Estrategias utilizando Grupos

Estrategias utilizando grupos en un dominio simple.

En inglés lo denominan A G DL P, y sería el anidamiento adecuado.
A = Cuentas de usuario
G = Grupos globales
DL= Grupos de dominio local
P = Permisos

Lo que vendría a decir qué:
Agrupamos a los usuarios en un Grupo Global, y éstos se agrupan en un grupo local de dominio, ya sea uno de los existentes o cualquier otro que hayamos creado nosotros, toda vez que tenemos el anidamiento aplicaríamos los permisos a los recursos, archivos, impresoras, etc... al Grupo Local de Dominio, y no a los grupos globales ni a los usuarios.

Ahora veamos el anidamiento y las diversas estrategias posibles en múltiples dominios.

¿Qué es el anidamiento de grupos?

Al utilizar el anidamiento de grupos lo que haces es hacer a un grupo miembro de otro.

Las opciones dependerán del nivel de funcionalidad del dominio establecido.

E un nivel mixto no se pueden crear grupos de seguridad de ámbito universal.

Un grupo Universal puede contener cuentas de usuario, cuentas de equipo, otros grupos universales y globales de cualquier dominio.

Un grupo global puede contener cuentas de usuario, cuentas de equipo, grupos universales y globales del mismo dominio del grupo global.

Un grupo de dominio local puede contener cuentas de usuario, grupos universales y globales de cualquier dominio. Además pueden contener otros grupos de dominio local del mismo dominio.

Consejo: Minimiza el anidamiento, un sólo nivel de anidamiento es el más efectivo método, porque el seguimiento de los permisos se complica con múltiples niveles.

Estrategias de grupo

Si queremos utilizar grupos de forma efectiva necesitaremos pensar en unas estrategias para aplicarlas a los diferentes ámbitos de grupo. La elección de éstas depende del entorno de la Red Windows de tu empresa. En un dominio simple, la practica más común es utilizar grupos globales y de dominio local para asignar permisos a los recursos de la red. En entornos de múltiples dominios, se pueden añadir grupos globales y universales en la estrategia.

Con A G P , emplazas cuentas de usuarios(A) en grupos globales(G) y les asignas permisos(P) a los grupos globales. La limitación de ésta es que se complica su administración en múltiples dominios. Si los grupos globales de varios dominios requieren los mismos permisos, entonces debes asignarlos a cada grupo global individualmente.

Esta estrategia (A G P) se puede utilizar en bosques de un sólo dominio y pocos usuarios y al que no se añadirán otros dominios.

- Tiene las ventajas de que los grupos no necesitan anidamiento y por tanto la solución de problemas es más fácil, y las cuentas pertenecen a un ámbito de grupo sólo.

- Las desventajas son que cada vez que un usuario se autentica en un recurso, el servidor debe comprobar el grupo global al que pertenece para determinar si el usuario todavía es miembro del grupo. Y el funcionamiento se degrada ya que un grupo global no se guardá en caché.

Con A DL P, emplazamos cuentas de usuario(A) en grupos de dominio local(DL) al que damos permisos(P). Una limitación de ésta estrategia es que no podemos asignar permisos a recursos fuera del dominio. Por lo tanto, esto reduce la flexibilidad según la red va creciendo.

Podemos utilizarla en un bosque donde se cumple lo siguiente:
- Sólo hay un dominio y pocos usuarios.
- Nunca añadirás otros dominios al bosque.
- No hay servidores miembros con Windows NT en el dominio.

Tiene las ventajas de que las cuentas pertenecen a un ámbito de grupo sólo y los grupos no están anidados facilitando la resolución de problemas.
En cambio, el funcionamiento se degrada, porque cada grupo de dominio local tiene demasiados miembros que deben ser autenticados.

A G DL P, aquí emplazamos cuentas de usuario(A) en grupos globales(G), y a éstos en grupos de dominio local(DL) a los que damos permisos(P). Esta estrategia quizás ofrece mayor flexibilidad para el crecimiento de la red y reduzca el número de veces en que necesitamos configurar permisos.

Podemos utilizarla en un bosque consistente en uno o más dominios y al que añadiremos otros en el futuro.
Cuenta con las ventajas de que los dominios son flexibles y los propietarios de los recursos requieren menor acceso a Active Directory para asegurar la flexibilidad de sus recursos.
Como desventaja diremos que es una estructura escalonada más compleja en su inicio, pero más fácil de manejar al pasar el tiempo.

A G U DL P, emplazamos cuentas de usuarios(A), en grupos globales(G), estos en grupos Universales(U), que a su vez emplazamos en grupos de dominio local(DL), a los que les asignamos permisos(P).

Dicha estrategia se utilizaría en un bosque con más de un dominio donde los administradores necesitan administración centralizada para muchos grupos globales.

- Sus ventajas serían una flexibilidad a lo largo del bosque y la administración estaría centralizada.

Como desventajas nos encontramos con:
- que los miembros de los grupos universales se almacenan en el catálogo global. (El catálogo global es un DC que almacena una copia de TODOS los objetos del AD en un bosque. El catálogo global almacena copia completa de todos los objetos de AD de su propio dominio y una copia parcial de todos los objetos de los otros dominios del bosque)
- Puede ser necesario añadir más servidores catálogo global.
- Se aumenta la latencia de la replicación de catálogo global, refereido al tiempo que se tarda en replicar cada servidor catálogo global en el bosque.

Hay una desventaja al usar grupos Universales, sólo si estos tienen muchos miembros dinámicos con un tráfico alto de replicación de catálogo global, por los cambios en sus miembros, en un bosque multidominios. Con G U DL P, esto es menor porque los miembros de los grupos universales son relativamente estáticos (esto es, contiene grupos globales, no usuarios individuales).

A G L P, esta estrategia está limitada a los recursos del equipo local.

Puede utilizarse el mismo grupo global en múltiples equipos locales.

Esta estrategia podría usarse si el dominio cumple ciertas características:
- Se ha actualizado desde Windows NT a Windows Server 2003
- Contiene un sólo dominio
- Tiene pocos usuarios
- No se añadirán nunca otros dominios.
- Para mantener estrategia de grupos de Windows NT
- Para mantener centralizada la administración de usuarios y descentralizada la de recursos

Es recomendable en todo caso si hay servidores miembros que ejecutan Windows NT server dentro de un AD de Windows Server 2003.

Las ventajas vienen determinadas por la estrategia de mantener los grupos de NT y los propietarios de los recursos son miembros de cada grupo que necesita acceso.

Las desventajas son que AD no mantiene ningún control, se crean grupos repetidos en los servidores miembro y no puede activarse una administración centralizada.

Como modificar los permisos a los objetos de Active Directory

Windows Server 2003 determina si un usuario está autorizado para utilizar un objeto de AD mediante la comprobación de los permisos concedidos al propio usuario en dicho objeto, que se listan en el DACL. Cuando un administrador permite o deniega los permisos de un objeto, se reconfiguran los permisos heredados desde su objeto padre.

Podemos Agregar permisos:

Si las características avanzadas no están activadas, en Usuarios y equipos de Active Directory, menú Ver, pulsaremos en Características avanzadas (Advanced Features)

En el árbol de la consola, clic derecho sobre el objeto y seleccionamos propiedades.

En el cuadro de diálogo de propiedades, ficha Seguridad, clic en Agregar.

En el cuadro de diálogo Seleccionar usuarios, equipos, o grupos, escribiremos en el cuadro nombre el nombre del usuario o grupo al que queremos concederle permisos y pulsaremos Aceptar.

Podemos Modificar permisos existentes:

Si las características avanzadas no están activadas, en Usuarios y equipos de Active Directory, menú Ver, pulsaremos en Características avanzadas (Advanced Features)

En el árbol de la consola, clic derecho sobre el objeto y seleccionamos propiedades.

En el cuadro de diálogo de propiedades, ficha Seguridad, en el cuadro de permisos seleccionamos las casillas permitir o negar en cada uno de los permisos que queremos permitir o denegar.

Podemos ver los permisos especiales:

Normalmente los permisos estándar son más que suficientes para la mayor parte de tareas administrativas. Sin embargo, puede necesitarse ver los permisos especiales que constituye un permiso estándar.

Para verlos:

En el cuadro de diálogo de las propiedades del objeto, ficha seguridad, pulsamos en el botón Avanzadas.

En el cuadro de diálogo configuración avanzada de seguridad, de la ficha permisos, pulsamos en la entrada que deseamos ver y pulsamos Editar.

Si queremos ver permisos especiales para atributos específicos, en el diálogo de Entrada de permiso, pulsaremos en la ficha propiedades.

Finalmente podemos modificar la herencia de permisos:

En el cuadro de diálogo de las propiedades del objeto, ficha seguridad, pulsamos en el botón Avanzadas.

En el cuadro de diálogo configuración avanzada de seguridad, de la ficha permisos, pulsamos en la entrada que deseamos ver y pulsamos Editar.

En el diálogo de Entrada de permiso, pulsaremos en la ficha Objeto, en el cuadro Aplica a seleccionamos lo que queremos.

HERRAMIENTAS ADMINISTRATIVAS DEL DIRECTORIO ACTIVO

Las herramientas administrativas permiten a los administradores añadir, buscar, y cambiar equipos, las configuraciones de red y los objetos de AD.

Las herramientas para gestionar el entorno de Windows Server 2003 pueden instalarse en equipos con Windows XP Professional y Windows Server 2003 para administrar la red y AD de forma remota.

Las herramientas administrativas del directorio activo son:

Usuarios y equipos: Los usuarios y equipos de Active Directory sirve para administrar destinatarios.

Sitios y servicios.

Dominios y confianzas.

DIRECTIVAS DE GRUPO

¿Qué es una directiva de grupo?

Un objeto de directiva de grupo (GPO: Group Policy Object) es un conjunto de una o más políticas del sistema. Cada una de las políticas del sistema establece una configuración del objeto al que afecta. Por ejemplo, tenemos políticas para:

· Establecer el título del explorador de Internet

· Ocultar el panel de control

· Deshabilitar el uso de REGEDIT.EXE y REGEDT32.EXE

· Establecer qué paquetes MSI se pueden instalar en un equipo

· Etc…

¿Cuáles son los tipos troncales de directivas?

Podemos definir dos categorías de tipos troncales de directivas:

1. Según su función

2. Según su objeto de configuración

Directivas según su función

Hay dos tipos troncales de directivas según su función:

1. Directivas de seguridad: ¿Cuántos caracteres tiene una contraseña? ¿Cada cuanto tiempo debe ser cambiada ésta?, etc. Pueden ser aplicadas:

a. A nivel de dominio: Son aplicadas en todas las máquinas del dominio.

b. A nivel de controladores de dominio: Se aplican tan sólo en los controladores de dominio, pero sin suplantar a las del dominio (en caso de entrar en contradicción una y otra, se aplica la del dominio, no la de los controladores de dominio).

2. Directivas de Entorno (GPO -> Group Policy Object): ¿Quién tiene acceso al panel de control? ¿Cuál es el tamaño máximo del archivo de registro de sistema? Pueden ser aplicadas:

a. A nivel de equipo local

b. A nivel de sitio

c. A nivel de dominio

d. A nivel de Unidad Organizativa (OU -> Organizational Unit).

Directivas según el objeto al que configuran

Respecto al objeto al que configuran también son dos:

e. Configuración del equipo: que se divide en:

Configuración de software

Configuración de Windows

Plantillas administrativas

f. Configuración del usuario, que al igual que la de Windows se divide en:

Configuración de software

Configuración de Windows

Plantillas administrativas

Aunque las configuraciones de equipo y usuario se dividan en las mismas partes, dentro de éstas son diferentes las políticas que se encuentran.

¿Qué objetos son los contenedores de las GPO’s?

Las GPO’s pueden estar contenidas en cuatro tipos de objetos:

1. Equipos Locales: son aplicadas únicamente en el equipo que las tiene asignadas independientemente del dominio al que pertenezcan.

2. Sitios de Active Directory: se aplican para todos los equipos y/o usuarios de un sitio, independientemente del dominio del mismo bosque al que pertenezcan.

3. Dominios de Active Directory: se aplican a todos los equipos y/o usuarios de un dominio.

4. Unidades Organizativas de Active Directory: se aplican únicamente a los equipos y/o usuarios que pertenezcan a la propia unidad organizativa (OU).

UNIDADES ORGANIZATIVAS

Las OUs son utiles porque pueden usarse para organizar cientos de objetos en el directorio dentro de unidades administrables. Las usamos para agrupar y organizar objetos con propositos administrativos como delegar derechos administrativos y asignar politicas para una colección de objetos como una unidad simple:

permite organizar objetos en un dominio: contiene objetos del dominio; cuentas de usuario equipo y grupos, archivos e impresoras.

Nos permite delegar control administrativo: control total de permisos en los objetos y modificar información en el mail de los usuarios de la OU.

Simplifica la administración de los recursos comúnmente agrupados: privilegios administrativos sobre una OU o todas las OUs de un dominio.

NOMBRES ASOCIADOS A LAS OU

Nombre completo relativo del LDAP identifica unívocamente el objeto dentro de su contenedor principal.

Nombre completo de LDAP es globalmente ùnico.

Nombre canònico se crea de la misma manera que el nombre completo; pero se representa con una notación diferente.

EJEMPLO: Alejandra del dominio redes.com

OU=Alejandra DC=redes DC=com

Redes.com /Alejandra

DC DC OU

SEGUNDO MODULO 14 JULIO 2008

¿Cómo cambiarle la contraseña de linux con un Live CD de ubuntu?

Ingresamos el Live CD y entramos a la terminal

sudo bash
fdisk -l
mount (particion) /ruta
chroot /
passwd
reboot

¿Que hacer cuando instalo en un portatil, Debian Lenny y no me carga

1. Ingreso la direccion en el repositorio
2. Exporto el proxy
3. instalo el paquete
4. reinicio
5. compilo
6. e inicio el paquete para iniciar el modo consola

vi /etc/apt/sources.list
deb http://ftp.debian.org/debian lenny main contrib non-free
guardo y salgo
export http_proxy="http://ip:#puerto"
instalo
apt-get installbuild-essential module-assistant fglrx-driver fglrx-kernel-src
luego de instalar y reiniciar compilo
m-a update
m-a prepare
m-a a-i fglrx
y por ultimo inicio
aticonfig --initial

¿Como instalar el driver de la tarjeta inalambrica del portatil hp?

apt-get install b43-fwwtter


¿Como recuperar el arranque (GRUB) con un live cd?

fdisk -l para mirar en que particion esta linux
grub
grub>root (hd0,#) #particion donde esta la de linux
grub>setup (hd0)
grub>reboot

Y listo

VERSIONES DEL KERNEL DE LINUX

El kernel ó núcleo de linux se puede definir como el corazón de este sistema operativo. Es el encargado de que el software y el hardware de tu ordenador puedan trabajar juntos.

Las funciones más importantes del mismo, aunque no las únicas, son:

• Administración de la memoria para todos los programas y procesos en ejecución.
• Administración del tiempo de procesador que los programas y procesos en ejecucion utilizan.
• Es el encargado de que podamos acceder a los periféricos/elementos de nuestro ordenador de una manera cómoda.

• Las versiones del núcleo se numeran hoy en dia con 4 digitos, de la siguiente forma: AA.BB.CC.DD.
  
  AA: Indica la serie/versión principal del núcleo.
  BB: Indica la revision principal del núcleo. Numeros pares e impares no tienen ningun significado hoy en dia.
  CC: Indica nuevas revisiones menores del núcleo. Cambia cuando nuevas caracteristicas y drivers som soportados.
  DD: Este digito cambia cuando se corrigen fallos de programación o fallos de seguridad dentro de una revisión.

Hoy en dia se suele usar el nucleo distribuido con la distribucion que el usuario utiliza. Son las distribuciones las encargadas de distribuir núcleos estables a sus ausuarios y estos nucleos se basan en el núcleo ("vanilla") distribuido por Linux Torvalds y el equipo de programadores del núcleo.


ultimas versiones del kernel:

Ultima version estable del kernel:	2.6.26
Ultima version alpha de la serie 2.6:	2.6.27-rc1
Ultima version estable de la serie 2.4:	2.4.36.6
Ultima version alpha de la serie 2.4:	2.2.26
Ultima version estable de la serie 2.2:	2.2.27-rc2

Ultima actualizacion 31/07/2008 08:51:02

Cada distribución distribuye sus nucleos por los canales de actualización habituales para cada una de ellas.

TEMA DIRECTORIO ACTIVO

¿Qué es el AD?

El AD es un servicio de red que almacena informacion a cerca de los recursos existentes en la red y controla el acceso de los usuarios y las aplicaciones a dichos recursos. De esta forma, se convierte en un medio de organizar, administrar y controlar centralizadamente el acceso a los recursos de la red.

¿Para que sirve?

El AD sirve para centralizar todos los recursos en la red; compartir recursos en el dominio.

¿Que servicios provee?

Los servicios que provee el AD son: DHCP;DNS;SNTP;LDAP;Kerberos y certificados.

¿Cual es la infraestructura del AD?

La infraestructura logica del AD son: bosque;arbol;dominios; unidades organizativas y objetos.

FSMO (Flexible Single Master Operations)

Algunas operaciones a nivel de dominio y de empresa que no son adecuadas para actualizaciones de varios maestros las realiza un solo controlador de dominio en un dominio o bosque de Active Directory. Los controladores de dominio designados para realizar estas operaciones exclusivas se denominan maestros de operaciones o titulares de la función FSMO.

En la lista siguiente se describen las 5 funciones FSMO exclusivas de un bosque de Active Directory, así como las operaciones dependientes que realizan:

1 Emulador de PDC (PDC Emulator): Afecta a todo el dominio y hay una para cada dominio. Esta función es necesaria para el controlador de dominio que envía actualizaciones de base de datos a los controladores de dominio de reserva de Windows NT. El controlador de dominio propietario de esta función es también el objetivo de ciertas herramientas de administración y actualizaciones de contraseñas de cuentas de usuario y de equipo.

2 Maestro RID (RID Master): Cada objeto debe tener un único numero global, afecta a todo el dominio y hay uno para cada dominio. Esta función es necesaria para asignar el grupo de RID, con objeto de que los controladores de dominio nuevos o existentes puedan crear cuentas de usuario y de equipo, así como grupos de seguridad.

3 Maestro de infraestructuras (Infrastructure Master): Responsable de chequear objetos en otros dominios “universal group membership” seria un ejemplo importante de esto, afecta a todo el dominio y hay uno para cada dominio. Esta función es necesaria para que los controladores de dominio puedan ejecutar correctamente el comando adprep /forestprep, así como para actualizar los atributos SID y de nombre completo para los objetos a los que se hace referencia entre varios dominios.

4 Maestro de nombres de dominio (Domain Naming Master): Este asegura que cada “child domain” tenga un nombre único, afecta a todo el bosque y hay uno para cada bosque. Esta función es necesaria para agregar o eliminar dominios o particiones de aplicaciones en un bosque.

5 Maestro de esquema (Schema Master): Realiza las operaciones que expanden por ejemplo las propiedades de usuario, como Exchange 2003 / forestprep que agrega las propiedades de correo al usuario, afecta a todo el bosque y hay uno para cada bosque. Esta función es necesaria para expandir el esquema de un bosque de Active Directory o para ejecutar el comando adprep /forestprep.

El Asistente para instalación de Active Directory (Dcpromo.exe) asigna las 5 funciones FSMO al primer controlador de dominio del dominio raíz del bosque. Las tres funciones específicas del dominio ( Emulador de PDC, Maestro RID y Maestro de infraestructuras) se asignan al primer controlador de dominio de cada nuevo dominio secundario o de árbol, las otras 2 son únicas en el “forest”. Para que quede mas claro, los roles (1. 2. y 3.) van a estar presentes en cada dominio, mientras que el (4. y 5.) son únicos en todo el “forest”. Entonces, si tenes 3 dominios habrán tres Emuladores PDC, pero solo 1 Maestro de esquema.

¿Requisitos para instalar el AD?

1. Microsoft windows server 2003 standar edition; enterprise o datacenter.
2. 250 MB de espacio en el disco 200 MB para la base de datosde AD y 50 MB para los logs de transaciones del directorio activo.
3. Una particion o un volumen con formato NTFS.
4. Privilegios necesarios para crear el dominio.


¿Cómo ingresar mas de dos usuarios por escritorio remoto?

El equipo al que se conectan los usuarios por escritorio remoto es indispensable que tenga excelente capacidad ya que por cada equipo que se conecta gasta recursos del equipo aproximadamente de 30 a 100 MB en el procesamiento.