jueves, 9 de abril de 2015

Directivas de seguridad y auditorías.

Directivas de seguridad y auditorías.

Directivas de seguridad:

1. Directivas de seguridad local:
  • Sirve para modificar la directiva de seguridad de un equipo que no es servidor Windows o no tiene instalado el directorio activo.
  • Para acceder a esta utilidad, Inicio --> Herramientas administrativas --> Directiva de seguridad local.
2. Directivas de seguridad de dominio:
  • Es un Windows Server controlador de dominio.
  • Modifica la configuración de seguridad para todos los equipos miembros del dominio.
  • Para acceder a esta utilidad, Inicio --> Herramientas administrativas --> Administración de directivas de grupo.
3. Directivas de seguridad de controlador de dominio:
  • Se realiza desde un servidor Windows Server.
  • Nos permite modificar todos los controladores de dominio.
  • Para acceder a esta utilidad, Inicio --> Herramientas administrativas --> Administración de directivas de grupo.

Las directivas de grupo:

  • Definen los distintos componentes de la configuración del equipo y del usuario.
  • Influyen en las cuentas de usuario, de grupo y de equipo.
  • Se aplican a dominios, sitios o unidades organizativas.
Las directivas del grupo se aplican en el siguiente orden ascendente:
  • Directiva de equipo local.
  • Directiva de usuario local.
  • Directiva de grupo de sitio.
  • Directiva de grupo de dominio.
  • Directiva del grupo de la unidad organizativa.
  • Directiva del grupo del controlador de dominio.
Si una configuración de directiva de equipo estuviera en conflicto con una configuración de la directiva de grupo del controlador de dominio, prevalecerá la de este último.


Configuración del equipo:


Al iniciarse el equipo (sin tener en cuenta el usuario). Está formada por la siguiente configuración:
  • Configuración de Software.
  • Configuración de Windows.
En la configuración de Software encontramos software para todos los usuarios.

En la configuración de Windows tenemos scripts que se ejecutan al inicio y al final y la configuración de seguridad. Esta configuración de seguridad, se divide a su vez, en el siguiente contenido:

Directivas de cuenta:

  • Directivas de contraseña.
    • Longitud mínima de la contraseña.
    • Vigencia máxima/mínima de la contraseña.
    • Y otros muchos aspectos.
  • Directivas de bloqueo de cuentas
    • Inicios erróneos de sesión.
      • Duración del bloqueo.
      • Umbral de bloqueos.
      • Y otros aspectos.

Directivas locales:

  • Directiva de auditoría.
    • Auditar el acceso a objetos.
    • Auditar eventos de inicio de sesión.
    • Y otros aspectos.
  • Asignación de derechos de usuario.
    • Hacer copias de seguridad.
    • Restaurar archivos.
    • Apagar el sistema.
  • Opciones de seguridad.
    • Impedir que se instalen controladores de impresora.
    • Permitir apagar sistema sin tener que iniciar sesión.
    • Desconectar a los clientes cuando expire el tiempo de inicio de sesión.

Registro de eventos:
  • Tamaño máximo de los distintos registros.
  • Conservar los distintos registros.

Servicios del sistema.

 Registros:
  • Permisos de acceso.
  • Configuración de la auditoría.

Sistemas de archivos:
  • Permisos de acceso.
  • Configuración de la auditoría.
Directivas de red cableada:
  • Para establecer directivas sobre la red cableada.

Firewall de Windows con seguridad avanzada:
  • Para configurar aspectos avanzados.

Directivas de red inalámbrica:
  • Para establecer directivas sobre la red inalámbrica.

Directivas de restricción de software


Plantillas administrativas: Permiten administrar la configuración del equipo.

Componentes de Windows:
  • NetMeeting.
  • Internet Explorer.
  • Programador de tareas.
  • Y otros componentes.
Impresoras:
  • Directivas de habilitación y configuración.

Panel de control:
  • Directivas para habilitar y configurar el panel de control.
    • Configuración regional y de idioma.
    • Cuentas de usuario.

Red:
  • Directivas de habilitación y configuración de la red.
    • Archivos sin conexión.
    • Conexiones de red.

Sistema:
  • Directivas de habilitación y configuración del sistema.
    • Inicio de sesión.
    • Cuotas de disco.
    • Perfiles de usuario.
    • Y otros aspectos.

Configuración de usuario:

Se aplica cuando un usuario inicia sesión. Independientemente del equipo.

Configuración de software:
  • Configuración de software aplicada a usuarios.
  • Independiente del equipo.

Configuración de Windows:
  • Servicios de instalación remota:
    • Opciones disponibles para los usuarios durante el asistente para la instalación de clientes.
  • Script:
    • Script que hay que ejecutar cuando el usuario inicie o finalice sesión.
  • Configuración de seguridad:
    • Directivas de clave pública.
    • Directivas de restricción de software.
  • Mantenimiento de Internet Explorer:
    • Interfaz de usuario del explorador.
    • Conexión.
    • Direcciones URL.
    • Y otros aspectos.

Plantillas administrativas:(Configura el HKEY_CURRENT_USER).
  • Carpetas compartidas:
    • Habilitación y configuración.
  • Componentes de Windows (como ya vimos anteriormente).
  • Escritorio:
    • Escritorio.
    • Active Directory.
  • Menú de Inicio y barra de tareas:
    • Habilitación y configuración.
  • Panel de control:
    • Habilitar y configurar:
      • Agregar o quitar programas.
      • Pantalla.
      • Impresora.
  • Red:
    • Archivos sin conexión.
    • Conexiones de red.
  • Sistema:
    • Habilitación y configuración:
      • Perfiles de usuario.
      • Scripts.
      • Ctrl+alt+supr.
      • Y otros aspectos.

Directivas de grupo incorporadas por defecto:

  • Default Domain Policy:
    • Se aplica a todos los equipos del dominio.
    • Afecta a la configuración del equipo y a la del usuario.
  • Default Controller Domain Policy:
    • Se aplican a todos los equipos que sean controladores de dominio.
    • Afecta a los equipos y a los usuarios.
Para acceder a ellas: Herramientas administrativas --> Administración de directivas de dominio.

Nodo del bosque --> Nodo del dominio --> Nodo Objetos de directiva de grupo.

Botón derecho sobre la política y editar.


Trabajar con las directivas de Windows:

 Para conseguir que las directivas se apliquen en un orden distinto al predefinido, al pulsar sobre ella, a la derecha aparecerá el orden. Seleccionamos el orden que queramos establecer y le damos al triángulo arriba o abajo.


Si lo que queremos es impedir que otras directivas anulen la configuración de una directiva de grupo, seleccionamos la directiva --> botón derecho --> Exigido.

Para que no se apliquen otras directivas de grupos superiores, seleccionamos la directiva --> botón derecho --> Bloquear herencia.

Para ver o modificar una directiva de grupo, seleccionamos la directiva --> Editar --> Menú acción --> Propiedades --> Seguridad y se verán los usuarios y grupos que tienen permisos y cuáles son esos permisos.



Como se puede apreciar en la imagen, se ven cuatro fichas cada cuál con su función:

Ficha ámbito:
  • Vínculos de la directiva de grupo (para modificar alguna, botón derecho).
  • En filtrado de seguridad muestra los grupos, usuarios y equipos a los que se aplica la directiva.
  • En los filtros WMI encontramos los filtros que se aplican a la directiva.

Ficha Detalles:
  • Información sobre la directiva.
  • En estado GPO para deshabilitar la configuración del equipo de usuario o de ambas.

Ficha configuración:
  • Resumen de los datos recopilados de la directiva.

Ficha delegación:
  • Grupos y usuarios que tienen permisos sobre la directiva de grupo.

El comando ejecutar como:
  • No es conveniente trabajar como administrador mas que lo estrictamente necesario.
  • Usuarios: tareas habituales.
  • Operadores: tareas habituales + instalar programas.
  • Administrador: tareas administrativas.
  • Otra opción: Ejecutar como (menú contextual).

Auditorías:

Permiten supervisar sucesos relacionados con la seguridad, los más comunes son:
  • Acceso a objetos.
  • Administración de cuentas de usuario y grupos.
  • Inicio y finalización de sesión de usuarios.

Auditar sucesos de seguridad:

Con el fin de:
  • Llevar un seguimiento de los problemas de seguridad.
  • Controlar la creación/modificación de objetos.
  • Proporcionar pruebas en caso de infracción de seguridad.
Para ello se llevan a cabo 3 pasos:
  1. Especificar las categorías de los sucesos que se desean auditar.
  2. Definir el tamaño y el comportamiento del registro de seguridad.
  3. Determinar los objetos.

Directiva de auditoría:
  • Categorías de sucesos relacionados con la seguridad que se auditan.
  • Se pueden auditar:
    • Acceso a objetos (archivos, impresoras, carpetas...).
    • Acceso a servicio de directorio.
    • Cambio de directivas.
    • Seguimiento de procesos.
    • Uso de privilegios.
    • Administración de cuentas.
    • Sucesos de inicio de sesión (servicios).
    • Sucesos de inicio de sesión de cuentas (usuarios).
    • Sucesos del sistema (apagado, reinicio...).

Cada objeto dispone de un descriptor de seguridad (información de seguridad) con dos partes:

La lista de control de acceso discrecional: Una parte del descriptor de seguridad es usuarios y grupos que tienen acceso al objeto y los permisos concedidos yo denegados.

La lista de control de acceso al sistema: Sucesos que se van a auditar que indica:
  • Cuentas de grupo y usuario que se van a auditar al tener acceso al objeto.
  • Los sucesos de acceso que se van a auditar para cada usuario y/o grupo.
  • Un atributo (acierto/error) para cada suceso de acceso.

Solo se puede auditar en sistemas NTFS y se ha de especificar archivos/carpetas y usuarios.

Son acciones auditables, entre otras, las siguientes: 
  • Recorrer carpeta.
  • Mostrar carpeta.
  • Leer atributos.
  • Crear archivos.
  • Crear carpetas.
  • Escribir atributos.
  • Eliminar carpeta.
  • Premisos de lectura.
  • Cambiar permisos.
  • Tomar posesión de la carpeta.
  • Ejecutar archivos.
  • Leer datos.
  • Escribir datos.
  • Anexar datos.
  • Eliminar archivos
  • Etc.

Para ver los registros de seguridad:
  1. Ejecute la utilidad Panel de control --> Herramientas administrativas --> visor de eventos.
  2. Pulse sobre el signo + que hay a la izquierda de Registros de Windows.
  3. Sitúese sobre el nodo Seguridad y en el panel central se mostrarán todos los eventos correspondientes.






Publicado por en No hay comentarios:

miércoles, 1 de abril de 2015

Aspectos avanzados del directorio activo.

Aspectos avanzados del directorio activo.

Los primeros tres aspectos que vamos a abarcar ya los hemos visto anteriormente en el blog Administración de dominios, pero no está de más volver a repasarlo.

Bosques y árboles de dominio:

Cuando varios dominios comparten un esquema y un catálogo global comunes de denomina bosque. Si varios dominios tienen nombres de dominio DNS contiguos, a dicha estructura se le denomina árbol de dominios.


Árboles de dominios:

El primer dominio de un árbol de dominios se denomina dominio raíz. Los dominios adicionales del mismo árbol de dominios son dominios secundarios. Un dominio que se encuentra inmediatamente encima de otro dominio del mismo árbol se denomina dominio principal del dominio secundario.

Todos los dominios que comparten el mismo dominio raíz forman un árbol de dominios y constituyen un espacio de nombres contiguo, es decir, el nombre de un dominio secundario consta del nombre de dicho dominio mas el nombre del dominio principal.

Los dominios de Windows Server 2008 que forman parte de un árbol están unidos entre sí mediante relaciones de confianza transitivas y bidireccionales. Dado que estas relaciones de confianza son bidireccionales y transitivas, un dominio recién creado es un bosque o árbol de dominios tiene establecidas inmediatamente relaciones de confianza con todos los demás dominios existentes en dicho bosque o árbol de dominios. Estas relaciones de confianza permiten que un único proceso de inicio de sesión sirve para autenticar a un usuario  en todos los dominio del bosque o del árbol de dominios. Dado que un dominio es un límite de seguridad, los derechos y permisos deben asignarse para cada dominio.


Bosques:

Un bosque está formado por uno o varios árboles de dominios. Los árboles de dominios de un bosque constituyen un espacio de nombres contiguo, como ya hemos señalado anteriormente.

Sin embargo, un bosque no tiene ningún dominio raíz propiamente dicho. El dominio raíz del bosque es el primer dominio que se creó en el bosque. Los dominios raíz de todos los árboles de dominios del bosque establecen relaciones de confianza transitivas con el dominio raíz del bosque.

Todos los dominios de todos los árboles de dominio de un bosque comparten las siguientes características:
  • Relaciones de confianza transitivas entre los dominios.
  • Relaciones de confianza transitivas entre los árboles de dominio.
  • Un esquema común.
  • Información de configuración común.
  • Un catálogo global común.
Al utilizar bosques y árboles de dominios, se obtiene la flexibilidad que ofrecen los sistemas de espacios de nombres contiguos y no contiguos (puede ser útil en el caso de organizaciones que tienen divisiones independientes que necesitan conservar sus propios nombres DNS).


El nivel funcional de dominios y bosques:

La funcionalidad de los dominios y los bosques, introducida en el directorio activo en Windows Server 2008, permite habilitar funciones del directorio activo para todo un dominio o bosque.
Los controladores de dominio que ejecutan Windows 2000 Server no admiten la funcionalidad de dominios y bosques.

Si todos los controladores del dominio o bosque ejecutan Windows Server 2008 y el nivel funcional se establece en Windows Server 2008, estarán disponibles todas las funciones para dominios y bosques completos. En cambio, cuando un dominio o bosque con controladores de dominio que ejecutan Windows Server 2008 incluya controladores de dominio que ejecutan Windows Server 2003 o Windows 2000, las funciones del directorio activo estarán limitadas.


El nivel funcional del dominio:

El nivel funcional del dominio habilita las funciones que afectan a un único dominio por completo.

La tabla siguiente muestra los cuatro niveles funcionales de dominios y los controladores de dominio compatibles en cada caso:



Tras elevar el nivel funcional del dominio, no podrán incluirse en dicho dominio controladores de dominio que ejecuten sistemas operativos anteriores. Por ejemplo, si se eleva el nivel funcional del dominio a Windows Server 2008, no podrán agregarse a dicho dominio los controladores de dominio que ejecuten Windows Server 2003.


Cómo ver el nivel funcional de un dominio:

Para ver el nivel funcional de un dominio, siga los pasos siguientes:
  1. Ejecute Dominios y confianzas de Active Directory que se encuentra en Herramientas administrativas del menú inicio y verá la pantalla principal de la utilidad.
  2. Sitúese sobre el dominio al que desea ver su modo de operación, muestre su menú contextual, seleccione Propiedades y verá una pantalla.
  3. En ella muestra el nombre DNS del dominio, el nombre NetBios del dominio, el nivel funcional del dominio y el nivel funcional del bosque.

Cómo elevar el nivel funcional de un dominio:

Para elevar el nivel funcional de un dominio (este proceso es irreversible), siga los pasos siguientes:
  1. Ejecute Dominios y confianzas de Active Directory que se encuentra en Herramientas administrativas del menú inicio y verá la pantalla principal de la utilidad.
  2. Sitúese sobre el dominio al que desea elevar su nivel funcional, muestre su menú contextual, seleccione Elevar el nivel funcional de dominio y verá una pantalla parecida a la siguiente:



     3. Seleccione el nivel funcional de dominio que desee (en el ejemplo, Windows Server 2003), pulse Elevar y le mostrará una pantalla de confirmación del proceso (si hubiera algún controlador de dominio con Windows Server 2003 no le permitirá elevar el nivel funcional del dominio).

    4. Cuando lo desee. pulse Aceptar. Al cabo de un momento, le mostrará una pantalla de aviso. Cuando la haya leído, pulse Aceptar.

    5. Compruebe que el nivel funcional del dominio ha cambiado y, cuando lo desee, cierre la utilidad.



El nivel funcional del bosque;

El nivel funcional del bosque habilita las funciones que afectan a todos los dominios de un bosque.

La tabla siguiente incluye los niveles funcionales de bosques y los controladores de dominio compatibles en cada caso:


Tras elevar el nivel funcional del bosque, no podrán incluirse en dicho dominio controladores de bosque que ejecuten sistemas operativos anteriores. Por ejemplo, si se eleva el nivel funcional del bosque a Windows Server 2008, no podrán agregarse a dicho bosque controladores de dominio que ejecuten Windows Server 2003.


Cómo ver el nivel funcional de un bosque:

Para ver el nivel funcional de un bosque, siga los pasos siguientes:
  1. Ejecute Dominios y confianzas de Active Directory que se encuentra en Herramientas administrativas del menú inicio y verá la pantalla principal de la utilidad.
  2. Sitúese sobre el dominio del que desea ver su modo de operación, pulse el botón derecho del ratón para que muestre su menú contextual, seleccione Propiedades y verá una nueva pantalla.
  3. En ella se muestra el nombre DNS del dominio, el nombre NetBIOS del dominio, el nivel funcional del dominio y el nivel funcional del bosque.

Cómo elevar el nivel funcional de un bosque:

Para elevar el nivel funcional de un bosque (este proceso es irreversible), siga los pasos siguientes:
  1. Ejecute Dominios y confianzas de Active Directory que se encuentra en Herramientas administrativas del menú inicio y verá la pantalla principal de la utilidad.
  2. Sitúese sobre el nodo Dominios u confianzas de Active Directory, pulse muestre su menú contextual, seleccione Elevar nivel funcional del bosque y verá una pantalla parecida a la siguiente: 
 


    3. Seleccione el nivel funcional de bosque que desee (en el ejemplo, Windows Server 2008), pulse Elevar y le mostrará una pantalla de confirmación del proceso (si hubiera algún controlador de dominio con Windows Server 2003 no le permitirá elevar el nivel funcional del dominio).

    4. Cuando lo desee, pulse Aceptar. Al cabo de un momento, le mostrará una pantalla de aviso. Cuando la haya leído, pulse Aceptar.

    5. Compruebe que el nivel funcional del dominio ha cambiado y, cuando lo desee, cierre la utilidad.



El esquema del directorio activo:

El esquema es el conjunto de definiciones que describen las clases de objetos y los tipos de información acerca de dichos objetos que se pueden almacenar en el directorio activo. Las definiciones se almacenan en el esquema como objetos para que se puedan administrar con las mismas operaciones de administración utilizadas para el resto de los objetos del directrio.

Hay dos tipos de definiciones en el esquema (también se las conoce como objetos del esquema o metadatos):
  • Atributos: Es una propiedad del objeto que se define independientemente de las clases. Cada atributo sólo se define una vez y se puede utilizar en múltiples clases.
  • Clases:Es una categoría de objeto que comparte un conjunto de atributos y que se utiliza para describir los posibles objetos que puede haber en el directorio.
Con Windows Server 2008 se proporciona un conjunto de clases y atributos básicos. No se pueden eliminar objetos del esquema, sin embargo, los objetos se pueden marcar como desactivados, lo que proporciona muchas de las ventajas de la eliminación. Los programadores y los administradores de la red con experiencia pueden extender dinámicamente el esquema mediante la definición de nuevas clases y atributos para las clases existentes. 
Recordamos que extender el esquema es una operación que puede tener consecuencias adversas.

La estructura y el contenido del esquema son controlados por el controlador de dominio que desempeña la función de maestro de operaciones de esquema o FSMO (Flexible Single Master Operations) en cada bosque y, como únicamente puede haber un esquema en cada bosque, la partición del directorio del esquema, junto con la partición de directorio de configuración, se replica a todos los controladores de dominio del bosque. El uso de este esquema común asegura la integridad y coherencia de los datos en todo el bosque.


Para el desarrollo de aplicaciones y las pruebas, se puede ver y modificar el esquema del directorio activo con el complemento Esquema de Active Directory. Previamente a su instalación, es necesario registrarlo. Para ello y desde el símbolo del sistema, escriba regsvr32 schmmgmt.dll y pulse intro. Le mostrará un mensaje en el que le indica que se ha registrado con éxito. Pulse en Aceptar cuando lo haya leído.


Objetos del esquema:

Hay dos tipos de objetos del esquema:
  • Los objetos Esquema de clase (classSchema) que definen una clase.
  • Los objetos Esquema de atributo (attributeSchema) que definen un atributo.
Por tanto, para cada clase del esquema, hay un objeto Esquema de clases  que especifica la clase y, para cada atributo del esquema, hay un objeto Esquema de atributos que especifica el atributo y aplica restricciones en los objetos que son instancias de una clase con dicho atributo.

Algunas de las restricciones de los objetos Esquema de clases son:
  • Una lista de atributos obligatorios que se deben definir para una clase.
  • Una lista de atributos opcionales que se pueden definir para una clase.
Las reglas de jerarquía que determinan los objetos principales, auxiliares y superiores del directorio activo de una clase.


El catálogo global:

De forma predeterminada, en el controlador de dominio inicial del bosque se crea automáticamente un catálogo global que se utiliza para almacenar una réplica completa de todos los objetos del directorio de su dominio y una réplica parcial de sólo lectura de todos los objetos contenidos en el directorio de cada uno de los demás dominios del bosque (la réplica es parcial ya que almacena algunos, pero no todos, de los valores de los atributos de cada objeto del bosque).

El catálogo global realiza cuatro funciones de directorio principales:
  • Resuelve los nombres principales de los usuarios (UPN) cuando el controlador de dominio donde inicia la sesión un usuario no tiene conocimiento de la cuenta.
  • Proporciona información de pertenencia a grupos universales a un controlador de dominio cuando comienza un proceso de inicio de sesión.
  • Permite encontrar información del directorio con independencia de cuál sea el dominio que contiene realmente datos.
  • Valida las referencias a los objetos dentro de un bosque.
Si no hay disponible un catálogo global cuando un usuario inicia el proceso de inicio de sesión en la red, el usuario no podrá conectarse al equipo local. Si sólo hay un controlador de dominio, el controlador de dominio y el catálogo global estarán en el mismo servidor. Si hay múltiples controladores de dominio en la red, el catálogo global se guardará en el controlador de dominio configurado expresamente para almacenarlo. Cuando se instalen controladores de dominio adicionales en el dominio, se puede cambiar la ubicación predeterminada del catálogo global a otro controlador de dominio mediante la utilidad Sitios y servicios de Active Directory.

El directorio activo define un conjunto básico de atributos para cada objeto del directorio. Cada objeto y algunos de sus atributos se almacenan en el catálogo global. Con el complemento Esquema de Active directory, se pueden especificar los atributos adicionales que se desea que se mantengan en el catálogo global. Sin embargo, al agregar un atributo nuevo al catálogo global se produce una sincronización total de todos los atributos de objetos almacenados en el catálogo global (para todos los dominios del bosque). En un bosque grande con múltiples dominios, esta sincronización puede ocasionar un tráfico considerable en la red.


Catálogo global y maestro de infraestructura:

 El maestro de infraestructura en el responsable de actualizar las referencias de los objetos de su dominio en los objetos de los otros dominios mediante la comparación de sus datos con los del catálogo global.

Si encuentra datos sin actualizar, solicitará los datos actualizados a un catálogo global y, a continuación, los replicará a los otros controladores de dominio.

A menos que haya un único controlador en el dominio, la función de maestro de infraestructura no deberá asignarse al controlador de dominio que albergue el catálogo global. Si ambos se encuentran en el mismo controlador de dominio, el maestro de infraestructura no funcionará, ya que se encontrará datos sin actualizar y, por tanto, no replicará los cambios a los otros controladores del dominio.

Si todos los controladores de un dominio almacenan el catálogo global, todos los controladores de dominio tendrán ya los datos actualizados y no importará qué controlador de dominio desempeñe la función de maestro de infraestructura.

El maestro de infraestructura es también el responsable de actualizar las referencias de grupos a usuarios cada vez que haya una variación o cambio de nombre en los miembros del grupo. Al cambiar de nombre o mover un miembro de un grupo, si el miembro reside en un dominio distinto del grupo, puede que durante un tiempo parezca que el grupo no contiene a ese miembro (sólo será detectado por el administrador que esté examinando la pertenencia de dicho grupo). El maestro de infraestructura del dominio del grupo es el responsable de actualizar el grupo de forma que se sepa, en todo momento, el nuevo nombre o ubicación del miembro y distribuir la actualización a través de la replicación de varios maestros.


El maestro de operaciones:

El directorio activo permite realizar la replicación Multimaster o replicación con múltiples maestros del almacén de datos del directorio entre todos los controladores del dominio. Esta replicación se diferencia de otros modelos de replicación en que un controlador almacena la única copia modificable del directorio y otros controladores únicamente almacenan copias de seguridad.
Algunos cambios no se pueden realizar utilizando la replicación con múltiples maestros, por lo que solo un controlador de dominio, denominado maestro de operaciones, acepta las solicitudes para realizar este tipo de cambios.

En cualquier bloque del directorio activo existen, al menos, cinco funciones de maestro de operaciones que se asignan a uno o más controladores de dominio. Algunas funciones deben estar presentes en todo el bosque y otras funciones deben estar presentes en cada dominio del bosque.

Dado que las funciones de maestro de operaciones se pueden mover a otros controladores de dominio del mismo dominio o del bosque, dichas funciones se denominan también Funciones flexibles de operaciones de un solo maestro (FSMO).


Publicado por en No hay comentarios:
Suscribirse a: Entradas (Atom)