Juan Carlos Pérez González. UD5. Administración de dominios

Transcripción

1 UD5. Administración de dominios Ferramentas gráficas e en liña de comandos para a administración de dominios. Obxectos do dominio. Organización dos obxectos na estrutura do dominio. Tipos de contas. Contas de usuarios e equipamentos. Administración de contas. Contas predeterminadas. Contrasinais. Bloqueos de conta. Perfís móbiles e obrigatorios. Cartafoles persoais. Patróns de usuario. Variables de contorno. Administración de grupos: tipos. Estratexias de aniñamento. Grupos predeterminados. 1. Ferramentas gráficas e en liña de comandos para a administración de dominios. WINDOWS A lo largo de las prácticas se manejará de forma preferente la herramienta gráfica de gestión del dominio. En lo que respecta a los comandos para la administración de dominios son los siguientes (no están todos sino los más útiles): chklnks Herramienta Gráfica que nos permite ver todos los links muertos que se encuentran en nuestro servidor. De la misma forma nos da la opción de Eliminarlos. chknic Permite comprobar si la tarjeta de red que tiene instalado el servidor soporta NLB (Network Load Balance). cleanspl Herramienta Gráfica que permite restaurar el Spooler de Impresión a su estado original. Hay que estar pendiente de usar esta herramienta, ya que elimina todos los trabajos de impresión, drivers de impresoras, colas de impresión e impresoras del servidor. cluster Permite Administrar un cluster de Windows Server A través de este comando se pueden crear, eliminar, habilitar y deshabilitar recursos en los nodos del cluster. También permite reparar errores encontrados en los nodos. Ejemplo: Cluster <NombreDelCluster> res "NombreRecurso" /on off Habilita (on) o deshabilita (off) el recurso especificado en el cluster especificado. csvde -f Userslist.csv Exporta todos los objetos usuarios y computadoras a el archivo especificado. Ejemplos: csvde -d "OU=Usuarios,OU=Finanzas,DC=dominio,dc=com" -f UsrFnz.csv Exporta los objetos de una sesión especificada del directorio activo. csvde -r objectclass=computer -f Computer.csv Exporta todos los objetos del directorio activo especificados por el valor objectclass a un archivo. Algunos objectclass validos: USER, COMPUTER. dcdiag /A Realiza un diagnostico a todos los controladores de dominio. 1

2 dcdiag /fix Realiza algunas reparaciones básicas de los controladores de dominio. dcdiag /e /test:frssysvol Comprueba que todos los Dc del dominio Tengan disponibles los recursos SYSVOL y NETLOGON. DnsCmd /clearcache Vacía la caché del servidor DNS los registros consultados DnsCmd /info Obtiene información básica del servidor DNS DnsCmd /enumzones Enumera las zonas existentes en el servidor de Dns. Muestra que tipo de zonas son, donde se encuentran almacenadas. Netdom query fsmo Muestra los roles fsmo del dominio Netdom query trust Muestra las relaciones de confianza del dominio Netsh DHCP show server Muestra o descubre todos los servidores DHCP disponibles en la red. PromqryUI Permite detectar que adaptadores de red o interfaces de red se encuentran en modo promiscuo, lo cual nos puede indicar que alguien esta realizando un sniffing a nuestra red. Repadmin /Showreps * Muestra los estados de replicación del controlador de dominio desde donde se ejecutó el comando. Solo muestra la replicación de ese controlador de dominio con el resto de Dcs que se encuentran en el mismo site. Repadmin /failcache Muestra los eventos fallidos de replicación. Replmon Herramienta Gráfica que nos permite ver los estados de Replicación del Directorio Activo, Forza la Replicación y nos permite ver la topología de los controladores de Dominio. Setx Define variables en el entorno del equipo, mas no en las del usuario Shutdown /i Mediante interfaz gráfica permite el apagado de varios equipos al mismo tiempo Subinacl /subdirectories c:\* /cleandeletedsidsfrom=midominio Permite revisar las acls (listas de control de acceso) de los directorios ubicados en la unidad c: y eliminar los SID Huerfanos o SID Muertos. Wmic computersystem where "Name='nombreviejo'" CALL Rename nombrenuevo, contraseña administrador, usuarios administrador Mediante la consola permite cambiar el nombre a una estacion de trabajo. NO funciona cuando el equipo esta unido a un dominio. Wmic useraccount GET name,lockout Permite ver las cuentas bloqueadas 2

3 Wmic /node:"machine-name" /user:"administrator" rdtoggle where (AllowTSConnections=0) call SetAllowTSConnections 1 Habilita escritorio remoto en la estacion de trabajo especificada. Este comando se debe ejecutar desde un servidor. Si se ejecuta desde una estacion de trabajo dara error, ya que el alias RDTOGGLE no esta presente. Wmic group GET Obtienes un listado de los grupos locales, incluye el SID de cada grupo. Wmic datafile "c:\\directorio\\archivo.doc" call takeownership Reemplaza al propietario del archivo especificado. Se tienen que tener credenciales de administrador. La ruta hacia el archivo se debe especificar con doble barra (\\). Wmic datafile "c:\\directorio\\archivo.doc" call compress Comprime el archivo especificado. Se tienen que tener credenciales de administrador. La ruta hacia el archivo se debe especificar con doble barra (\\). Wmic datafile where name="c:\\windows\\system32\\ntdll.dll" get version Obtiene la version del archivo especificado. Wmic computersystem where name="nombrepc" Call joindomainorworkgroup name="nuevo-grupo" Une el equipo al grupo de trabajo especificado. No funciona con equipos unidos al dominio. Insisto son solo una serie de comandos y todos ellos contienen opciones que los hacen más versátiles. Para analizarlas: c:\>comando /? Son muy importantes también los comantos net. Son comando para tareas en red, por lo que solo veremos los más importantes y no pisar los contenidos de otro módulo. net accounts -> Actualiza la base de datos y modifica las directivas de seguridad de contraseñas de los usuarios net computer -> Agrega o quita equipos en una base de datos de dominios net config -> Muestra y modifica lo servicios configurables que están en ejecución. net config Server -> Muestra o cambia la configuración para el servicio servidor mientras este está en ejecución. net config workstation -> Muestra o cambia la configuración para el servicio local mientras este está en ejecución net continue -> Inicia de nuevo un servicio interrumpido. net file -> Muestra los nombres de todos los archivos compartidos abiertos en un servidor. net group -> Agrega o elimina grupos globales en un dominio. net help -> Muestra la ayuda de un comando net. 3

4 net helpmsg -> Muestra la ayuda de un numero de error. net localgroup -> Agrega o elimina grupos locales. net name -> Agrega o elimina un nombre para mensajes (alias). net pause -> Puase un servicio que se encuentra en ejecución. net print -> Muestra la cola de impresión. net send -> Envía mensajes de un ordenador a otro por red. net session -> Muestra una lista con las sesiones abiertas conectadas a un equipo local. También podemos cerrarlas. net share -> Comparte carpetas o impresoras (recurso compartido) para ser utilizadas en red. net start -> Inicializa un servicio. net statistics -> Muestra las estadísticas del servicio local o servidor. net stop -> Detiene un servicio que se encuentra en ejecución. net time -> Sincroniza el reloj de un equipo con el de otro equipo y/o servidor. net use -> Crea unidades de red conectando un recurso compartido en él. net user -> Para la gestión de usuarios. net view -> Muestra un listado de los recursos compartidos de un equipo. LINUX Solo comentaremos los relacionados con la administración del servicio LDAP: ldapsearch: busca entradas específicas en el directorio ldapsearch -x grep 'mail:' cut -d " " -f 2 > pp; echo $ (cat pp awk '{print $1"," }') > . El archivo contendrá la lista de todos los , separados por comas, y en una sola línea. ldapmodify: permite cambiar, añadir y borrar atributos ldapadd: pemite añadir una entrada ldapadd -f osmo.ldif -D "cn=admin,dc=osmosislatina,d=com" -w daniel Los ficheros con extensión.ldif contienen los atributos necesarios de una nueva entrada. Un ejemplo sería: 4

5 dn: cn=daniel Robledo,dc=osmosis,dc=com cn: Daniel Robledo p=mexico mail: telefono: (52)-(6) dn: cn=fernanda Fontes,dc=osmosis,dc=com cn: Fernanda Fontes p=brazil mail: telefono: (55)-(11) dn: cn=luis Arano,dc=osmosis,dc=com cn: Luis Arano p=argentina mail: teléfono: (58)-(2) ldapdelete: permite borrar entradas ldapdelete 'cn=luiz Malere,o=TUDelft,c=NL' En cuantos a las herramientas gráficas de gestión del dominio en Linux podemos destacar: phpldapadmin (aplicación web) y JXplorer. phpldapadmin 5

6 jxplorer 2. Obxectos do dominio. Organización dos obxectos na estrutura do dominio. El Directorio Activo, tal como se ha visto en capítulos anteriores, es en realidad una base de datos jerárquica de objetos, que representan las entidades que pueden administrarse en una red de ordenadores. Los tipos de objetos más relevantes que pueden crearse en el Directorio Activo son los siguientes: Usuarios globales En la administración de sistemas Windows independientes, o administración local, se pueden crear en cada sistema cuentas de usuario y de grupo, que sirven para: identificar y autenticar a las personas (usuarios) que deben poder acceder al sistema, y administrar los permisos y derechos que permitirán aplicar el control de acceso adecuado a dichos usuarios en el sistema. Por lo tanto, en el contexto de la protección local, si una persona debe trabajar en varios ordenadores de la organización, necesita poseer una cuenta de usuario en cada uno de ellos. Como veremos a continuación, al disponer de un dominio, esto no es necesario. En un dominio cualquier servidor que actúa como Domain Controller puede crear 6

7 cuentas de usuario global, también denominadas cuentas de usuario del dominio. Las cuentas de usuario del dominio se almacenan en el Directorio Activo y por tanto son conocidas por todos los ordenadores del dominio; en realidad, por su definición en el esquema, las cuentas de usuario son visibles en todos los ordenadores del bosque, es decir, de toda la organización. Un usuario puede utilizar su cuenta del dominio para acceder a recursos situados en cualquier dominio del bosque, es decir, a dicha cuenta se le pueden asignar individualmente permisos y derechos en cualquier recurso y ordenador de la organización. Por ello, cada cuenta de usuario tiene un SID o identificador único en el bosque. En un dominio existen otros tipos de cuentas que poseen este atributo, como por ejemplo grupos y equipos (ordenadores). Por ello, estos tipos de cuentas se conocen como "principales de seguridad". Cuando una persona inicia sesión en cualquier ordenador del bosque utilizando para ello su cuenta de usuario del dominio, el ordenador en cuestión realiza una consulta al Directorio Activo, para que se validen las credenciales del usuario. Los ordenadores miembros de un dominio que no sean DCs, además de reconocer a los usuarios del dominio, pueden crear también sus propios usuarios locales. En este caso, estos usuarios son únicamente visibles en el ordenador en el que han sido creados. Además, es importante resaltar que a dicho usuario local no se le pueden asignar permisos sobre recursos que residan en otro sistema del dominio/ bosque, puesto que allí no existe. Las cuentas de usuario creadas en el Directorio Activo las consideraremos como "usuarios o usuarios del dominio", y como "usuarios locales" a las cuentas creadas localmente en sistemas. Hay que distinguir entre: Nombre de inicio de sesión: Posee dos partes: un identificador de usuario, seguido del símbolo "@" y un nombre de dominio (por ejemplo, "pepito@ies.com"). Este nombre también se conoce como nombre principal del usuario (User Principal Name, o UPN). Debe ser único en el bosque Nombre de inicio de sesión (anterior a Windows 2000). Posee dos partes: el nombre NetBios del dominio donde se crea la cuenta,seguido del símbolo "\" y el nombre de inicio de sesión del usuario (por ejemplo, "ADMON\pepito") Grupos Existen grupos que son almacenados en el Directorio Activo y que por tanto son visibles 7

8 desde todos los ordenadores del dominio (y, en algunos casos, también de otros dominios del bosque). En el directorio pueden crearse dos tipos de grupos: grupos de distribución y grupos de seguridad. Los primeros se utilizan exclusivamente para crear listas de distribución de correo electrónico, mientras que los segundos son principales de seguridad, y por tanto son los que se utilizan con fines administrativos. En concreto, en dominios Windows Server los grupos de seguridad pueden definirse en tres ámbitos distintos: grupos locales de dominio, grupos globales y grupos universales. Grupos locales de dominio. Pueden contener cuentas de usuario de cualquier dominio del bosque, así como cuentas de grupos globales o universales de cualquier dominio del bosque, y otros grupos locales de dominio del mismo dominio (anidamiento). Sólo son visibles en el dominio en que se crean, y suelen utilizarse para administrar recursos (mediante la concesión de permisos y derechos) situados en cualquiera de los ordenadores del dominio. Grupos globales. Pueden contener usuarios del mismo dominio, así como otros grupos globales de dicho dominio (anidamiento). Son visibles en todos los dominios del bosque, y suelen utilizarse para agrupar a usuarios de manera amplia, en función de las labores que realizan o los roles que juegan en el dominio. Grupos universales. Pueden contener cuentas de usuario y grupos globales, así como otros grupos universales (anidamiento), de cualquier dominio del bosque. Son visibles en todo el bosque, y suelen utilizarse para administrar recursos (mediante la concesión de permisos y derechos) situados en ordenadores de varios dominios del bosque. Si el ordenador es un miembro del dominio, se recomienda administrar sus recursos mediante grupos locales del dominio, por dos motivos: primero, porque se consigue una centralización de todas las cuentas en el dominio (los ordenadores miembros son liberados de esta tarea), y segundo, porque las cuentas almacenadas en el Directorio Activo son replicadas entre los DCs del dominio, y por tanto se incrementa la tolerancia a fallos ante una catástrofe. La utilización de grupos universales está recomendada en casos en los que un mismo conjunto de usuarios (y/o grupos) pertenecientes a varios dominios deben recibir acceso a recursos situados en dominios distintos. Esta flexibilidad tiene un coste asociado, que incluye dos aspectos. En primer lugar, la lista completa de miembros de un grupo 8

9 universal se debe replicar al catálogo global, y en segundo lugar, la pertenencia de los usuarios a grupos universales puede afectar su habilidad de iniciar sesión. Cada vez que un usuario inician sesión en un sistema de cualquier dominio del bosque, el DC del dominio donde se autentica la cuenta del usuario debe contactar con un servidor de catálogo global para que éste le informe de posibles grupos universales a los que pertenece. Existen numerosos grupos creados por defecto en Active Directory, tanto en el contenedor "Builtin" como en el contenedor "Users". En el primer caso, los grupos son los equivalentes a los que encontramos como grupos locales por defecto en cualquier sistema Windows independiente o miembro del domino: básicamente, los grupos que tienen concedidos ciertos accesos predeterminado en el propio sistema, tales como "Administradores", "Usuarios", "Operadores de Copia", etc. En el segundo caso, los grupos son propios del Directorio Activo, y su uso tiene relación con ciertas niveles de acceso preasignados en el directorio, aunque en la mayoría de casos, estos grupos están inicialmente vacíos. Entre estos grupos encontramos los siguientes (veremos los del Server 2008): Admins. del domino. Tienen derechos administrativos sobre toda la base de datos del Directorio Activo del dominio, así como localmente en cada DC y cada miembro del dominio. Usuarios del domino. Los miembros de este grupo se consideran usuarios convencionales en el dominio. Cada vez que se añade un usuario al dominio, su cuenta se hace miembro de este grupo automáticamente. Administradores de empresas. Tienen derechos administrativos sobre toda la base de datos del Directorio Activo del bosque. Propietarios del creador de directivas de grupo (Group Policy Creator Owners). Pueden crear nuevos objetos de directiva o política de grupo (GPO) en el dominio. Equipos Como hemos visto, en el Directorio Activo de un dominio se conserva toda la información relativa a cuentas de usuarios y grupos globales. Esta misma base de datos de directoio recoge también una cuenta de equipo por cada uno de los ordenadores del dominio, tanto 9

10 de los DCs como de los sistemas miembro. En particular, las cuentas de los DCs se ubican en la unidad organizativa denominada "DomainControllers", mientras que las del resto de ordenadores se ubican por defecto en el contenedor "Computers" (ambos contenedores se sitúan justo debajo del contenedor que representa el dominio). Entre otros datos, la cuenta de equipo que cada ordenador posee en el dominio incluye los siguientes atributos: Nombre del equipo. Coincide con el nombre que el equipo tiene, sin contar con su sufijo DNS. Contraseña. Cada equipo posee una contraseña que el ordenador utiliza para acreditarse en el dominio, de forma análoga a los usuarios cuando inician sesión. Esta contraseña se genera automáticamente cuando se agrega el equipo al dominio, y se cambia automáticamente cada 30 días. SID. Cada equipo posee un SID, igual que ocurre con las cuentas de usuario y de grupo (por ello, los tres tipos de cuentas se denominan genéricamente "principales de seguridad"). El hecho de que posea un SID permite a una cuenta de usuario el que se le concedan permisos y derechos sobre recursos del dominio, bien directamente, o bien mediante la pertenencia a un grupo que a su vez tenga permisos sobre los recursos. Hay dos protocolos que implementan la autenticación de sistemas y usuarios en el proceso de acceso a los recursos en el dominio. Estos protocolos son NTLM y Kerberos V5. NTLM era el protocolo de autenticación nativo en dominios Windows NT4, y se mantiene básicamente por compatibilidad hacia atrás con estos sistemas. Sin embargo, todos los sistemas del dominio incorporan las versiones Windows 2000, Windows XP o versiones más modernas, la autenticación por defecto en el dominio utiliza el protocolo Kerberos. En Kerberos, la autentificación es mutua, con lo que en la interacción entre servidor y cliente, cada uno autentica al otro, y se garantiza que ninguno de ambos han sido suplantados. En Kerberos, el ordenador cliente (donde está trabajando el usuario) obtiene un tiquet del DC con el que puede acceder a múltiples servidores del dominio, sin que dichos servidores tengan que volver a contactar con el. Además en el caso de Kerberos, las confianzas son bidireccionales y transitivas, y se 10

11 configuran automáticamente conforme se añaden dominios al bosque. Además, Kerberos admite confianzas entre bosques y entre dominios Kerberos que no sean Windows. Unidades Organizativas Las UOs, son objetos del directorio que a su vez, pueden contener otros objetos. El uso fundamental de las UOs es delegar la administración de sus objetos a otros usuarios del dominio distintos del Administrador, así como personalizar el comportamiento de los usuarios y/o equipos mediante la aplicación de directivas de grupo (GPOs) específicas a la unidad. Para finalizar podrías considerar también objetos del AD a impresoras, escaneres... pero todo ello forma parte del concepto de compartición de recursos y permisos sobre ellos que veremos en la UD siguiente. 3. Tipos de contas. Contas de usuarios e equipamentos. Grupos predeterminados. Las cuentas de usuario y las cuentas de equipo de Active Directory representan una entidad física como una persona o un equipo. Las cuentas de usuario también se puede utilizar como cuentas de servicio dedicadas para algunas aplicaciones. Las cuentas de usuario y de equipo (así como los grupos) se denominan también principales de seguridad. Los principales de seguridad son objetos de directorio a los que se asigna automáticamente identificadores de seguridad (SID), que se utilizan para tener acceso a los recursos del dominio. Una cuenta de usuario o de equipo se utiliza para: Autenticar la identidad de un usuario o equipo. Autorizar o denegar el acceso a los recursos del dominio. Administrar otros principales de seguridad. Auditar las acciones realizadas con la cuenta de usuario o de equipo. El contenedor Usuarios ubicado en Usuarios y equipos de Active Directory incluye tres cuentas de usuario integradas: Administrador, Invitado y Asistente de ayuda. Estas cuentas de usuario integradas se crean automáticamente al crear el dominio. Cada cuenta integrada tiene una combinación diferente de derechos y permisos. La cuenta Administrador tiene los derechos y permisos más amplios sobre el dominio. La cuenta Invitado sólo la utilizan los usuarios que no poseen una cuenta real en el dominio 11

12 y con unos derechos y permisos muy limitados. La cuenta Invitado está deshabilitada de forma predeterminada, y se recomienda que permanezca así. La cuenta Asistente de ayuda se trata de la cuenta principal que se utiliza para establecer una sesión de Asistencia remota. La cuenta se crea automáticamente al solicitar una sesión de Asistencia remota, y tiene limitado el acceso al equipo. Active Directory admite la clase de objeto InetOrgPerson y sus atributos asociados definidos en RFC La clase de objetos InetOrgPerson se utiliza en varios servicios de directorio LDAP y X.500 que no son de Microsoft para representar a las personas de una organización. Todos los equipos que ejecutan Windows NT/2000/XP/7 o un servidor que ejecute Windows Server que se unen a un dominio tienen una cuenta de equipo. Las cuentas de equipo son similares a las cuentas de usuario y ofrecen un medio para autenticar y auditar el acceso a la red de los equipos y el acceso a los recursos del dominio. Cada cuenta de equipo debe ser única. Cada cuenta de usuario del Directorio Activo tiene varias opciones de cuenta que determinan cómo se autentica en la red a un usuario que ha iniciado una sesión. Se pueden usar las siguientes opciones para configurar los valores de contraseña e información específica de la seguridad para cuentas de usuario: El usuario debe cambiar la contraseña en el siguiente inicio de sesión El usuario no puede cambiar la contraseña La contraseña nunca caduca Almacenar contraseñas utilizando cifrado reversible Cuenta deshabilitada La tarjeta inteligente es necesaria para un inicio de sesión interactivo Se confía en la cuenta para su delegación La cuenta es importante y no se puede delegar Usar tipos de cifrado DES para esta cuenta No pedir la autenticación Kerberos previa Los grupos predeterminados en Windows Server: Grupo Descripción Derechos de usuario predeterminados Operadores de Los miembros de este grupo Permitir el inicio de sesión local; cuentas pueden crear, modificar y eliminar cuentas de usuarios, 12

13 grupos y equipos que se encuentran en los contenedores Usuarios o Equipos y en las unidades organizativas del dominio, excepto la unidad organizativa Controladores de dominio Los miembros de este grupo pueden iniciar la sesión de forma local en los controladores del dominio y apagarlos. Apagar el sistema. Administradores Tener acceso a este equipo desde la red; Ajustar las cuotas de memoria de un proceso; Hacer copia de seguridad de archivos y directorios; Saltarse la comprobación de recorrido; Cambiar la hora del sistema; Crear un archivo de paginación; Depurar programas; Habilitar la confianza para la delegación Los miembros de este grupo de las cuentas de usuario y de equipo; Forzar el controlan por completo todos los apagado desde un sistema remoto; Aumentar la controladores del dominio. La prioridad de programación; Cargar y descargar cuenta Administrador es controladores de dispositivo; Permitir el inicio de miembro de este grupo de sesión local; Administrar el registro de auditoría y forma predeterminada. seguridad; Modificar valores de entorno del firmware; Hacer perfil de un solo proceso; Hacer perfil del rendimiento del sistema; Quitar un equipo de una estación de acoplamiento; Restaurar archivos y directorios; Apagar el sistema; Tomar posesión de archivos y otros objetos. Los miembros pueden realizar Hacer copia de seguridad de archivos y directorios; Operadores de copias de seguridad y restaurar Permitir el inicio de sesión local; Restaurar archivos copia de seguridad todos los archivos en los DC. y directorios; Apagar el sistema. Invitados De forma predeterminada, el No hay derechos de usuario predeterminados. grupo Invitados del dominio es un miembro de este grupo. La cuenta Invitado (que está deshabilitada de forma predeterminada) también es un 13

14 miembro predeterminado de este grupo. Los miembros de este grupo Creadores de pueden crear confianzas de confianza de bosque de entrada bosque de entrada unidireccionales en el dominio No hay derechos de usuario predeterminados. (sólo aparece en el raíz del bosque. Este grupo no dominio raíz del tiene ningún miembro bosque) predeterminado. Los miembros de este grupo pueden modificar la Operadores de configuración TCP/IP, así como configuración de No hay derechos de usuario predeterminados. renovar y liberar las direcciones red TCP/IP en los controladores del dominio. Los miembros de este grupo pueden supervisar los Usuarios del contadores de rendimiento en No hay derechos de usuario predeterminados. Monitor de sistema los controladores del dominio, tanto de forma local como desde clientes remotos. Los miembros de este grupo pueden administrar los Usuarios del contadores de rendimiento, los registro de registros y las alertas de los No hay derechos de usuario predeterminados. rendimiento controladores del dominio, tanto de forma local como desde clientes remotos Los miembros tienen acceso de lectura en todos los usuarios y Acceso compatible grupos del dominio. Este grupo con versiones Tener acceso a este equipo desde la red; Saltarse se proporciona para garantizar anteriores a la comprobación de recorrido. la compatibilidad con versiones Windows 2000 anteriores en los equipos con Windows NT 4.0 y anteriores. 14

15 Los miembros de este grupo pueden administrar, crear, compartir y eliminar impresoras que están conectadas a los controladores del dominio. También pueden administrar Operadores de objetos de impresora de Active Permitir el inicio de sesión local; Apagar el sistema. impresión Directory en el dominio. Los miembros de este grupo pueden iniciar la sesión de forma local en los controladores del dominio y apagarlos. Este grupo no tiene ningún miembro predeterminado. Los miembros de este grupo Usuarios de pueden iniciar la sesión en los No hay derechos de usuario predeterminados. escritorio remoto controladores del dominio de forma remota. Replicador Este grupo admite funciones de replicación de directorio y el Servicio de replicación de No hay derechos de usuario predeterminados. archivos lo utiliza en los controladores del dominio. No agregue usuarios a este grupo. En los controladores de dominio, los miembros de este grupo pueden iniciar sesiones interactivas, crear y eliminar Hacer copia de seguridad de archivos y directorios; recursos compartidos, iniciar y Cambiar la hora del sistema; Forzar el apagado Operadores de detener varios servicios, hacer desde un sistema remoto; Permitir el inicio de servidores copias de seguridad y restaurar sesión local; Restaurar archivos y directorios; archivos, formatear el disco Apagar el sistema. duro y apagar el equipo. Este grupo no tiene ningún miembro predeterminado. Usuarios Los miembros de este grupo No hay derechos de usuario predeterminados. pueden realizar las tareas más 15

16 habituales, como ejecutar aplicaciones, utilizar impresoras locales y de red, así como bloquear el servidor. De forma predeterminada, el grupo Usuarios del dominio, Usuarios autenticados e Interactivo son miembros de este grupo. Por tanto, todas las cuentas de usuario que se crean en el dominio son miembros de este grupo. En la siguiente tabla se describen los grupos predeterminados ubicados en el contenedor Usuarios y se indican los derechos de usuario asignados a cada grupo. Grupo Descripción Derechos de usuario predeterminados Los miembros de este grupo Publicadores de tienen permitida la publicación de No hay derechos de usuario certificados certificados para usuarios y predeterminados. equipos. DnsAdmins Los miembros de este grupo No hay derechos de usuario (instalado con tienen acceso administrativo al predeterminados. DNS) Servidor DNS. Los miembros de este grupo son DnsUpdateProxy clientes DNS que pueden realizar No hay derechos de usuario (instalado con actualizaciones dinámicas en predeterminados. DNS) lugar de otros clientes, como los servidores DHCP. Administradores de dominio Tener acceso a este equipo desde la red; Ajustar las cuotas de memoria de un Los miembros de este grupo proceso; Hacer copia de seguridad de controlan el dominio por archivos y directorios; Saltarse la completo. De forma comprobación de recorrido; Cambiar la predeterminada, este grupo pasa hora del sistema; Crear un archivo de a ser miembro del grupo 16

17 paginación; Depurar programas; Habilitar la confianza para la delegación de las cuentas de usuario y de equipo; Forzar el apagado desde un sistema remoto; Administradores en todos los Aumentar la prioridad de programación; controladores, estaciones de Cargar y descargar controladores de trabajo y servidores miembro del dispositivo; Permitir el inicio de sesión dominio en el momento en que local; Administrar el registro de auditoría y se une al dominio. De forma seguridad; Modificar valores de entorno predeterminada, la cuenta del firmware; Hacer perfil de un solo Administrador es miembro de proceso; Hacer perfil del rendimiento del este grupo.. sistema; Quitar un equipo de una estación de acoplamiento; Restaurar archivos y directorios; Apagar el sistema; Tomar posesión de archivos y otros objetos. Este grupo contiene todas las estaciones de trabajo y los servidores unidos al dominio. De Equipos del No hay derechos de usuario forma predeterminada, todas las dominio predeterminados. cuentas de equipo creadas pasan a ser miembros de este grupo automáticamente. Controladores de Este grupo contiene todos los No hay derechos de usuario dominio controladores del dominio. predeterminados. Invitados del Este grupo contiene todos los No hay derechos de usuario dominio invitados del dominio. predeterminados. Usuarios del Este grupo contiene todos los No hay derechos de usuario dominio usuarios del dominio. De forma predeterminados. predeterminada, todas las cuentas de usuario creadas en el dominio pasan a ser miembros de este grupo automáticamente. Este grupo se puede utilizar para 17

18 representar todos los usuarios del dominio. Por ejemplo, si desea que todos los usuarios del dominio tengan acceso a una impresora, puede asignar permisos para la impresora a este grupo (o puede agregar el grupo Usuarios del dominio en un grupo local del servidor de impresoras que disponga de los permisos para utilizarla). Tener acceso a este equipo desde la red; Ajustar las cuotas de memoria de un proceso; Hacer copia de seguridad de archivos y directorios; Saltarse la comprobación de recorrido; Cambiar la Los miembros de este grupo hora del sistema; Crear un archivo de controlan por completo todos los paginación; Depurar programas; Habilitar dominios del bosque. De forma la confianza para la delegación de las Administradores predeterminada, este grupo es un cuentas de usuario y de equipo; Forzar el de organización miembro del grupo apagado desde un sistema remoto; (sólo aparece en el Administradores en todos los Aumentar la prioridad de programación; dominio raíz del controladores de dominio del Cargar y descargar controladores de bosque) bosque. De forma dispositivo; Permitir el inicio de sesión predeterminada, la cuenta local; Administrar el registro de auditoría y Administrador es miembro de seguridad; Modificar valores de entorno este grupo. del firmware; Hacer perfil de un solo proceso; Hacer perfil del rendimiento del sistema; Quitar un equipo de una estación de acoplamiento; Restaurar archivos y directorios; Apagar el sistema; Tomar posesión de archivos u otros objetos. Propietarios del Los miembros de este grupo No hay derechos de usuario creador de pueden modificar la Directiva de predeterminados. directiva de grupo grupo en el dominio. De forma 18

19 predeterminada, la cuenta Administrador es miembro de este grupo. IIS_WPG (instalado con IIS) El grupo IIS_WPG es el grupo de procesos de trabajo de los Servicios de Internet Information Server (IIS) 6.0. El No hay derechos de usuario funcionamiento de IIS 6.0 incluye predeterminados. procesos de trabajo para espacios de nombres específicos. Los servidores de este grupo Servidores RAS e tienen permitido el acceso a las No hay derechos de usuario IAS propiedades de acceso remoto predeterminados. de los usuarios. Los miembros de este grupo Administradores pueden modificar el esquema de de esquema (sólo Active Directory. De forma No hay derechos de usuario aparece en el predeterminada, la cuenta predeterminados. dominio raíz del Administrador es miembro de bosque) este grupo. La directiva de bloqueo de cuentas deshabilita una cuenta de usuario si se escribe una contraseña incorrecta un número de veces especificado durante un período de tiempo dado. Esta configuración de directiva ayuda a impedir que los intrusos averigüen las contraseñas de los usuarios y reducen la probabilidad de que los ataques a la red tengan éxito. El umbral de bloqueos de la cuenta determina el número de intentos de inicio de sesión erróneos necesarios para que se bloquee una cuenta de usuario. Una cuenta bloqueda no se puede utilizar hasta que el administrador la restablezca o hasta que caduque la duración del bloqueo de dicha cuenta. Su valor predeterminado es 0. 19

20 4. Perfiles móviles y obligatorios. Cartafoles persoais. Profundizaremos en los perfiles que ya hemos visto en la práctica 7. Podemos definir el perfil de un usuario como el entorno cargado por el sistema cuando un usuario inicia una sesión en el dominio, incluyendo todos los valores de configuración de usuario específicas de su entorno, como elementos de programa, conexiones de red, conexiones de impresoras, escritorio, documentos, etc; estos perfiles de usuario se crean automáticamente la primera vez que un usuario inicia una sesión en el dominio. Los perfiles locales son los perfiles creados en un equipo cuando un usuario inicia sesión. El perfil es específico de un usuario, local al equipo y se almacena solo en el equipo local. El perfil de usuario se almacena en la carpeta C:\DocumentsandSettings. Si en las propiedades del usuario en cuestión se le ha asociado una unidad de red del equipo "SERVIDOR" como ruta de acceso a su perfil, estamos definiendo un perfil denominado perfil móvil, y que se caracteriza porque el perfil de usuario de servidor se descarga en el equipo local cuando un usuario inicia una sesión, y se actualiza tanto localmente como en el servidor cuando el usuario cierra la sesión, de modo que los perfiles de usuarios móviles están disponibles en el equipo "SERVIDOR" cuando se inicia una sesión en cualquier equipo del dominio. Los perfiles móviles, a no ser que se indique lo contrario, almacenarán los cambios en la configuración del perfil indicados por el usuario, actualizando los archivos almacenados en "Mis Documentos" o los iconos existentes en el "Escritorio"... El perfil obligatorio.es el perfil de usuario que se descarga desde el servidor en el equipo cliente donde el usuario en cuestión haya iniciado sesión; cuando dicho usuario cierre sesión en el cliente, los cambios en el perfil NO se almacenarán en el servidor, de modo que el usuario siempre dispondrá del mismo perfil. Los perfiles obligatorios son creados por un usuario "Administrador" y asignados posteriormente a uno o varios usuarios a fin de crear perfiles de usuario invariables. El sistema para poder definir perfiles móviles y obligatorios es el siguiente: a) crear una carpeta compartida donde almacenar los perfiles de los usuarios a ser posible en una unidad distinta de la del SO. 20

21 b) Sobre el botón "Permisos", asignando al grupo "Todos" los permisos "Control Total", "Cambiar" y "Leer", tal y como vemos en la imagen inferior c) El grupo "Todos" debe disponer de los permisos indicados anteriormente para que cada usuario pueda grabar su perfil en su correspondiente carpeta; esto permitiría que cualquier usuario pudiera, potencialmente hablando, grabar lo que 21

22 quisiera en la raíz de la carpeta "Perfiles" si sabe de su existencia, de ahí el hecho de incluir el "$" en el nombre asignado al recurso compartido, para evitar que el recurso compartido sea visible por los usuarios. Contrariamente a lo que se cree, no genera un problema de seguridad. Por defecto se guarda en local en la máquina en la cual se está conectado. Para hacer móvil la carpeta Mis documentos o Documentos lo único que hay que hacer es crear una carpeta compartida (por ejemplo, llamada Usuarios ) donde se vayan guardando los documentos de estos perfiles. d) Abrir Usuarios y Equipos del Directorio Activo en las herramientas administrativas. Seleccionar el usuario al que se le va a añadir el perfil móvil y pinchar con el botón derecho del ratón en Propiedades, y luego la pestaña Perfiles. Aquí hay que indicar la ruta del perfil móvil. En el ejemplo se va a guardar el perfil en el servidor en la ruta \\server\perfiles\%username% donde: server es el nombre del servidor. perfiles es la carpeta compartida que se ha creado en el servidor. %Username% es la variable que automáticamente escribirá el nombre deusuario el propio sistema operativo. Para hacer móvil la carpeta Mis documentos lo único que hay que hacer poner la ruta \\server\usuarios\%username% en el apartado de Conectar a y asignarla una unidad de red, por lo que es usuario le aparecerá una nueva unidad de disco apuntando a sus documentos. 22

23 e) Una vez configurado solo quedará que el usuario se conecté y establezca como ruta de Mis documentos la nueva ruta. Para hacer esto hay que conectarse con el nombre del usuario y seleccionar Botón dcho. en Mis Documentos -> Propiedades e introducir la ruta ( \\server\usuarios\%username% ). Si deseamos convertir el perfil en obligatorio a) Crear una carpeta compartida donde se almacenarán los perfiles obligatorios. Se puede usar la misma carpeta Perfiles creada para los perfiles móviles, aunque en este caso creamos una carpeta dentro llamada obligatorio. 23

24 b) Hay que cambiar la ruta del perfil en el usuario, abrir Usuario y equipos del Directorio Activo > Botón dcho. en el usuario -> Propiedades > Pestaña Perfil. En Perfil introducir el path de la carpeta creada para los perfiles obligatorios. c) Conectarse con el usuario para que cargue el perfil en la carpeta que se ha creado, configurar el entorno del usuario a gusto y seguidamente, para convertir el perfil a obligatorio, hay que renombrar el fichero NTUSER.DAT a NTUSER.MAN. En Linux los directorios de usuarios están situados en /home. Existe dentro un fichero de configuración de nuestro perfil que es el.profile. Se carga cada vez que nos logueamos. Para ver el.profile de un determinado usuario, nos situamos en su directorio home, y ejecutaremos en la consola el siguiente comando: more.profile. Dependiendo de la versión de Linux/UNIX puede tener un contenido parecido a este: 24

25 Para entendernos podríamos decir que el fichero.profile es un script de inicio de sesión, que se ejecuta cada vez que el usuario se loguea en el sistema. Ésto puede resultar muy útil, sobre todo para tareas rutinarias. Por ejemplo, si quisieramos que cada vez que accedieramos al sistema en lugar de situarnos en nuestro home, nos fuéramos al determinado directorio bastaría con agregar: cd /ruta/del/directorio. Con modificaciones en SAMBA podemos hacer que los usuarios se conecten desde cualquier equipo a su directorio personal en Linux. La siguiente orden, hace que cada usuario tenga accesible a través del servidor SAMBA su propio directorio $HOME: [homes] comment = Este es tu directorio browseable = no valid users = %S writable = yes create mask = 0700 directory mask = 0700 Si configuramos un servidor SAMBA como PDC o controlador primario de dominio, deberá configurar un recurso [netlogon]. Para habilitar ese recurso, descomentando: [netlogon] comment = Network Logon Service path = /home/samba/netlogon guest ok = yes read only = yes share modes = no El netlogon (path donde residen los scripts de inicio, políticas, etc...). El directorio se 25