7. administración de windows 2000 server 1 tema 7: administración de windows 2000 server resumen:...

7. Administración de Windows 2000 Server

1

Tema 7: Administración de Windows 2000 Server

• Resumen:– El programa Administración de Equipos

– Planificar la implantación de Active Directory

– Administración de cuentas de usuario

– Administración de cuentas de grupos

– Administrar los grupos de directivas


2

1. Utilizar el Gestor de Consolas (MMC)• Introducción

– Es el programa que hospeda al resto de herramientas administrativas

– Proporciona una interfaz sencilla para las tareas administrativas diarias

• El entorno del gestor de consolas– Puede ejecutarse en w2k, NT, w9x– Tareas que se pueden realizar:

• La mayoría de tareas administrativas mediante la misma interfaz• Administración centralizada• Administración remota de las principales tareas• Personalizar la aplicación para que la utilicen los administradores

delegados

– La ventana del gestor:• Entorno parecido al Explorador de Windows• Es un contenedor de aplicaciones administrativas


3

– Las consolas del gestor de consolas:• Una consola es un conjunto de una o más programas administrativos• Se almacenan en archivos con extensión .msc• Cada consola se representa como una ventana hijo de la interfaz

principal• Una consola contiene:

– Un árbol de exploración con los programas de administración organizados en nodos

– Un panel en el que se visualiza el contenido del nodo

• Barra de menú principal: Accion, Ver y Favoritos• Tipos de consolas:

– Personalizadas:» Para ajustar el programa de administración a las necesidades» Compartir el gestor con otros administradores» Combinar programas de terceros con los existentes

– Preconfiguradas:» No se pueden modificar» Se identifican por que no aparece el menú de consola (Consola, Ventana,

Ayuda)


4

» No se cargan todas las consolas administrativas en la instalación

» Se puede cargar en un w2k Professional para administrar otros equipos de forma remota

• Programas administrativos (snaps-in)– Cada consola de gestión se compone de pequeñas herramientas o

programas denominadas snaps-in

– Cada snap-in es una unidad con funcionalidad de gestión

– Son programas preparados para trabajas en el gestor de consolas

– Dos tipos:• Independientes: realizan las tareas administrativas esenciales

• Extensiones: – proporcionan funcionalidad extendida a los independientes

– Al agregar extensiones, sólo se muestran las que son compatibles con el snap-in que se pretende extender

– Pueden extender la funcionalidad mediante opciones del menú contextual o mediante asistentes


5

– Opciones de consola• Cuestiones generales:

– Determina el modo en que opera una consola

– El modo de la consola afecta al usuario que utiliza una consola almacenada

– Dos tipos: modo autor y modo usuario

• Modo autor:– Si se almacena la consola con este modo, se tiene acceso total

– Tareas que se pueden realizar:

» Agregar o eliminar snap-ins

» Crear nuevas ventanas

» Ver cualquier parte del árbol

» Almacenar consolas

• Modo usuario:– Para distribuir consolas entre administradores

– Los usuarios tienen acceso restringido a la consola

– Tres tipos de modo usuarios:

» Acceso completo

» Acceso limitado, múltiples ventanas

» Acceso limitado, ventana única


6

• Administrar cuentas de grupos– Cuestiones generales:

• Examinar el modo de utilizar grupos en un dominio y grupos locales• Un grupo es una colección de cuentas de usuario• Simplifica la aplicación de permisos a un conjunto de usuarios

similares• También se pueden agregar equipos, contactos y otros grupos

• Implementar grupos en un dominio:• Examinar tres cuestiones: tipos, ámbito y pertenencia• Tipos de grupos:

– Dos tipos: seguridad y distribución– Grupos seguridad: se utilizan para garantizar el acceso a recursos– Grupos de distribución: agrupación de usuarios a efectos de mensajería

• Ámbito: indica el ámbito en el que se utiliza el grupo– Dominio local: usuario de cualquier dominio + recursos del dominio– Global: usuarios del dominio + recursos de cualquier dominio– Universal: cualquier usuario + cualquier dominio


7

• Pertenencia:

– Los grupos dominio local y global se pueden convertir a universal con tal de que no contengan otros grupos del mismo ámbito

• Anidamiento de grupos:– Operación de agregar unos grupos a otros: simplifica la administración– Se hace necesario definir una estrategia de anidamiento de grupos en

función de las necesidades– Ejemplo: (...)– Se recomienda reducir el nivel de anidamiento a 1 contraejemplo (...)– Un anidamiento efectivo de grupos reducirá el tráfico en la red y

simplificará la administración por ello hay que comprender bien los distintos tipos de grupos

– Se debe tener en cuenta el tipo de replicación de cada tipo de grupo


8

– Estrategias de agrupamiento• Utilizar grupos globales y de dominio local: se emplean criterios

equivalentes a los utilizados en NT:– Agrupar usuarios con similares responsabilidades en la empresa en un

mismo grupo global Contabilidad

– Crear grupos de dominio local para el/los recurso/s a los que acceden los usuarios grupo impresoras

– Asignar todos los grupos globales con las mismas necesidades de acceso a los recursos en los grupos locales agregar Contabilidad a Impresoras


9

• Utilizar grupos universales: Nuevo elemento de Windows 2000 para superar la barrera del dominio:

– Utilizar grupos globales para permitir a los usuarios acceder a recursos de otros dominios

– Se debe emplear grupos globales con miembros estáticos– Agregar grupos globales a un grupo universal y asignar permiso de

acceso al grupo universal sobre un recurso

– Implementar grupos:• Criterios para la creación de grupos:

– Determinar el ámbito del grupo en función de la finalidad del grupo– Evitar asignar usuarios a grupos universales– Determinar si se disponen de los permisos suficientes para crear grupos

Administradores y Operadores de Cuentas (en un dominio)– Elegir el nombre de forma adecuada: intuitivo, descriptivo

• Creación de grupos:– Usuarios y Equipos de Active Directory– Crear los grupos dentro de la OU Usuarios o de una nueva– Eliminar los grupos que no se necesiten– Creación: nombre, ámbito y tipo


10

• Administrar grupos:– Usuarios y equipos de Active Directory

– Agregar miembros: de un dominio, de todo el Active Directory

– Modificar el ámbito de un grupo:

» De grupo global a universal: conceder permisos en otros dominios

» De dominio local a universal

– Eliminar un grupo: el SID no se vuelve a utilizar; solo se elimina la agrupación lógica

• Implementar grupos locales:– Cuestiones generales:

• Se utilizan para contener usuarios y locales y acceder a recursos locales

• Dos tipos: dominio, no-dominio

• Criterios:– Los grupos locales de dominio se crean en el AD; los utilizan los CD para asignar

cualquier recurso de los CD del dominio

– Los grupos locales no-dominio se gestionan localmente; no aparecen en el AD

– Se puede asignar permisos a grupos locales no-dominio para acceder a recursos locales

• Creación: Administrador de equipos; nombre, descripción y miembros


11

• Grupos predeterminados:– Introducción:

• Cuatro categorías: globales, dominio local, locales y sistema

• Tienen un conjunto de derechos predeterminado y una serie de usuarios predeterminados

– Grupos globales predeterminados:

• Al crear un grupo, se le pueden asignar derechos:– Asignándolo a un grupo predeterminado

– Asignándole derechos explícitamente


12

– Grupos de dominio local predeterminados:• Asigna a los usuarios derechos sobre el AD

• Los grupos locales y los de dominio local tienen funciones parecidas


13

– Grupos locales predeterminados:• Administrar cuentas y recursos locales


14

– Grupos sistemas predeterminados:• Existen en todos los equipos Windows 2000

• Representa a diferentes usuarios en diferentes momentos


15

• Administrar las directivas de grupo:– Cuestiones generales

• Controlan la disponibilidad de programas, el escritorio y la configuración del menú inicio

• Mas que establecer las directivas, se trata de administrarlas: se establecen en el dominio o la red

• Definen un conjunto de configuraciones que establecen el comportamiento de un objeto y sus hijos

• Conflictos: impedir el acceso a una aplicación que se necesita

– Beneficios de utilizar las directivas de grupo• Asegurar el entorno del usuario:

– Reducción del tiempo dedicado a resolver incidencias en los equipos de inexpertos (total cost of ownership) impedir cambios

• Adaptar el entorno del usuario


16

– Tipos de directivas de grupo:


17

– Estructura de las directivas de grupo:• Los valores de las directivas (configuraciones) se almacenan en un objeto

directiva de grupos (GPO)

• Almacena información en dos sitios: contenedores y plantillas

• Objetos de directivas de grupos:– Contiene configuración de directivas de sitios, dominios y OU

– Las propiedades de las directivas se almacenan en dos objetos: GPC (contenedor) y GPT (plantillas)

– Se pueden aplicar uno o más GPO a un sitio, dominio u OU

– Se puede asociar una GPO con muchos contenedores y al revés

» Pocos datos y estables se almacenan en la GPC

» Muchos datos y variables GPT

• Objetos de directivas de grupos locales:– Todo w2k tiene un objeto GPO y de forma predeterminada solamente se

configuran los datos de seguridad

– %systemroot%\System32\GroupPolicy

– Permisos ACL:

» Administrators: Full Control

» SYSTEM: Full Control

» Authenticated Users: Read & Execute, List Folder Contents, and Read


18

– GPC y GPT:• Contenedores de directivas de grupo:

– Los valores de las directivas (configuraciones) se almacenan en un objeto directiva de grupos (GPO)

– Objeto de AD que almacena las propiedades del GPO y que incluye subcontenedores con las directivas de equipos y de grupos de usuarios

– Tiene información que permite sincronizar la GPC y GPT

• GPT:– %systemroot%\SYSVOL\sysvol\ <domain_name>\Policies

» Se almacena toda la información sobre plantillas administrativas, seguridad, scripts, configuración software

– Estructura de la GPT

» Se crea una carpeta de nombre el GUID del objeto GPO

» Ejemplo:

» Se crea un GPO asociado con el dominio uclm.es

» %systemroot%\SYSVOL\sysvol\uclm.es\Policies\ {45265FA6-554F-4F74-97CC-61B4663DAE61}


19

• Contenido de la GPT:– Inicialmente se crean las carpetas User y Machine y a medida que se

modifican las directivas, se crean nuevas carpetas, junto con el archivo gpt.ini


20

– El archivo gpt.ini:

» La carpeta raíz de cada GPT contiene este archivo

» Dos entradas:

» Version: comienza con 0 y se incrementa en cada modificación; indica el número de versión del GPO

» Disabled: indica si el GPO está o no activo

– El archivo registry.pol:

» El de la carpeta User se descarga y aplica en la clave HKEY_CURRENT_USER, cuando el usuario inicia la sesión

» Idem con el de la carpeta Machine en HKEY_LOCAL_MACHINE

» El formato ha cambiado respecto a win95/98 y NT

– Aplicar directivas de grupo:– Hay que comenzar creando objetos GPO

• Crear un GPO:– Se puede crear un GPO en un dominio o una OU mediante Usuarios y

Equipos de AD

– Seleccionar propiedades del sitio, dominio u OU | ficha directivas de grupo | nueva


21

– Utilizar el programa Directivas de grupo:• En un entorno de AD, las directivas se aplican a usuarios y equipos sobre la

base de su pertenencia a sitios, dominios u OU

• Cada uno contiene tres partes: configuración software, configuración de windows y plantillas administrativas

• Equipos:– Definen valores de configuración del entorno; se cargan al iniciarse el so y se

puede obligar a descargarlas de la red

– Si se definen directivas de usuario en un equipo se aplican a todos los usuarios del equipo

• Usuarios:– Sirven para personalizar el entorno y/o forzar la descarga desde la red

– Definen: escritorio, aplicaciones, guiones de inicio y aplicaciones asignadas y publicadas

• Crear una consola de directiva– Se puede crear una consola por GPO

• El programa gpedit.msc– Sirve para editar las directivas locales

– También se puede editar directivas remotas /gpcomputer:nombre

– Se puede abrir cualquier objeto


22

– Permisos GPO:• Al crear un objeto GPO se le asignan una serie de grupos con una

serie de permisos:

– Ojo: el propietario, administradores de la empresa y administradores del dominio también pertenecen a Usuarios Avanzados

– Un GPO no puede abrirse en modo solo lectura: si se abre se puede modificar los cambios se realizan durante la edición

– Para poder editar, el usuario debe ser:

» Administrador

» Propietario

» Un usuario con acceso delegado

7. administración de windows 2000 server 1 tema 7: administración de windows 2000 server resumen:...

Documents