ADMINISTRACIN

AVANZADA DE
SISTEMAS
OPERATIVOS
ATICA
1

NDICE GENERAL
PARTE 1

Administracin de Windows como Sistema

Operativo Individual
PARTE 2

Administracin de Windows en una Red de

Ordenadores

PARTE 1
WINDOWS COMO SISTEMA
OPERATIVO INDIVIDUAL

ATICA
3

NDICE
1.
2.
3.
4.
5.
6.
7.
8.
9.

Entorno Windows
Conceptos bsicos de administracin
Instalacin
Configuracin
Acceso a los recursos
Administracin de cuentas y grupos
Seguridad
Tratamiento de errores
Rendimiento
4

ENTORNO WINDOWS
Windows

EVOLUCIN

2.X .. 3.1
Windows 3.11
Windows 95 - 98
Windows NT 4
Windows ME
Windows 2000
Windows XP
Windows Vista Windows 7
-

(WS + Server)
(WS + Server)
Windows Server 2003
Windows Server 2008
Windows Server 2008 R2
5

ENTORNO WINDOWS
Cules son las nuevas versiones de Windows?
Windows

NT
4.x
Windows 2000
5.0
Windows XP
5.1
Wind.Server 2003
5.2
Windows Vista
6.0
Wind.Server 2008
6.0
Windows 7
???
Wind.Server 2008 R2 ???
6

ENTORNO WINDOWS
Windows Management Instrumentation (WMI)

WMI proporciona compatibilidad

integrada para el Modelo de
Informacin Comn (CIM,
Common Information Model),
que describe los objetos
existentes en un entorno de
administracin.

ENTORNO WINDOWS
Windows Vista

EDICIONES

Windows Vista Business

Windows Vista Enterprise

para usuarios que slo necesitan las funciones esenciales de su equipo.

Windows Vista Ultimate

Entretenimiento en el hogar y conexin a Internet.

Windows Vista Home Basic

para grandes organizaciones con infraestructuras de TI de gran complejidad.

Windows Vista Home Premium

reducir los costos de administracin y aumentar la seguridad y la productividad.

mejores caractersticas de movilidad y de entretenimiento.

Windows Vista Starter

disponible en los mercados emergentes, est diseado para usuarios

principiantes.
8

ENTORNO WINDOWS
Windows Server 2008
Standard
Enterprise
Datacenter
64 proc...

Web

Mejoras en configuracin y administracin y

caractersticas avanzadas de seguridad
funcionalidades de cluster, adicin de procesadores
en caliente, consolidacin de aplicaciones...
virtualizacin a gran escala, configuracin en cluster,
particionamiento dinmico del hardware, hasta
exclusivamente servidor web

( Existen versiones con y sin Hyper-V, excepto web)

9

CONCEPTOS BSICOS DE
ADMINISTRACIN
WINDOWS
ATICA
10

CONCEPTOS BSICOS
Consola de administracin (MMC)

11

CONCEPTOS BSICOS
Complementos de la consola de administracin (MSC)

12

CONCEPTOS BSICOS
Uso de la consola para administrar equipos remotos

13

CONCEPTOS BSICOS
Secuencias de comandos
Smbolo

del sistema (CMD) y archivos .CMD

Ejercicios:

1.- Crear un cmd para arrancar internet explorer si el equipo

tiene un nombre determinado.
2.- Crear un cmd que copie haga un espejo de nuestra carpeta
de trabajo en el directorio C:\Pares los das pares y en
C:\Impares los das impares.

14

CONCEPTOS BSICOS
Secuencias de comandos
Windows

Scripts Host

Ejercicios

- Ejecutar un script del repositorio de ejemplos.

Enumerate Administrative Tools

Const ADMINISTRATIVE_TOOLS = &H2f&

Set objShell = CreateObject("Shell.Application")
Set objFolder = objShell.Namespace(ADMINISTRATIVE_TOOLS)
Set objTools = objFolder.Items
For i = 0 to objTools.Count - 1
Wscript.Echo objTools.Item(i)
Next

- Buscar y ejecutar un script del repositorio de ejemplos, para

prevenir la ejecucin de un proceso (p.ej. Iexplore.exe).

15

CONCEPTOS BSICOS
La nueva herramienta de scripting: PowerShell

Ms de 130 herramientas de la lnea de comandos (o "cmdlets") para

realizar las tareas de administracin habituales
Permiten ordenar, filtrar y dar formato a datos y objetos, con las
convenciones de nomenclatura estndar y los parmetros habituales.
Soporte para los lenguajes comandos y herramientas de la lnea de
comandos existentes
Permiten desplazarse por almacenes de datos, como el Registro y los
almacenes de certificados, como si fueran un sistema de archivos.
Anlisis de expresiones complejas y control de objetos de .NET
Framework en la lnea de comandos, incluida la canalizacin de objetos
Interfaz extensible que permite crear cmdlets personalizados para
aplicaciones y administracin del sistema.
Basada en C#

16

CONCEPTOS BSICOS
Programador de Tareas
WXP-W2003 Tareas Programadas en Panel de Control

17

CONCEPTOS BSICOS
Programador de Tareas
WXP-W2003 Tareas Programadas (en Explorer)

18

CONCEPTOS BSICOS
Programador de Tareas

W-Vista, W-7 y W-Server 2008: Complemento MMC

19

CONCEPTOS BSICOS
Programador de Tareas
W-Vista, W-7 y W-Server 2008

Nuevos desencadenadores

Al producirse un evento
Al modificar una tarea
Al conectarse con escritorio remoto
Al desconectarse
Al bloquear la estacin de trabajo
Al desbloquearla

Nuevas acciones

Iniciar un programa
Enviar un correo electrnico
Mostrar un mensaje

20

CONCEPTOS BSICOS
Programador de Tareas

Carpeta %windir%\Tasks

Archivo %windir%\SchedLgu.txt

Comando AT

Comando SCHTASKS
21

CONCEPTOS BSICOS
Servicios

22

CONCEPTOS BSICOS
Servicios

Ejercicios
Parar y arrancar un servicio
Configurar opciones de recuperacin
Habilitar y deshabilitar servicios.
Comando SC
Parar y arrancar un servicio desde la linea de
comandos.
Comandos Net Start y Net Stop
Parar y arrancar un servicio desde la linea de
comandos.

23

CONCEPTOS BSICOS
Programas de inicio y residentes

Msconfig.exe

24

CONCEPTOS BSICOS
Programas de inicio y residentes

Windows Defender

25

INSTALACIN Y
ACTUALIZACIN

26

INSTALACIN
Instalacin de un S.O. Windows

Desde otro sistema operativo.

Directamente arrancando el ordenador desde la unidad de CD-ROM.

Arrancando un sistema operativo a travs de la red.

Utilizando la tecnologa PXE a travs de Ethernet
Necesita un servidor DHCP
til para instalaciones desatendidas
Arrancando desde un disquete. Esta opcin est reservada solamente
para equipos antiguos que no permiten el arranque desde CD-ROM.
Programa de instalacin. Reside en I386: Winnt.exe y Winnt32.exe.

27

INSTALACIN
Instalacin clsica

28

INSTALACIN
Instalacin CORE en Server 2008

29

INSTALACIN
Instalacin masiva
Instalacin basada en imgenes (Image-based Setup, IBS) es el nuevo
mecanismo de implementacin de sistemas operativos para la instalacin
de Windows Vista. Incluye las siguientes herramientas:
XImage.exe comandos para crear y aplicar archivos de imgenes de
Windows.
Windows Imaging (WIM) Nuevo formato de archivo para imgenes.
Windows Deployment Services (WDS) Servicios de implementacin
de Windows que reemplazan a los servicios de instalacin remota (RIS) en
la implementacin de Windows.
Windows Preinstallation Environment (Windows PE) Entorno de
preinstalacin de Windows con mtodos de inicio adicionales compatibles
para las instalaciones cliente OEM o Enterprise.
Windows Setup Manager Para el mantenimiento de los archivos de
imgenes de Windows.
Unattend.xml Nuevo formato de secuencia de comandos para todas las
instalaciones basadas en imgenes de Windows Vista.
System Preparation (SysPrep) Herramienta de preparacin del
30
sistema con un funcionamiento mejorado.

INSTALACIN
Instalacin de varios sistemas Windows en el mismo equipo
Cuando se instala Windows XP o Windows Server 2003 en un equipo,
en la particin de arranque del sistema se crean varios archivos
(ocultos), algunos de ellos herencia de los antiguos sistemas MS-DOS.
Autoexec.bat; Config.sys; Bootfont.bin; Bootsect.dos; IO.sys;
MSDOS.sys
Boot.ini; Ntdetect.com; Ntldr
Pagefile.sys; Hiberfil.sys
Boot.ini.
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft
Windows XP Professional" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows XP Professional
Alternativo" /noexecute=optin /fastdetect

31

INSTALACIN
Arranque mltiple en Windows
Vista, W-7 y W.Server 2008

boot.ini se ha reemplazado por Boot

Configuration Data (BCD).
Herramienta de la lnea de comandos
Bcdedit.
Configurar el Arranque mltiple.
Panel de control -> Sistema ->
Configuracin avanzada del sistema
-> Opciones avanzadas -> Inicio y
recuperacin -> Configuracin.
Herramientas grficas
(VistaBootPRO).
32

INSTALACIN
Editor del almacn de datos de la configuracin de arranque
(BCD)

Sintaxis: Bcdedit.exe /?
Comandos que operan en un almacn
/createstore Crea un nuevo almacn de datos de arranque vaco.
/export
Exporta el contenido del almacn del sistema a un archivo.
/import
Restaura el estado del almacn del sistema
Comandos que operan en entradas de un almacn
/copy
Hace copias de las entradas del almacn.
/create
Crea nuevas entradas en el almacn.
/delete
Elimina entradas del almacn.
Comandos que controlan el administrador de arranque
/bootsequence Establece la secuencia de arranque nica
/default
Establece la entrada predeterminada que se usar
/displayorder Establece el orden en que se muestra el men de arranque mltiple.
/timeout
Establece el valor de tiempo de espera del administrador de arranque.
33
/toolsdisplayorder Establece el orden en que se muestra el men de herramientas.

INSTALACIN
Actualizacin de los Sistemas Operativos Windows
Equipos individuales

Windows Update

Service Packs

34

INSTALACIN
Actualizacin de los Sistemas Operativos Windows

Equipos en una red corporativa

Activar la actualizacin en cada equipo

usando directivas de grupo para el
servicio Windows Update.

Mediante WSUS (Windows Server Update

Services).

35

CONFIGURACIN

36

CONFIGURACIN
En

El Registro de Windows

el registro se guardan los datos de

configuracin, como:
Perfiles

de usuarios
Programas instalados
Configuracin de Propiedades de programas,
carpetas, iconos.
Configuracin hardware del equipo
Puertos en uso

37

CONFIGURACIN
Organizado
Claves

El Registro de Windows

jerrquicamente en:

y subclaves
Secciones
Valores
Datos

Se

puede editar con Regedit.exe y Regedit32.exe

38

CONFIGURACIN
Claves

El Registro de Windows

de primer nivel:

HKEY_CLASSES_ROOT

Asocia tipos de archivo con los programas correspondientes

HKEY_CURRENT_USER

Configuracin para el usuario que ha iniciado sesin

HKEY_LOCAL_MACHINE

Configuracin del equipo para todos los usuarios

HKEY_USERS

Perfiles de todos los usuarios que han hecho logon

HKEY_CURRENT_CONFIG

Perfil de HW que usa el equipo para arrancar el sistema

39

CONFIGURACIN
El Registro de Windows Tipos de datos

REG_DWORD

REG_SZ

Varias cadenas de longitud variable

REG_BINARY

Cadena de longitud variable

REG_MULTI_SZ

Cadena de texto de longitud fija

REG_EXPAND_SZ

Un dato de 4 bytes en binario, hexadecimal o decimal

En formato hexadecimal

REG_FULL_RESOURCE_DESCRIPTOR

Tablas anidadas con listas de recursos

40

CONFIGURACIN
El Registro de Windows

Ejercicios

Buscar un dato en el registro

Cambiar un dato
Aadir un valor
Proteger una clave

Administracin remota

Acceder al registro de un equipo remoto

41

CONFIGURACIN
El Registro de Windows
Administracin mediante lnea de comandos

El comando REG

Estudiar su sintaxis

Archivos .REG

Ejercicios

Hacer que al iniciar la sesin de usuario se arranque el block de notas.

42

CONFIGURACIN
Directivas de Grupo
(Group Policy)
Aparecieron en Windows 2000
Permiten aplicar directivas de configuracin a equipos y usuarios
Se ejecutan en tiempo de startup o de logon
Pueden ser Globales o Locales

Las directivas Globales se administran centralizadamente en un

dominio o UO.
Las directivas locales residen en cada mquina

A diferentes grupos de usuarios se les pueden aplicar directivas

diferentes
43

CONFIGURACIN
Directivas de Grupo

(Herramientas de administracin de GP)

GPMC.MSC

Permite administrar el conjunto de polticas de un dominio. En

W.Vista y WS2008 est integrada. En WXP se puede instalar.
Para usarla se necesita ser Administrador de Dominio

GPEDIT.MSC

Permite editar una poltica concreta.

44

CONFIGURACIN
Directivas de Grupo

(Novedades en Wvista, W7 y WS2008)

Aplicacin de las GP ms fiable y eficiente
Antes se aplicaban en Winlogon
Ahora con un servicio ad-hoc: Group Policy Service
Adaptabilidad a las condiciones de la red.

Extensin de la cobertura

Mayor nmero de parmetros y componentes que se pueden

configurar

Facilidad de uso

Gestin sencilla

45

CONFIGURACIN
Directivas de Grupo

(Directivas de Grupo Locales)

Permiten establecer parmetros de configuracin sin tener AD
Mltiples GP locales (LGPO)

Cada LGPO se asocia con un usuario o un grupo de usuarios.

(Ficheros de Log y Eventos)

Hasta Vista, Userenv.dll es el encargado de generar un log
(userenv.log) con anotaciones de la aplicacin de GPOs.
Ahora el encargado es Local Policy Service

Solo eventos relacionados y en formato XML

46

CONFIGURACIN
Aplicabilidad de Directivas de Grupo

Las directivas de grupo

locales se pueden
aplicar a usuarios
individuales, adems
de administradores /
no administradores.

47

CONFIGURACIN
Directivas de Grupo
Administracin de directivas locales

Gpedit.msc de MMC

48

CONFIGURACIN
Directivas de Grupo
Plantillas administrativas

Antes ficheros de texto. Ahora nuevo formato XML

Ficheros con extensin ADM (antes) y ADMX (nuevo)

En WVista y WS2008 pueden coexistir ambos

Soporte multiidioma
Las plantillas ADMX residen en %systemRoot
%\PolicyDefinitions

49

CONFIGURACIN
Directivas de Grupo
Directivas locales

Ejercicios

Recorrer las directivas. Aplicar alguna de usuario y cerrar y

abrir la sesin

Habilitar y deshabilitar que se apliquen directivas locales

Buscar plantillas de directivas de grupo y ver cmo estn

escritas

Buscar dnde se guardan las directivas locales y cmo se

podran desplegar en una red de ordenadores sin directorio
activo

50
Ojo!: En Windows XP y Server 2003, las directivas locales se aplican a todos
los usuarios de la mquina, incluidos los administradores

ACCESO A RECURSOS

51

ACCESO A RECURSOS
Permisos

Definen el tipo de acceso concedido a un usuario o grupo para un

objeto o una propiedad de objeto.
Se otorgan a:

Grupos, usuarios y otros objetos con identificadores de seguridad del

dominio.
Grupos y usuarios del dominio y de cualquier dominio de confianza.
Grupos y usuarios locales del equipo en que reside el objeto.

Permisos comunes son:

Leer
Modificar
Cambiar propietario
Eliminar

52

ACCESO A RECURSOS

Propietario de los objetos

Cuando se crea un objeto, se le asigna un propietario.

De forma predeterminada es el creador del objeto.
El propietario del objeto siempre puede cambiar los permisos
de ste.

Herencia de permisos

Los objetos de un contenedor heredan automticamente todos

los permisos heredables de ese contenedor.
Slo se heredan los permisos marcados para ello

53

ACCESO A RECURSOS
Permisos y descriptores de seguridad
Entrada

de control de acceso (ACE) es una

asignacin de permisos a un usuario o grupo

Lista

de control de acceso (ACL) es el conjunto

de las ACE de un objeto

54

ACCESO A RECURSOS
Permisos especiales
Control total

Modificar

Leer y
ejecutar

Mostrar el
contenido

Recorrer carpeta / Ejecutar archivo

Listar carpeta / Leer datos

Atributos de lectura

Atributos extendidos de lectura

Crear archivos / Escribir datos

Crear carpetas / Anexar datos

Atributos de escritura

Atributos extendidos de escritura

Eliminar subcarpetas y archivos

Permisos especiales

Lectura

Escritura

55
x

ACCESO A RECURSOS

Permisos efectivos
Un

usuario puede pertenecer a varios grupos.

Los permisos efectivos se calculan a partir de
los factores siguientes:
Pertenencia al grupo global
Pertenencia al grupo local
Permisos locales
Privilegios locales
Pertenencia a grupos universales

56

ACCESO A RECURSOS
Aadir o modificar
permisos mediante
interfaz grfica
Propiedades

de objeto
-> pestaa Seguridad

57

ACCESO A RECURSOS

Permisos efectivos

58

ACCESO A RECURSOS

Lnea de comandos

Se pueden administrar los permisos de acceso a

ficheros y objetos en general mediante
comandos:
cacls
subinacl

(resource kit)
59

ACCESO A RECURSOS
Auditora de accesos

Se puede aplicar a accesos

correctos o incorrectos
Antes de configurar la auditora
de archivos hay que habilitar la
auditora de objetos.
Los eventos de auditora se
muestran en el registro de
seguridad.
Pueden generarse muchos
eventos
60

ADMINISTRACIN DE
CUENTAS Y GRUPOS

61

ADMINISTRACIN DE CUENTAS
Cuenta de usuario

Coleccin de informacin que indica a Windows:

los archivos y carpetas a los que puede obtener acceso

los cambios que puede realizar en el equipo
preferencias personales, como el fondo de escritorio o tema de
color preferidos.

Permiten que se comparta el mismo equipo entre

varias personas, cada una de las cuales tiene sus
propios archivos y configuraciones.
Cada persona obtiene acceso a su propia cuenta de
usuario con un nombre de usuario y contrasea.

62

ADMINISTRACIN DE CUENTAS
Grupos

Permiten definir caractersticas comunes a varias cuentas

Facilitan la administracin
Existen grupos predeterminados y se pueden definir nuevos grupos
Una cuenta de usuario puede pertenecer a varios grupos.

Grupos predeterminados en Windows XP

*Administradores
*Duplicadores
*HelpServicesGroup
*Invitados
*Operadores de configuracin de red
*Operadores de copia
*Usuarios
*Usuarios avanzados
*Usuarios de escritorio remoto
*Usuarios del depurador

63

ADMINISTRACIN DE CUENTAS
Grupos Integrados

Administradores. Mximo nivel de permisos predeterminados y pueden cambiar sus

Operadores de copia. Pueden hacer copias de seguridad y restaurar archivos en el

Usuarios avanzados. Pueden crear cuentas y grupos pero nicamente pueden modificar

Usuarios. Pueden realizar las tareas ms habituales, como ejecutar aplicaciones, utilizar

Invitados. Permite a los usuarios ocasionales o a los usuarios de una sola vez iniciar sesin

Replicador. El nico miembro del grupo Replicador debe ser una cuenta de usuario de

propios permisos.

equipo, independientemente de los permisos que protejan dichos archivos. Tambin pueden
iniciar sesin en el equipo y apagarlo, pero no pueden cambiar la configuracin de seguridad.
y eliminar los que creen. No pueden modificar los grupos Administradores u Operadores de
copia, ni pueden tomar la posesin de archivos, copiar o restaurar directorios, cargar o
descargar controladores de dispositivo ni administrar los registros de auditora y seguridad.
impresoras locales y de red, as como cerrar y bloquear la estacin de trabajo.No pueden
compartir directorios ni crear impresoras locales.
y cerrar el sistema en una estacin de trabajo.

dominio que se utilice para iniciar los servicios Replicador del controlador de dominio. No 64
debe agregarse a este grupo cuentas de usuarios reales.

ADMINISTRACIN DE CUENTAS
Administrar cuentas de usuario y grupos
Mediante la consola MMC

Mediante secuencias
de comandos
> net user

> net group

> net localgroup

65

ADMINISTRACIN DE CUENTAS
Perfiles de usuario

Formado por un conjunto de carpetas en las que se guardan

todas las opciones de personalizacin, preferencias, ficheros
temporales, msica, fotos, documentos, etc. del usuario.
En la carpeta raz, se encuentra el archivo NTUSER.DAT donde
se guardan las claves de HKEY_CURRENT_USER.

Perfiles Itinerantes

Perfiles obligatorios

Permiten trabajar en cualquier

ordenador de la empresa
conservando toda la
configuracin personal

Renombrando ntsuser.dat
como .man, todas las
modificaciones hechas por el
usuario se pierden
66

ADMINISTRACIN DE CUENTAS
Control de cuentas de usuario (UAC) en Windows Vista

Dos niveles de usuarios: Usuarios estndar y Administradores. (grupos:

Usuarios y Administradores)
Inicio de sesin:

Usuario normal -> Token de acceso con el nivel de acceso que se le concede al usuario.
Administrador -> Dos tokens de acceso independientes

Directiva de grupo

Usuario estndar sin privilegios, para iniciar aplicaciones que no realizan tareas administrativas
("aplicaciones de usuario estndar").
Administrador, para cuando tiene que ejecutar aplicaciones que realizan tareas administrativas
(Vista pide que eleven su contexto de seguridad al de administrador).

El comportamiento del mensaje de Control de cuentas de usuario se puede cambiar

mediante Directiva de grupo.

Diseo de aplicaciones

Los programadores deberan identificar su aplicacin como aplicacin de administrador

o aplicacin de usuario estndar. Si una aplicacin no se ha identificado como aplicacin
de administrador, Windows la trata como una aplicacin de usuario estndar.
67

ADMINISTRACIN DE CUENTAS
Control de cuentas de usuario (UAC) en Windows 7

El nuevo UAC trata

de resolver los
problemas de W.
Vista.

68

SEGURIDAD

69

SEGURIDAD
Administracin de la Seguridad del Sistema

Directivas de seguridad

Son reglas que se configuran para proteger los recursos de un equipo o una red.
Permiten controlar:

Plantillas de seguridad

Cmo los usuarios se autentican en una red o un equipo.

Qu recursos estn autorizados a utilizar los usuarios.
Si las acciones de un usuario o un grupo se graban en el registro de sucesos.
Pertenencia a grupos.

Son un complemento de MMC.

Una vez creada, se puede utilizar para configurar la seguridad de un sistema

Configuracin y Anlisis de Seguridad

Es otro complemento MMC

Permite aplicar una plantilla de seguridad
Permite llevar a cabo un anlisis de seguridad de un sistema en relacin con una plantilla de seguridad
El anlisis se actualiza cada 90 minutos en una estacin de trabajo o un servidor, y cada 5 minutos en
un controlador de dominio.
La configuracin se actualiza tambin cada 16 horas, con independencia de que se produzcan cambios o
no.

70

SEGURIDAD
Administracin de la Seguridad del Sistema

71

SEGURIDAD
Plantillas de Seguridad

Representa una configuracin de seguridad.

Se guarda en un archivo . Inf y se puede importar en un objeto de
Directiva de grupo.
Se pueden utilizar para definir (entre otras):

Directivas de cuenta
Directiva de contrasea
Directiva de bloqueo de cuentas
Directiva de auditora
Asignacin de derechos de usuario
Configuracin del registro de sucesos
Pertenencia a grupos importantes para la seguridad
Inicio y permisos de los servicios
Permisos para las claves del Registro

Se pueden utilizar plantillas de seguridad predefinidas.

72

SEGURIDAD
Plantillas de Seguridad predefinidas (WS2003, WXP)
Son el punto de partida para crear directivas de seguridad que se personalizan para cumplir los
diferentes requisitos organizativos. Estn almacenadas en %SystemRoot%\Security\Templates

Seguridad predeterminada (Setup security.inf)

Representa la configuracin de seguridad predeterminada que se aplica durante la instalacin
Compatible (Compatws.inf)
Los permisos predeterminados para estaciones de trabajo y servidores se conceden
principalmente a tres grupos locales: Administradores, Usuarios avanzados y Usuarios.
Segura (Secure*.inf)
Define una seguridad mejorada sin afectar a la compatibilidad de las aplicaciones.
De alta seguridad (hisec*.inf)
Son superconjuntos de plantillas seguras que imponen mayores restricciones en los niveles de
cifrado y firmado que se requieren para la autenticacin y para los datos que fluyen en canales
protegidos y entre clientes y servidores.
Seguridad de la raz del sistema (Rootsec.inf)
Especifica los nuevos permisos de la raz introducidos en WindowsXP Professional.

73

SEGURIDAD

Directivas de Seguridad

Directivas de cuentas

Afectan a la forma en que las cuentas de usuario pueden interactuar con el equipo o el
dominio. Hay 3 subconjuntos:

Directiva de contraseas.
Directiva de bloqueo de cuentas.
Directiva Kerberos.

Directivas locales

Se aplican a un equipo y contienen tres subconjuntos:

Directiva de auditora.
Asignacin de derechos de usuario.
Opciones de seguridad.

En caso de tener aplicadas varias directivas, el orden de prioridad de mayor a menor es:
unidad organizativa, dominio y equipo local.
74

SEGURIDAD
Directivas de Seguridad

75

SEGURIDAD

Configurar la Seguridad del sistema

Crear una plantilla de seguridad

En Configuracin y anlisis de seguridad

Abrir base de datos. (Si es la primera vez, hay que crearla)

Importar plantilla (con las directivas de seguridad que se quieren aplicar al
equipo).
Configurar el equipo ahora.

Configurar la seguridad del sistema mediante la lnea de

comandos:

secedit/configure /DB Archivo [/CFG Archivo] [/overwrite] [/areas rea1 rea2...] [/log RutaRegistro] [/quiet]

76

SEGURIDAD

Configurar la Seguridad del

sistema

77

SEGURIDAD
Analizar la Seguridad de un equipo y ver los resultados

Anlisis de seguridad

Se hace comparando el estado actual con una base de datos de

anlisis.
sta utiliza al menos una plantilla de seguridad. (puede usar ms de
una)

Resultados del anlisis de seguridad

Los presenta organizados por rea de seguridad.

Marcas visuales para indicar la existencia de problemas.

X roja Entrada definida en la base de datos de anlisis y en el sistema,

cuyos valores de las opciones de seguridad no coinciden
Marca verde Entrada definida en la base de datos de anlisis y en el
sistema, cuyos valores coinciden
Interrogacin Entrada no definida en la base de datos de anlisis.
Exclamacin Elemento de la base de datos de anlisis que no existe en el
sistema.
Sin resaltar Elemento no definido en la base de datos de anlisis ni en el 78
sistema.

TRATAMIENTO DE
ERRORES

79

TRATAMIENTO DE ERRORES
El visor de eventos

Permite supervisar el funcionamiento de todos los elementos del S.O. como forma
de prevenir errores.
Un anlisis de los eventos de advertencia o error que se estn produciendo en un
equipo, permitira a un administrador anticiparse al problema y buscar
soluciones que lo eviten.
Los eventos son elementos con informacin relativa a algn suceso que ha
ocurrido en el equipo. Pueden ser de:

Informacin, como arranques y paradas, conexin con otros equipos, actualizacin de

la hora, etc.
Advertencia, como una desconexin del cable de red, etc.
Error, como que no se ha podido leer un archivo en un disco porque ste tiene algn
sector deteriorado.

Es un complemento de Microsoft Management Console (MMC)

Permite realizar las siguientes tareas:

Ver eventos desde varios registros de eventos

Guardar filtros de eventos tiles como vistas personalizadas que se pueden volver a usar
Programar una tarea para que se ejecute como respuesta a un evento
Crear y administrar suscripciones a eventos
80

TRATAMIENTO DE ERRORES
El visor de eventos

81

TRATAMIENTO DE ERRORES
Registros de eventos

Aplicacin. Eventos registrados por aplicaciones o programas. Los

programadores deciden qu registrar.
Seguridad. Intentos de inicio de sesin vlidos y no vlidos, creacin,
apertura o eliminacin de archivos (si se habilit auditora).
Sistema. Eventos registrados por componentes del sistema Windows.
Nuevos en W.Vista, W.7 y W.Server 2008

Instalacin. Eventos relacionados con la instalacin de aplicaciones.

Eventos reenviados. Se usa para almacenar eventos recopilados de
equipos remotos, mediante una suscripcin de evento.
82

TRATAMIENTO DE ERRORES
Registros de eventos en Vista y Srv2008

83

TRATAMIENTO DE ERRORES
Ejecutar una tarea como respuesta a un evento
dado

Es una opcin muy til para los administradores de un parque de

ordenadores consiste en la posibilidad de configurar una tarea para
que se ejecute cuando se registre un evento que cumpla los criterios
especificados. Esto permitira, por ejemplo, enviar una correo
electrnico o incluso un mensaje SMS a un administrador, cuando
un dispositivo deje de funcionar, o cuando se detenga una aplicacin
crtica.

Permite:

Iniciar un programa
Enviar correo electrnico
Mostrar un mensaje

84

RENDIMIENTO

85

RENDIMIENTO
Monitor de rendimiento

El Monitor de rendimiento muestra los contadores de

rendimiento
En tiempo real
Para revisar los datos histricos.

Contadores de rendimiento

Son mediciones del estado o de la actividad del sistema.

El Monitor de rendimiento muestra el valor de los contadores de

rendimiento a intervalos de tiempo especificados.
En XP y Srv2003 se arranca como herramienta administrativa.
En Vista, W.7 y Srv2008 es un complemento de MMC

86

RENDIMIENTO

87

RENDIMIENTO
Objetos y contadores de rendimiento

Objetos de rendimiento

Se integran en el sistema operativo y suelen corresponder a los componentes principales del hardware tales
como la memoria, los procesadores, etctera.

Contadores de rendimiento

Representan aspectos especficos de un sistema o servicio. (Por ej. Pginas por segundo)

Datos de rendimiento

Son los valores de los contadores en el momento actual o en periodos anteriores.

Objetos de rendimiento ms importantes

Cach
Memoria
Objetos
Archivo de paginacin
Disco fsico
Proceso
Procesador
Servidor
Sistema
Subproceso

88

RENDIMIENTO

Objetos y contadores de
rendimiento
Ejercicio:

Aadir al monitor en tiempo real algunos contadores importantes de

los objetos:
Memoria
Archivo de paginacin
Disco fsico
Procesador

89

RENDIMIENTO
Recopilacin de datos para anlisis

Registros de seguimiento.

Guardan sucesos detallados de las aplicaciones del sistema cuando

ocurren eventos como una operacin de E/S en un disco o un error de
pgina.
Cuando ocurre el suceso, el sistema operativo registra los datos de
sistema en un archivo especificado por el servicio Registros y alertas
de rendimiento.
Para interpretar el resultado del registro de seguimiento, se requiere
una herramienta de anlisis. Los programadores pueden crear una
herramienta de este tipo mediante las interfaces de programacin de
aplicaciones (API) proporcionadas en MSDN Library

Registros de contador

El servicio obtiene datos del sistema cuando ha transcurrido el

intervalo de actualizacin, en lugar de esperar a que se produzca un
suceso determinado.

90

RENDIMIENTO
Recopilacin de datos para anlisis

Ejercicio:

Crear un fichero con registros de contador y analizarlo

91

RENDIMIENTO
Monitor de confiabilidad

Permite medir la estabilidad del sistema y analizar

tendencias a partir de eventos individuales que
pueden afectar a la estabilidad general, como:
Instalaciones de software
Actualizaciones del sistema operativo
Errores de hardware.

La informacin de configuracin se recopila de los

valores de las claves del Registro de Windows.
92

RENDIMIENTO

Monitor de confiabilidad

93

WINDOWS 7 XP MODE

94

ENTORNO WINDOWS 7
Mquina Virtual XP dentro de Windwos 7
Qu es Windows 7 XP Mode?
Nueva versin de Windows Virtual PC
Windows XP Professional SP3 VM,
preconfigurado con Firewall y actualizaciones
automticas.
Disponible en W7 Professional, Enterprise y
Ultimate.

95

PARTE 2
ADMINISTRACIN DE
WINDOWS EN UNA RED DE
ORDENADORES
ATICA
96

NDICE
1.
2.
3.
4.
5.
6.
7.

Creacin del entorno bsico de

pruebas
Planificacin del Directorio Activo
Creacin del Directorio Activo
Directorio Activo - Conceptos
Server Core
Read Only Domain Controllers
Seguridad

97

CREACIN DEL ENTORNO

BSICO DE PRUEBAS

ATICA
98

CREACIN DEL ENTORNO BSICO DE

PRUEBAS

Entorno virtual con VMWare

S.O. Windows Server 2008 y W.7

Acceso a las imgenes ISO de los DVD

Red local virtual VMnet1 (host-only)

99

CREACIN DEL ENTORNO BSICO DE

PRUEBAS

100

CREACIN DEL ENTORNO BSICO DE

PRUEBAS

Sistemas operativos base

Windows

Server 2008 Datacenter

Windows

Server 2008 Standard

Windows

Server 2008 Standard Core

Windows

WS2K8D
WS2K8S

WS2K8C
Win7

101

CREACIN DEL ENTORNO BSICO DE

PRUEBAS

Acciones a realizar:
Cambiar

A-tic-A

contrasea de Administrador:

Instalar

VMWare Tools.
Cambiar nombre de la mquina.
Activar la deteccin de redes
Cambiar configuracin de actualizaciones a no
actualizar nunca.
Comprobar la direccin IP y apuntarla

102

CREACIN DEL ENTORNO BSICO DE

PRUEBAS

Cambio de nombre en un Server Core:

> Netdom renamecomputer %computername%

/NewName:nuevo-nom

Comprobar la direccin IP en Server Core

> Ipconfig /all

103

Cmo ampliar el periodo de evaluacin de Windows?

-

Comprobar estado: slmgr.vbs dli

Restablecer periodo: slmgr.vbs rearm

(Se puede ejecutar 2 veces, lo que permite 3 periodos

de evaluacin. Se puede planificar y automatizar.)
Ms informacin: Support.microsoft.com/kb/948472

104

PLANIFICACIN DEL
DIRECTORIO ACTIVO

ATICA
105

Planificacin del
Directorio Activo
Uno o varios dominios?

Razones por las que se debe crear ms de un dominio:

Requisitos de contraseas distintos en los diversos departamentos y
divisiones
Nmero muy grande de objetos
Administracin descentralizada de la red
Mayor control de la replicacin

El uso de un nico dominio en toda una red tiene ventajas

si la administracin es centralizada y el nmero de
usuarios no muy alto.

106

Planificacin del
Directorio Activo
rboles y Bosques
Un bosque es una coleccin de dominios que
permite:
La interaccin de los usuarios con el directorio.
La administracin de mltiples dominios.
Un rbol es un conjunto de uno o varios dominios
con nombres DNS contiguos.
Un bosque puede tener ms de un rbol.

107

Planificacin del
Directorio Activo
Unidades Organizativas (OU)
Son

contenedores de AD con usuarios, grupos,

equipos y otras OU.

No

puede contener objetos de otros dominios.

Se

le pueden asignar directivas de grupo

Se puede delegar la autoridad administrativa.

108

Planificacin del
Directorio Activo
Diseo de un Active Directory

109

Planificacin del
Directorio Activo
Determinar el nmero de bosques de una red

Escenario con un nico bosque Normalmente

es suficiente en la mayora de las situaciones.
Administracin ms sencilla. Los cambios de
configuracin slo tienen que aplicarse una vez
para afectar a todos los dominios.
Escenario con varios bosques Si hay muchas
divisiones autnomas que:
No confan en sus administradores respectivos.
No pueden acordar una poltica de cambios en el bosque.
Desean limitar el alcance de una relacin de confianza.

110

Planificacin del
Directorio Activo
Plan de dominios
Dibujar la topologa de la red

111

Planificacin del
Directorio Activo
Plan de dominios
Crear particiones en el bosque

112

Planificacin del
Directorio Activo
Plan de dominios
Plan de rboles de dominios

113

Planificacin del
Directorio Activo
Plan de dominios
Plan de Unidades Organizativas OU

114

Planificacin del
Directorio Activo
Plan de dominios
Plan de topologa de sitios

115

Planificacin del
Directorio Activo
Nuestro ejemplo

Delegacion

empresa.es

filial.es
SedeFilial

SedeCentral

rrhh.empresa.es
116

Planificacin del
Directorio Activo
Nuestro ejemplo

Delegacion

empresa.es

filial.es
SedeFilial

Controladores
de Dominio

SedeCentral

RODC

rrhh.empresa.es
117

CREACIN DEL
DIRECTORIO ACTIVO

ATICA
118

DIRECTORIO ACTIVO
Creacin del Directorio Activo de ejemplo

Laboratorio

Clonar

las mquinas base para obtener

mquinas que se pueden borrar y volver a
crear facilmente.
Tomar nota de todos los nombres,
contraseas, direcciones IP etc que se
vayan asignando.
Despus de instalar el primer DC,
observar los cambios producidos en el S.O.
119

DIRECTORIO ACTIVO
- CONCEPTOS -

ATICA
120

Directorio Activo
Novedades en W2008

Active Directory Domain Services

Active Directory Lightweight Directory Services

Reemplaza a Active Directory

Reemplaza a Active Directory Application Mode o ADAM

Funciones de Servidor

Funcionalidades del servidor como AD DS, AD LDS, y DNS

Se administran centralmente a travs del Server Manager

Server Core para controladores de dominio

Opcin de instalacin mnima del Servidor

Menor superficie de ataque debido a los pocos componentes
instalados

121

Directorio Activo
Novedades en W2008
AD DS reiniciable

Sin reiniciar el servidor, ahora se puede:

Aplicar parches de los DS

Realizar una desfragmentacin offline

Un servidor con los DS parados es similar a un

servidor miembro

NTDS.dit est offline

Puede iniciarse sesin local con la contrasea del Modo de
Recuperacin del Directorio Activo (DSRM)

Ojo: Un usuario que conozca la pwd de recuperacin podra arrancar en modo DSRM y forzar la
desinstalacin del AD DS comprometiendo todo el bosque => PROTEGERLA !!!!

122

Directorio Activo
Novedades en W2008
Directivas de Grupo

DFS-R reemplaza a FRS para la replicacin de Sysvol

Compresin
Replicacin diferencial block-level
Planificacin
Control de Ancho de Banda

Es necesario que el Bosque/Dominio est funcionando en

el nivel funcional de Windows Server 2008

Requiere que todos los DCs sean Windows Server 2008

El paso de FRS a DFS-R no es automtico

123

DIRECTORIO ACTIVO

AD incluye:
esquema conjunto de reglas que definen las
clases de objetos y los atributos del directorio
Un catlogo global contiene informacin acerca de
los objetos del directorio. Permite encontrar
informacin con independencia del dominio.
Un sistema de ndices y consultas, para publicar
y encontrar objetos y sus propiedades.
Un servicio de replicacin distribuye los datos
del directorio por toda la red a travs de los
controladores de dominio.
El

124

DIRECTORIO ACTIVO

Caractersticas principales:
Seguridad

Administracin
Escalabilidad

flexible y simplificada

Alta

disponibilidad
Capacidad de ampliacin
Compatibilidad con estndares abiertos
Acceso mediante programacin simple
Autenticacin de usuarios

125

DIRECTORIO ACTIVO

(Fuente: Caja Madrid) 126

DIRECTORIO ACTIVO

Autenticacin en el Directorio Activo:

La

Autoridad de Seguridad Local (LSA) es el

subsistema de responsable de la autenticacin.
LSA tambin procesa solicitudes de autenticacin
realizadas por medio del protocolo Kerberos.
LSA del DC de autenticacin genera un testigo de
acceso de usuario y le asocia un Id. de seguridad
(SID).

Testigo de acceso contiene nombre de usuario, grupos a

los que pertenece, SID del usuario y todos los SID de los
grupos a los que pertenece.
127

DIRECTORIO ACTIVO
Cuentas de Directorio Activo
Cuentas de usuario: Es un objeto almacenado en
el AD que permite su inicio de sesin nico en la
red
Cuentas locales
Cuentas de dominio
Cuentas Integradas (Built-in)

Cuentas de Equipos. Ofrecen una forma de

autenticar y auditar a los equipos que acceden a la
red y a recursos del dominio.
Cuentas de grupos: Coleccin de usuarios,
equipos y otros grupos. Su principal objetivo es
simplificar la administracin

128

DIRECTORIO ACTIVO
User Principal Name (UPN)
En AD, cada cuenta de usuario tiene:

Un nombre de
inicio de sesin de
usuario.
Un nombre de
inicio de sesin de
usuario anterior a
Windows 2000

UPN = nombre_de_inicio_de_sesin@Sufijo_UPN

Un sufijo UPN (User

Principal Name, segun
RFC 822)

129

DIRECTORIO ACTIVO
Cmo agregar Sufijos UPN
En la consola de Dominios y confianzas del AD

juanp@empresa.cl

juanp@grupoempresas

130

Directorio Activo

NOMINACIN DE OBJETOS

Se puede hacer referencia a cada objeto de Directorio Activo con

varios nombres diferentes. AD crea a partir de los datos durante
la creacin del objeto:

El nombre completo relativo LDAP: identifica unvocamente al

objeto dentro su contenedor principal.

El nombre completo LDAP: es globalmente nico.

CN=JuanP, OU=Users, DC=empresa, DC=es

El nombre cannico: se crea de la misma manera que el nombre

completo, pero se representa con una notacin diferente.

CN=JuanP

Empresa.es/Users/JuanP

Objetos principales de Seguridad (Security Principals): Son

objetos del directorio que tienen asignados un Identificados
nico de seguridad (SID)
131

DIRECTORIO ACTIVO
Sintaxis LDAP
Cmo se construye el DN (Distinguish Name)

CN= : Common Name.

OU= : Unidad Organizativa
DC= : Domain Component

Ejemplos:

Dominio:

Controlador de Dominio:

DC=rrhh,DC=empresa,DC=es

Site:

CN=DC1,OU=Domain Controllers,DC=empresa,DC=es

Dominio hijo:

DC=empresa,DC=es

CN=SedeCentral,CN=Sites,CN=Configuration,DC=empresa,DC=es

Usuario:

CN=Administrador,CN=Users,DC=empresa,DC=es
132

DIRECTORIO ACTIVO
Bsquedas LDAP al directorio

RootDSE es parte del estndar de LDAPv3.0

Definido en RFC 2251

Define la raz de bsqueda en un servidor LDAP

Muestra, entre otras cosas, las particiones bsicas a las que se puede
conectar un cliente
Pasos:

Conexin con un servidor LDAP

Antes de consultar hay que validarse

Por defecto devuelve RootDSE

Opcin bind con usuario y contrasea

Buscar

Definir el mbito de la bsqueda (Base DN)

Uso de filtros con sintaxis LDAP (Sintaxis LDAP)

Profundidad de la bsqueda (En el mbito dado)

Resultados a devolver (Qu atributos extraer)

133

Directorio Activo

NOMINACIN DE OBJETOS

Objetos en NTds.dit (editor ADSI)

134

DIRECTORIO ACTIVO
Creacin de usuarios en AD

Para crear/modificar/borrar un solo usuario

Usuarios y equipos de Directorio Activo

DsAdd, DsMod, DsRm (Scriptables). Solo en servidores DC

Para crear/modificar/borrar mltiples usuarios

Csvde

LDIFDE

Importa/Exporta usuarios desde/a un fichero .csv

Utiliza ficheros de texto, con formato de lneas separadas para cada
atributo, para crear, modificar o borrar objetos en el Directorio Activo

ADSI: Interfaz de programacin para crear objetos en Directorio Activo va

desarrollo

En todos los casos, se deben especificar al menos estos atributos:

DN,objectClass, sAMAccountName, userPrincipalName, displayName,

userAccountControl

135

DIRECTORIO ACTIVO

Grupos de Distribucin:

Grupos

Utilizados por aplicaciones de correo (p.e Microsoft Exchange

Server 2000/2003)
No pueden ser usados para especificar controles de acceso a
recursos.

Grupos de Seguridad:

Asignacin de derechos (funciones que se pueden desempear)

Asignacin de permisos de acceso a recursos
Permiten anidacin, es decir, meter unos grupos dentro de otros.

Ambos tipos de grupo pueden ser de tres mbitos distintos:

Locales de Dominio
Global
Universal

136

DIRECTORIO ACTIVO

Grupos Locales de Dominio

Pueden contener:

Grupos Universales, Globales, Locales de su dominio

Usuarios de cualquier dominio del bosque

Pueden pertenecer a otro grupo Local de Dominio

Solo son visibles en su propio dominio
Se utilizan para asignar permisos a recursos existentes
en el dominio en donde se esta creando el grupo

137

DIRECTORIO ACTIVO
Grupos Globales
Pueden contener:

Usuarios, Grupos y equipos de su propio dominio

Otros grupos globales

Pueden pertenecer a Grupos Locales, Universales o

Globales del mismo dominio
Son visibles desde cualquier dominio del bosque en
los que se confe.
Pueden asignarse a recursos de cualquier dominio
de confianza del bosque

138

DIRECTORIO ACTIVO

Pueden contener:

Grupos Universales

Usuarios y equipos de cualquier dominio del bosque

Grupos globales o universales de cualquier dominio del bosque

Pueden pertenecer a otros grupos universales y a grupos Locales

de Dominio.
Son visibles desde todos los dominios del bosque
Se usan para asignar permisos a recursos relacionados en todos
los dominios del bosque, anidando en ellos grupos globales.

Identificar qu grupos son Locales, Globales y Universales en el primer controlador de

dominio instalado en el laboratorio.

139

DIRECTORIO ACTIVO

Grupos

140

DIRECTORIO ACTIVO

Transitividad

Tipos de Confianzas

Transitivas (T)
Intransitivas (I)

Bidireccionales (B)
Unidireccionales (U)

Entre dominios (padres/hijos): Transitivas bidireccionales

Entre races de rboles: Transitivas bidireccionales

Externa: Con NT 4.0 (I, U/B)

Territorios: Kerberos con sistemas no Windows: (T/I, U/B)
Bosque: Entre bosques (T, U/B)
Acceso Directo: Para mejorar los tiempos de acceso entre
dominios lejanos lgicamente (T, U/B)

Direccin

Confianzas por defecto

Otros tipos de confianzas:

141

DIRECTORIO ACTIVO
Confianzas

NT 4.0

Kerbero
s

142

DIRECTORIO ACTIVO

Dominios y Confianzas de AD

143

DIRECTORIO ACTIVO

Almacn de datos del directorio

Contiene informacin acerca de objetos como usuarios, grupos,

equipos, dominios, unidades organizativas y directivas de
seguridad.
Se almacena en controladores de dominio. Cada DC dispone de
una copia.
Los cambios realizados en el directorio en un DC se replican al
resto de DC en el dominio, el rbol de dominios o el bosque.
AD utiliza cuatro tipos diferentes de particiones de directorio:

Dominio. informacin acerca de los objetos de un dominio.

Configuracin. describen la topologa del directorio.
Esquema. definicin formal de todos los datos de objetos
Aplicacin. datos de aplicaciones

Cuando un DC es catlogo global, almacena un subconjunto de

datos del directorio para todos los dems dominios del bosque.
Los datos del directorio se almacenan en el archivo Ntds.dit del
DC. Los datos privados se almacenan de forma segura y los datos
pblicos del directorio se guardan en SYSVOL desde donde se
pueden replicar a otros controladores del dominio.
144

DIRECTORIO ACTIVO

Control de acceso en Active Directory

Un descriptor de seguridad contiene dos listas de

control de acceso (ACL):

Listas de control de acceso discrecional (DACL). Identifican a los

usuarios y grupos que tienen asignados o denegados permisos de acceso
a un objeto.

Listas de control de acceso al sistema (SACL). Identifican a los

usuarios y los grupos que desea auditar cuando consiguen o no
consiguen obtener acceso a un objeto.

Las DACL y las SACL estn asociadas de forma

predeterminada con todos los objetos de AD.

145

Directorio Activo
ACCESS TOKEN Y
ACLS
DACL:
Discretionary
Access control
List
SACL: System
Access Control
List
ACE: Access
Control Entry

146

DIRECTORIO ACTIVO
Funciones de servidor de Active Directory

Servidores miembro

Pertenece a un dominio
No es un controlador de dominio.
No procesa inicios de sesin de cuentas, no participa en la replicacin de AD ni
almacena informacin de directivas de seguridad de dominio.

Controladores de dominio (DC)

Almacena una copia de lectura y escritura del directorio de AD.

Autentica usuarios.
Sincroniza los datos del directorio utilizando replicacin.

Controladores de dominio de solo lectura (RODC)

Para escenarios donde la seguridad local no se puede garantizar o donde

almacenar credenciales de usuarios y servicios se considera un riesgo no
asumible.
El administrador del dominio decide qu contraseas se replican o cachean.

147

Directorio Activo
Catlogo Global

DC que almacena una copia de todos los objetos de AD del bosque

(Copia completa de su dominio y parcial de los dems dominios del bosque

Funciones:
Bsqueda de objetos
Autenticacin del nombre
principal de usuario
Informacin de pertenencia a
grupos universales en un entorno
de dominios mltiples
Validacin de referencias a
objetos dentro de un bosque
148

Directorio Activo
Funciones del maestro de operaciones (FSMO)
(funciones flexibles de operaciones de un solo maestro)

Maestro de esquema
Maestro de nombres de dominio
Maestro de Id. relativo (RID)
Maestro emulador del controlador principal de
dominio (PDC)
Maestro de infraestructuras

149

Directorio Activo
Funciones del maestro de operaciones (FSMO)
Funciones que solo puede desempear un DC en cada
bosque:
Maestro de esquema: DC que controla todos los
cambios que tienen lugar en el esquema.

Maestro de nombres de dominio: Controla las

altas y bajas de dominios del bosque.

150

Directorio Activo
Funciones del maestro de operaciones (FSMO)
Funciones que solo puede desempear un DC en cada
dominio:
Maestro de Id. relativo (RID): Asigna secuencias de Id.

relativos (RID) a cada uno de los distintos controladores del dominio que
los usa para asignar id. de seguridad (SID).

Maestro emulador del controlador principal de

dominio (PDC): Acta como controlador principal de dominio.

Tambin se encarga de sincronizar la hora en todos los controladores del

dominio.

Maestro de infraestructuras: Es el responsable de

actualizar las referencias de los objetos de su dominio en los objetos de

los otros dominios.
151

Directorio Activo
Funciones del maestro de operaciones (FSMO)
Qu DCs ejercen las funciones FSMO en un dominio?

> netdom query /Domain:empresa.es FSMO

Maestro de esquema
Maestro nomencl. Dominios
PDC
Administrador de grupos RID
Maestro de infraestructura

WS2K8DC1.empresa.es
WS2K8DC1.empresa.es
WS2K8DC1.empresa.es
WS2K8DC1.empresa.es
WS2K8DC1.empresa.es

El comando se complet correctamente.

152

Directorio Activo
Transferir funciones del maestro de operaciones
Es una operacin crtica que hay que realizar cuando
debe sustituirse el DC que la haca.
Funcin

Consola de MMC

Maestro de esquema

Esquema de AD

Maestro nomencl. Dominio

Dominios y confianzas de AD

PDC

Usuarios y equipos de AD

Administrador de grupos RID

Usuarios y equipos de AD

Maestro de infraestructura

Usuarios y equipos de AD

Ejercicio: Llegar a los cuadros de dilogo para transferir las funciones de maestro de Operaciones

153

Directorio Activo
Transferir la funcin del maestro de esquema
El complemento de consola Esquema de Active
Directory no aparece por defecto:
Es preciso registrar la dll: schmmgmt.dll Para ello:
Colocarse en %windir%\system32
Ejecutar: regsvr32 schmmgmt.dll

154

SERVER CORE

ATICA
155

Server Core
Server

Core es una opcin de instalacin

mnima de Windows Server 2008
GUI?

Desaparece (En su mayora).

Windows Explorer? Desaparece.
Internet Explorer y Media Player? Desaparecen.
.Net Framework? Desaparece
MMC? Tambin desaparece.

Diseado

para cubrir ciertos entornos y cargas

de trabajo
Disponible en 32 y 64 bits
156

Server Core
Porqu Server Core?

Reduce el mantenimiento del software

Reduce la superficie de Ataque

Menos cosas que gestionar.

Consumo menor de Memoria

Menos cosas que parchear y asegurar

Reduce la Gestin

Solo se instalan los componentes esenciales

Ejemplo: 184 MB frente a 309 MB

Menos espacio en disco requerido

Core: 1.6 GB / Completo: 7.6 GB

Instalacin base (sin Pagefile.sys).

(A la gente de UNIX les pone).

157

Server Core
Server, Server Roles

Opciones Mnimas de Instalacin

(Por ejemplo, solo)

Poca superficie

TS

Interface por Lnea de Comando

IAS

Web Share
Server Point

Etc

Conjunto limitado de Roles de

Servidor
Roles de Servidor de Server Core
DNS

DHCP

File

AD

Web
Server

Media
Server

Server Core
Seguridad, TCP/IP, Sistema de Ficheros, RPC,
y otros Sub-Systems del nucleo de Servidor.

Servidor
With WinFx, Shell, Tools, etc.

GUI, CLR,
Shell, IE,
Media, OE,
etc.

SERVER CORE
Compatibilidad de Aplicaciones
Las aplicaciones han de ser probadas
NO esta disponible lo siguiente:
.Net

Framework (En WS2008 R2 s estar disponible)

Windows Explorer (shell o GUI)
Globos de notificacin
Run as
PowerShell (En WS2008 R2 s estar disponible)
MMC

159

SERVER CORE
Se

puede:

Instalar

2008

No

Instalacin
desde el mismo DVD de Windows Server

se puede:

Actualizar

desde versiones previas de Windows

Convertir una instalacin completa en Core
Convertir una instalacin Core en completa

160

SERVER CORE
Configuracin Inicial de Server Core

Establecer la contrasea del Administrador

y hacer click en Cambiar la Contrasea

net user administrator *

Cambiar el nombre del servidor

CTRL+ALT+DEL

Netdom renamecomputer %computername% /Newname:nuevonombre

Configurar una IP Esttica

Netsh

interface ipv4

show interfaces
show address
set address 2 static 192.168.x.104 255.255.255.0
set dnsserver 2 static 192.168.x.101 primary

161

SERVER CORE
Configuracin Inicial de Server Core

Ver opciones bsicas de configuracin del Server Core

Cscript scregedit.wsf
(ejecutado desde %windir%\system32)
Cscript scregedit.wsf/cli

Activar la copia de Windows

Unirse a un dominio (si se requiere)

Netdom join /domain:dominio /UserD:usuario

/PassworD:contrasea /UserO:usuario
/PasswordO:contrasea /reboot

Aadir funciones (roles) y caractersticas

Slmgr.vbs ato

Ocsetup

Listar las funciones y caractersticas instaladas

Oclist

Ejercicio: Activar la consola remota para acceder al server core desde otro equipo.

162

SERVER CORE
SCRegEdit.wsf
No todas las tareas se pueden ejecutar mediante la
lnea de comando o de manera remota
SCRegEdit.wsf esta incluido en Server Core para:
Permitir las actualizaciones automticas
Permitir Sesiones de terminal en modo administracin
Permitir la administracin remota del Monitor de IPSEC
Configurar el peso y la prioridad de un registro DNS SRV

Nuevo modificador /cli que lista comandos y

modificadores comunes
Localizado en \Windows\System32

163

SERVER CORE
OCList.exe
nica herramienta de linea de comando
propia de Server Core
Lista los roles de servidor y las
funcionalidades adicionales que se pueden
instalar con OCSetup
Lista si los paquetes estn o no instalados

164

SERVER CORE

Aadir Roles de Servidor

nicamente mediante lnea de comando, sin Server Manager
Start /w Ocsetup RolePackage

DHCP = DHCPServerCore
DNS = DNS-Server-Core-Role
File Replication service = FRS-Infrastructure
Distributed File System service = DFSN-Server
Distributed File System Replication = DFSR-InfrastructureServerEdition
Network File System = ServerForNFS-Base
Media Server = MediaServer
Print = Printing-ServerCore-Role
LPD = Printing-LPDPrintService

Active Directory

Dcpromo instala el Active Directory

Dcpromo /unattend:Unattendfile
Ocsetup no esta soportado para instalar Active Directory

165

SERVER CORE
Aadir Caractersticas Adicionales
Start /w ocsetup OptionalFeaturePackage

Failover Cluster = FailoverCluster-Core

Network Load Balancing =
NetworkLoadBalancingHeadlessServer
Subsystem for UNIX-bases applications = SUA
Multipath IO = MultipathIo
Removable Storage Management = Microsoft-WindowsRemovableStorageManagementCore
Bitlocker Drive Encryption = BitLocker
Backup = WindowsServerBackup
Simple Network Management Protocol (SNMP) = SNMP-SC
Telnet Client = TelnetClient
WINS = WINS-SC
QoS = QWAVE

166

SERVER CORE
Desinstalar funciones y caractersticas
Start /w Ocsetup Package /uninstall
Excepto

Hay que usar DCPromo y demote

NO

para Active Directory

Dcpromo /unattend:<unattendfile>

Esto tambin elimina los binarios del Active Directory

hay herramienta de entorno grafico para

instalar o desinstalar roles y funcionalidades
en remoto

167

SERVER CORE
Administracin de Server Core
CMD para ejecucin de comandos en local
CMD usando Terminal Server
WS-Management y Windows Remote Shell
para ejecucin remota de comandos
WMI
Programador de Tareas para ejecutar trabajos
y tareas
Event Logging y Event Forwarding
RPC y DCOM para soporte remoto a MMC
168

SERVER CORE
Hardware en un Server Core
Plug and Play esta incluido en Server Core

Si se aade hardware con un driver que ya est incluido en el

sistema, PnP lo instalara silenciosamente

Si el driver no esta incluido, pero tienes un driver PnP

para el hardware
Copiar los ficheros del driver al servidor
Ejecutar: Pnputil i a driverinf

Para listar los drivers instalados

sc query type= driver

Para eliminar un driver

sc delete driver_name

169

SERVER CORE
Trucos
Panel de control (Algunos)
Cambio

de la Zona horaria Control timedate.cpl

Cambios para el idioma o teclado Control intl.cpl

Notepad,
La

Incluido con algunas limitaciones

Ayuda no funciona
Cuadros de dialogo antiguos
Copiar, Pegar, Buscar, Reemplazar, si funcionan

Si

cierras lnea de comando

Presionar

ctrl-alt-del, click Start Task Manager,

Cierra e inicia sesin
170

SERVER CORE
Limitaciones
NO hay soporte para cdigo manejado
No

hay globos de notificacin, como por

ejemplo para las actualizaciones o la
activacin. Tampoco para la notificacin de la
caducidad de las contraseas

Ejecutar

como no esta soportado

171

READ ONLY DOMAIN

CONTROLLERS

ATICA
172

RODC
Desafos de las delegaciones remotas

Los administradores se enfrentan a los siguientes desafos a la

hora de desplegar Controladores de Dominio en una delegacin
remota
El DC se coloca en una localizacin fsica insegura
El DC tiene una conexin de red poco fiable con el HUB
El personal de la delegacin tiene pocos conocimientos o permisos
para gestionar el DC, por lo que:

Los Domain Admins gestionan el DC remotamente, o

Los Domain Admins delegan privilegios al personal de la delegacin

Para consolidar la infraestructura de Directorio Activo, los

administradores quisieran eliminar los DCs de las delegaciones
remotas, pero

Los usuarios no podran iniciar sesion o acceder a recursos de red si

la WAN falla

173

RODC
Desafos de las
delegaciones remotas

174

RODC
Modelos de Administracin recomendados

Cuentas no cacheadas (por defecto)

A Favor: Mas seguro, permitiendo adems la autenticacin rpida y

la aplicacin de polticas
En Contra: No hay acceso offline para nadie. Se requiere de la WAN
para el inicio de sesin

La mayor parte de las cuentas cacheadas

A Favor: facilidad en la gestin de contraseas. Para entornos en los

que es ms importante la administrabilidad que la seguridad.
En contra: Ms contraseas expuestas potencialmente por el RODC

Solo una pocas contraseas cacheadas

A Favor: Permite el acceso offline de quien lo necesite realmente,

maximizando la seguridad de los dems
En Contra: Requiere una administracin granular ms fina

Mapear equipos por delegacin

Requiere buscar manualmente el atributo Auth2 para identificar las
cuentas

175

RODC
Menor superficie de ataque para los DCs
de delegaciones remotas

Por defecto, no hay contraseas de usuarios o equipos

almacenadas en un RODC
El Read-only Partial Attribute Set (RO-PAS) puede evitar que las
credenciales de las aplicaciones se repliquen al RODC
Estado de Solo lectura con replicacin unidireccional del AD y
FRS/DFSR
Cada RODC tiene su propia cuenta KDC KrbTGT para tener
claves criptogrficas propias y distintas
La delegacin del DCPROMO elimina la necesidad de que el
Administrador del dominio se conecte va TS al RODC
Los RODCs tienen cuentas de estacin de trabajo

No son miembros de los grupos Enterprise-DC o Domain-DC

Derechos muy limitados para escribir en el Directorio

Los RODC son totalmente compatibles con Server Core

176

RODC
Como Funciona

Cacheo de secretos en el primer inicio de sesin

1. AS_Req enviado al RODC

(TGT request)
2. RODC: No tiene las credenciales
de este usuario
3. Reenva la peticin al DC del Hub
4. El DC del Hub autentica la peticin
5. Devuelve la peticin de
autenticacin y el TGT al RODC
6. El RODC da el TGT al usuario y
encola una peticion de replicacin
de los secretos
7. El DC del Hub
comprueba la poltica de
replicacin de
contraseas para ver si la
contrasea puede ser
replicada

SEGURIDAD

ATICA
178

SEGURIDAD
Auditoras de cambios en AD
Los
Event
exactamente:

logs

dicen

Quien hizo el cambio

Cundo se hizo el cambio
Que
objeto/atributo
fue
cambiado
Los valores inicial y final

La auditora esta controlada

por
Poltica global de auditora
SACL
Schema

Event

Event

ID
5136

type
Modify

5137

Create

5138

Undelete

5139

Move

Event description
This event is logged
when a successful
modification is made to
an attribute in the
directory.
This event is logged
when a new object is
created in the directory.
This event is logged
when an object is
undeleted in the
directory.
This event is logged
when an object is moved
within the domain.

179

SEGURIDAD

Backup/Recovery

Windows Server Backup (wbadmin.exe)

NTBackup est discontinuado

Nueva tecnologa Block-Level, basada en imgenes
Backup/recovery del System State por lnea de comandos
Debe hacerse a una particin diferente
Recuperacin del System State en DSRM (auth & non-auth)

Se instala agregando: Caractersticas de copia de

Seguridad de Windows Server

No est instalado por defecto

180

Seguridad

DATABASE MOUNTING TOOL

NTDSUtil.exe permite sacar instantneas (snapshots) de AD DS/LDS

regularmente.

DsaMain.exe permite a los administradores elegir la instantnea

ms apropiada y exponerla con LDAP.
NO permite restaurar objetos (hay que hacerlo manualmente)
Ahora: Herramienta + tombstone reanimation + LDAP
Post-WS08: Undelete?

181

Seguridad
DATABASE MOUNTING TOOL

NTDSUtil.exe

? (para ver las opciones disponibles).

snapshot
Instantnea: ?
Instantnea: activate instance NTDS
Instantnea: create

(para ver las opciones disponibles)

(se establece la instancia a NTDS)

Creando instantnea...
Conjunto de instantneas {b9b1cfd4-8687-46f3-906d-f5eddf7e8e54} generado correctamente.

Instantnea: list all

1: 2008/08/24:23:13 {b9b1cfd4-8687-46f3-906d-f5eddf7e8e54}
2: C: {88626e0b-72ca-4b56-8a44-df66d7eb761e}

Instantnea: mount {b9b1cfd4-8687-46f3-906d-f5eddf7e8e54}

Instantnea {88626e0b-72ca-4b56-8a44-df66d7eb761e} montada como C:\
$SNAP_200808242313_VOLUMEC$\

DsaMain.exe

dsamain /dbpath C:\

$SNAP_200808242313_VOLUMEC$\Windows\NTDS\ntds.dit
/ldapport 456

EVENTLOG (Informational): NTDS General / Control de servicios : 1000

Inicio de los Servicios de dominio de Active Directory de Microsoft completado,
versin 6.0.6001.18000

182

Seguridad
ADUC: Proteccin contra borrado accidental
Algunos objetos y contenedores tienen una nueva opcin: Prevent
container from accidental deletion (por defecto est marcado cuando se
crea una OU)

Objeto/OU existentes

Nueva unidad Organizativa

183

Seguridad
Polticas de contraseas granulares
(PSO)
PSO
Resultante
= PSO1
Precedencia= 10

Password
Settings Object

PSO 1

Se aplica a

Se
ap
lic
aa

PSO
Resultante
= PSO1

Precedencia= 20

Password
Settings Object

Se aplica a

PSO 2

Aplicar una PSO => modificar atributo msDsPSOAppliesTo

184

Seguridad
ADMINISTRACIN DE PSO

Recomendacin: Administracin basada en grupos

Delegar la modificacin de la membresa del grupo

Esta caracterstica puede ser tambin delegada

Por defecto, solo los Administradores de Dominio pueden:

Crear y leer PSOs
Aplicar una PSO a un grupo o usuario

Permisos

Operacin a Delegar

Permisos Delegados

Crear y borrar PSOs

En el PSO:
Create all child objects
Delete all child objects

Aplicar PSOs a usuarios/grupos

En el PSO:
Write
185

FIN

ATICA
186