contiene realmente datos.
Valida las referencias a los objetos dentro de un bosque.

Si no hay disponible un catálogo global cuando un usuario inicia el proceso de inicio de sesión en la red, el usuario no podrá conectarse al equipo local. Si sólo hay un controlador de dominio, el controlador de dominio y el catálogo global estarán en el mismo servidor. Si hay múltiples controladores de dominio en la red, el catálogo global se guardará en el controlador de dominio configurado expresamente para almacenarlo. Cuando se instalen controladores de dominio adicionales en el dominio, se puede cambiar la ubicación predeterminada del catálogo global a otro controlador de dominio mediante la utilidad Sitios y servicios de Active Directory.

El directorio activo define un conjunto básico de atributos para cada objeto del directorio. Cada objeto y algunos de sus atributos se almacenan en el catálogo global. Con el complemento Esquema de Active directory, se pueden especificar los atributos adicionales que se desea que se mantengan en el catálogo global. Sin embargo, al agregar un atributo nuevo al catálogo global se produce una sincronización total de todos los atributos de objetos almacenados en el catálogo global (para todos los dominios del bosque). En un bosque grande con múltiples dominios, esta sincronización puede ocasionar un tráfico considerable en la red.

Catálogo global y maestro de infraestructura:

El maestro de infraestructura en el responsable de actualizar las referencias de los objetos de su dominio en los objetos de los otros dominios mediante la comparación de sus datos con los del catálogo global.

Si encuentra datos sin actualizar, solicitará los datos actualizados a un catálogo global y, a continuación, los replicará a los otros controladores de dominio.

A menos que haya un único controlador en el dominio, la función de maestro de infraestructura no deberá asignarse al controlador de dominio que albergue el catálogo global. Si ambos se encuentran en el mismo controlador de dominio, el maestro de infraestructura no funcionará, ya que se encontrará datos sin actualizar y, por tanto, no replicará los cambios a los otros controladores del dominio.

Si todos los controladores de un dominio almacenan el catálogo global, todos los controladores de dominio tendrán ya los datos actualizados y no importará qué controlador de dominio desempeñe la función de maestro de infraestructura.

El maestro de infraestructura es también el responsable de actualizar las referencias de grupos a usuarios cada vez que haya una variación o cambio de nombre en los miembros del grupo. Al cambiar de nombre o mover un miembro de un grupo, si el miembro reside en un dominio distinto del grupo, puede que durante un tiempo parezca que el grupo no contiene a ese miembro (sólo será detectado por el administrador que esté examinando la pertenencia de dicho grupo). El maestro de infraestructura del dominio del grupo es el responsable de actualizar el grupo de forma que se sepa, en todo momento, el nuevo nombre o ubicación del miembro y distribuir la actualización a través de la replicación de varios maestros.

El maestro de operaciones:

El directorio activo permite realizar la replicación Multimaster o replicación con múltiples maestros del almacén de datos del directorio entre todos los controladores del dominio. Esta replicación se diferencia de otros modelos de replicación en que un controlador almacena la única copia modificable del directorio y otros controladores únicamente almacenan copias de seguridad.

Algunos cambios no se pueden realizar utilizando la replicación con múltiples maestros, por lo que solo un controlador de dominio, denominado maestro de operaciones, acepta las solicitudes para realizar este tipo de cambios.

En cualquier bloque del directorio activo existen, al menos, cinco funciones de maestro de operaciones que se asignan a uno o más controladores de dominio. Algunas funciones deben estar presentes en todo el bosque y otras funciones deben estar presentes en cada dominio del bosque.

Dado que las funciones de maestro de operaciones se pueden mover a otros controladores de dominio del mismo dominio o del bosque, dichas funciones se denominan también Funciones flexibles de operaciones de un solo maestro (FSMO).

martes, 31 de marzo de 2015

Los sitios en el directorio activo.

Los sitios:

Un sitio representa un conjunto de equipos que están conectados mediante una red de alta velocidad (por ejemplo, una red de área local).

Los objetos de subredes identifican los rangos de direcciones IP de un sitio.

Es conveniente que las redes de área extensa (WAN) empleen múltiples sitios, ya que si no lo hacen así, la atención de las solicitudes o la replicación de información del directorio será muy poco eficiente.

Cómo se relacionan los sitios con los dominios:

En el directorio activo, los sitios representan la estructura física (topología) de la red, mientras que los dominios representan la estructura lógica de la organización.

La estructura lógica y la estructura física son independientes la una de la otra, por ello:

No es necesaria ninguna correlación entre la estructura física de la red y su estructura de dominios.
Es posible que haya múltiples dominios en un único sitio, así como múltiples sitios en un único dominio.
No es necesaria ninguna conexión entre los espacios de nombres de sitios y de dominios.

El directorio activo utiliza la información de topología, almacenada como objetos de sitio y vínculos de sitio en el directorio, para crear la topología de replicación mejor y más eficaz.

Cómo se utilizan los sitios:

Los sitios facilitan diversas operaciones:

Autenticación: Cuando un cliente inicia una sesión en un dominio, en primer lugar se dirige a un controlador de dominio del mismo sitio para autenticarse (de esta manera, se reduce el tráfico en las conexiones WAN).

Replicación: Los sitios optimizan la replicación de información del directorio. La información de configuración y del esquema del directorio se distribuye por todo el bosque y los datos del dominio se distribuyen entre todos los controladores de dominio. La información del directorio se replica dentro de un sitio con mayor frecuencia que con los demás sitios; de esta forma, los controladores de dominios que con más probabilidad necesitarán información especial del directorio son los que primero reciben las replicaciones.

Los controladores de dominio de otros sitios reciben todos los cambios efectuados en el directorio, pero con menor frecuencia, con lo que se reduce el consumo de ancho de banda de red.

Ubicación de servicio: Otros servicios utilizan el directorio activo para almacenar objetos que puedan utilizar la información de la subred y el sitio.

La pertenencia a un sitio se determina de manera diferente para los controladores de domino que para los clientes.

Un cliente determina en qué sitio está cuando se conecta, ya que obtiene su dirección IP y su máscara de subred del servidor DHCP (de modo que la ubicación de un sitio se actualiza dinámicamente).

La ubicación de un controlador de dominio se establece por el sitio al que pertenece en el directorio (ya que obtiene su dirección IP y su máscara de subred de forma estática y, por tanto, no se modificará a no ser que se desplace a un sitio distinto).

Si un controlador de dominio o un cliente tienen una dirección que no está incluida en ningún sitio, el cliente o el controlador de dominio estarán contenidos dentro del sitio inicial (Default-First-Site-Name, que es el nombre predeterminado del primer sitio). Toda la actividad se controla, entonces, como si la actividad del cliente o del controlador de dominio fuera un miembro del Default-First-Site-Name (sin tener en cuenta la dirección IP o la ubicación de la subred real). Por tanto, todos los sitios siempre tendrán un controlador de dominio asociado, ya que el controlador de dominio más próximo se asocia a un sitio que no tenga ningún controlador de dominio,

Cuándo debe establecerse un sitio único:

Al planear la estructura del directorio, se debe comenzar con una estructura de sitio único y, después, ir agregando más sitios cuando las limitaciones de ancho de banda y conectividad lo aconsejen.

Si se dispone de una red de área local o de una red troncal de alta velocidad, toda la red se puede situar en un único sitio.

De esta manera, se consigue una administración de replicación simplificada y solicitudes de actualizaciones de directorio entre todos los controladores de dominio.

Cuándo deben establecerse sitios independientes:

Se deben establecer sitios independientes cuando la red esté formada por varias ubicaciones geográficas conectadas por conexiones WAN que provocan que los controladores de dominio no respondan con la velocidad suficiente a las necesidades de los usuarios.

Al establecerse varios sitios independientes, se obtienen las ventajas siguientes:

Se reparte el proceso de autenticación.
Se optimiza el intercambio de información de directorios.
Se puede ajustar con precisión el comportamiento de la replicación.

Al planearse la estructura de sitios, es preciso tener en cuenta los controladores de dominio que utilizará cada equipo para el proceso de inicio de sesión.

Si un cliente está en un sitio que no disponga de controladores de dominio, utilizará el sitio al que esté mejor conectado que disponga de un controlador de dominio. El sitio mejor conectado se determina basándose en el vínculo de sitio que tenga el coste menor.

Si se desea que un cliente inicie sus sesiones en un conjunto determinado de controladores de dominio, se pueden definir los sitios de forma que, únicamente, dichos controladores de dominio estén en el mismo sitio que el cliente (aunque haya otros controladores de dominio que se encuentren en su misma ubicación física).

Si la replicación entre varios controladores de dominio se ha de efectuar al mismo tiempo, se deberán asignar dichos controladores de dominio al mismo sitio. Así, se podrá crear un sistema de replicación uniforme, aunque se limite la capacidad de realizar ajustes en el comportamiento de la replicación de directorios.

Dentro de un sitio, cada controlador de dominio puede actuar como servidor cabeza de puente. Un servidor cabeza de puente es un servidor perteneciente a un sitio que está diseñado para realizar replicación sitio a sitio para un dominio y protocolo de transporte específico. Se pueden utilizar para controlar la replicación entre sitios de manera entre los controladores de dominio que se especificó y no entre los controladores de dominio que pueden ser menos capaces de administrar el tráfico de la replicación entre sitios.

Puede reducir el efecto negativo que tiene en la red un error en un servidor cabeza de puente, los sitios que sean bastante grandes se podrán dividir en sitios más pequeños para que cualquier error afecte solo a la replicación entre el sitio que contiene el servidor cabeza de puente donde ha ocurrido el error y el sitio (o los sitios) que contienen los servidores asociados de replicación.

Trabajar con vínculos a sitios:

Si se establecen varios sitios, debe tenerse en cuenta cómo va a intercambiarse la información entre los sitios para poder revisar, ajustar o complementar la configuración actual de los sitios.

Para complementar la topología de la replicación entre los sitios de la red, se pueden crear vínculos a sitios o establecer un conjunto de vínculos mediante la creación de un puente de vínculos a sitios, para que la configuración de replicación sea más fiable y tolerante con los errores. Un vínculo a sitios es un objeto del directorio activo que especifica un conjunto de sitios que se pueden comunicar a un coste uniforme mediante un protocolo de transporte y representa el flujo de replicación entre ellos. Un puente de vínculos a sitios especifica un conjunto de vínculos a sitios que se pueden comunicar mediante el mismo protocolo de transporte.

Cómo trabajar con sitios:

Para trabajar con sitios, se utiliza Sitios y servicios de Active Directory. Para trabajar con ellos, suga los pasos siguientes:

Ejecute Sitios y servicios de Active Directory que se encuentra en Herramientas administrativas del menú de inicio y verá la pantalla inicial de la utilidad.
Pulse el signo "+" que hay a la izquierda de Sites y se desplegarán sus tres nodos:

Subnets --> En este nodo se crearán las subredes.
Inter-Site Transports --> En este nodo se encuentran los protocolos de transporte que se utilizarán entre los sitios que haya definidos.
Default-First-Site-Name --> Corresponde al primer sitio configurado por defecto.

Cómo crear un sitio:

Para crear un sitio nuevo, siga los pasos siguientes:

Ejecute Sitios y servicios de Active Directory que se encuentra en Herramientas administrativas del menú inicio y verá la pantalla inicial de la utilidad.
Sitúese sobre Sitios, muestre su menú contextual, seleccione Nuevo sitio.
Indique el nombre que desea dar al sitio que está creando.
Seleccione DEFAULTIPSITELINK como vínculo a utilizar; de esta manera, se vincularán el sitio que se está creando y el sitio por defecto Default-First-Site-Name utilizando el protocolo de transporte IP.
Pulse en Aceptar y le mostrará una pantalla de aviso donde se recuerda los procesos a seguir para terminar de configurar el sitio que se está creando.
Cuando haya leído. pulse en Aceptar y volverá a la pantalla principal de la utilidad. Fíjese en que hay un nuevo nodo que corresponde al sitio nuevo.
Cuando haya finalizado ,cierre la utilidad.

lunes, 30 de marzo de 2015

Administración de dominios.

Estructura del trabajo en grupo:

La administración de los recursos se hace de manera centralizada. Cada usuario controla qué recursos comparte de su ordenador.

Algunos problemas que podemos sacar de esta manera de administrar los recursos, en grandes organizaciones, pueden ser la dificultad para encontrar la ubicación de los recursos, así como también, la limitación de los colaboradores.

Estructura cliente servidor:

Anteriormente hablábamos del término compartición donde todos eran clientes y todos eran servidores.

Ahora, se usan pocos servidores que compartan sus recursos:

Servidores de archivos.
Servidor de impresión.
Servidor de comunicaciones.
Servidor web.
Servidor de correo electrónico.
Servidor ftp.
Servisor proxy.

Protocolo LDAP

Las siglas LDAP (lightweight directory access protocol), en español protocolo ligero de acceso a directorios, hacen referencia a un protocolo a nivel de aplicación que permite el acceso a un servidor de directorio ordenador y distribuido para buscar diversa información en un entorno de red. LDAP también se considera una base de datos en la que pueden realizarse consultas.

Define directorio como un conjunto de objetos con atributos organizados de manera lógica y jerárquica.

Define servicio de directorio como los métodos para almacenar datos del directorio y ponerlos a disposición de administradores y usuarios.

Dominios:

Divide redes extensas en redes parciales.
Existe una unión entre equipos, usuarios y recursos.
Se pueden administrar de manera centralizada.
Fácil planificación.
Los recursos siguen conectados a los equipos, pero se centraliza su administración.
Mayor seguridad.
Para varios dominios, existen las relaciones de confianza que permiten una cuenta para varios dominios.
Todo está supervisado por el controlador de dominio, también conocido como controlador de respaldo.

Directorio activo (Active Directory).

Es el servicio de directorio de Windows.
Incorpora un directorio (almacén de objetos).
Incluye los siguientes conceptos:

Dominio: Es la estructura fundamental.
Unidad organizativa: es la unión de grupo de objetos y unidades.
Objetos: recursos concretos.
Grupos: conjunto de objetos del mismo tipo.

Árbol de dominios y bosque:

Cuando varios dominios comparten un esquema y un catálogo global comunes se denomina bosque. Si varios dominios tienen nombres de dominio DNS contiguos, a dicha estructura se le denomina árbol de dominios.

Árboles de dominios: El primer dominio de un árbol se denomina dominio de raíz. Los dominios adicionales del mismo árbol de dominios de denominan dominios secundarios o subdominios. Un dominio que se encuentra inmediatamente encima de otro dominio del mismo árbol se denomina dominio principal del dominio secundario.

Todos los dominios que comparten el mismo dominio raíz forman un árbol de dominios y constituyen un espacio de nombres contiguo.

Los dominios de Windows Server 2008 que forman parte de un árbol están unidos entre sí mediante relaciones de confianza transitivas y bidireccionales. Estas relaciones de confianza permiten que un único proceso de inicio de sesión sirva para autenticar un usuario en todos los dominios del bosque o del árbol de dominios. Esto no quiere decir que el usuario tenga permisos y derechos en todos los dominios del árbol puesto que un dominio es un límite de seguridad y por tanto habría que conceder derechos o permisos para cada dominio.

Bosque: Un bosque está formado por uno o varios árboles de dominio. Los árboles de dominio de un bosque no constituyen un espacio de nombres contiguo, pero podría ocurrir que hubiese dos árboles en un bosque con nombres de subdominio iguales.

Los bosques no tienen ningún dominio raíz propiamente dicho. El dominio raíz de un bosque por convenio es el primer dominio que se creó en el bosque. Los dominios raíz de todos los árboles de dominio del bosque establecen relaciones de confianza transitivas con el dominio raíz del bosque.

Todos los dominios de todos los árboles de dominio de un bosque comparten las siguientes características:

Relaciones de confianza transitivas entre los dominios.
Relaciones de confianza transitivas entre los árboles de dominio.
Un esquema, un catálogo global e información de configuración común.

El uso de bosques y árboles de dominio da flexibilidad al permitir sistemas de espacios contiguos (árboles) y no contiguos (bosques). Esto puede ser muy útil por ejemplo en el caso de organizaciones que tienen divisiones independientes que necesitan conservar sus propios nombres DNS.

Papeles de los servidores:

Controlador de dominio.
Servidores miembros.
Servidores independientes.
Servidor de replicación (backup).
Cada bosque necesita un servidor DNS para:

Resolver los nombres de equipos.
Asignar nombre a los dominios.

Usuarios:

Son objetos del directorio con identificador de seguridad para acceder a la red y a los recursos.
La identidad del usuario se autentica.
Se le autoriza el uso de recursos.
Se le puede auditar.
Dos tipos:

Usuarios globales o del dominio: para trabajar en el dominio.
Usuarios locales: para los equipos. Fuera del dominio.

Dos cuentas:

Administrador de dominio.
Invitado.

Los usuarios se pueden:

Crear.
Modificar.
Cambiar nombre.
Modificar contraseña,
Limitar horas de conexión.
Limitar estaciones de trabajo en la que se conectan.
Copiar --> Plantillas.
Realizar operaciones conjuntas --> varias cuentas juntas.

Perfiles móviles:

Asignado a cada usuario.
El usuario puede cambiarlo y los cambios permanecen después de cerrar sesión.
Los datos se guardan en /usuarios/nombre_del_usuario/ntuser.dat
Al conectarse el archivo de copia en HKEY_CURRENT_USER.
Si hace cambios se guardan temporalmente en ntuser.dat.LOG1 y ntuser.dat.LOG2.
Al terminar sesión se copia en ntuser.dat.

Perfiles obligatorios:

Misma estructura que los perfiles móviles pero aseguran que los usuarios trabajen en un entorno común.
Los usuarios pueden modificar los perfiles, pero los cambios se pierden al cerrar sesión.
Los administradores pueden cambiarlos y guardar los cambios.
Se guardan en el archivo /usuarios/nombre/ntuser.man.

Perfiles superobligatorios:

Misma filosofía que los perfiles obligatorios.
Si no se pueden cargar, no se puede iniciar sesión.

Otras utilidades:

Scripts al inicio de sesión.
Ruta de acceso local.
Unidades de red.

Grupos:

Existen dos tipos de grupos:

Grupos de seguridad.
Grupos de distribución.

Según el ámbito:

Grupos universales: permisos en cualquier dominio.

Universales + globales + cuentas de cualquier dominio.
Necesitan Directorio Activo + modo nativo.

Grupos globales: permisos en cualquier dominio.

Globales + cuentas del dominio en el que se ha definido el grupo.

Grupos de dominio local: permisos en el dominio.

Universales + globales + locales del dominio y cuentas de cualquier dominio.

Grupos locales: sin Directorio Activo. Permisos para el equipo.

Cambiar ámbito:

Por defecto grupo de seguridad de ámbito global.
Global a universal --> solo si el grupo global no es miembro de orto grupo global.
Dominio local a universal --> solo si el grupo de dominio local no tiene como miembro otro grupo de dominio local.
Universal a global --> solo si el grupo universal no tiene como miembro otro grupo universal.

Grupos creados en la instalación:

Carpeta Builtin

Tipo integrado local.

Carpeta users

Dominio local

Los equipos:

Respetan los equipos.
Permite iniciar sesiones en un dominio con autenticación.
Permite el acceso a recursos.
Cada equipo que accede a la red tiene su propia cuenta:

Autenticar la identidad del equipo.
Autorizar o denegar el acceso a los recursos.
Administrar recursos, usuarios...
Auditar acciones.

Dos carpetas

Domain Controllers.
Computers.

Se crea al añadir un equipo al dominio.