ADMINISTRACIÓN DE WINDOWS SERVER 2003
CONTENIDO Introducción y conceptos básicos Familias de productos Windows Grupos de Trabajo Administración de Usuarios Configuración de Usuarios para Grupos de Trabajo Perfiles de Usuario Directivas de Grupo
CONTENIDO Permisos de Directorios Escritorio y asistencia remota Asignación y Modificación de permisos de archivos y usuarios Uso Compartido de Recursos Taller: Grupos de Trabajo
CONTENIDO Instalación segura de Windows Server 2003 Dominios Conceptos (Dominios, árboles, bosques, unidad organizacional, grupos, estructura, políticas) Instalación de Directorio Activo Administración de cuentas de usuario Administración de grupos Administración de cuentas de equipo
CONTENIDO Acceso a recursos (permisos NTFS y permisos de recurso compartido) Taller: Administración de permisos y recursos Servicios de impresión Administración de dispositivos y controladores Administración de discos Administración de almacenamiento
CONTENIDO Implementación de políticas de seguridad Implementación de directivas de grupo Taller: Implementación de políticas y directivas en un dominio Monitoreo de Windows Server 2003 Taller: Herramientas de monitoreo de Windows Server 2003
CONTENIDO Copias de seguridad y restauraciones Recuperación de desastres Administración de plantillas de seguridad y políticas de auditoría Taller: plantillas de seguridad y políticas de auditoría
CONTENIDO DNS WINS DCHP WINS IIS (Internet Information Services) WSUS Terminal Services (Modo Administración y Modo de Aplicaciones) Taller Instalación y configuración DNS Taller Instalación y configuración WINS
CONTENIDO DNS WINS DCHP WINS IIS (Internet Information Services) WSUS Terminal Services (Modo Administración y Modo de Aplicaciones) Taller Instalación y configuración DNS Taller Instalación y configuración WINS
CONTENIDO Taller Instalación y configuración DHCP Taller Instalación y configuración Terminal Services Modo Administración Taller Instalación y configuración Terminal Services Modo Aplicaciones
CONCEPTOS BÁSICOS - ROLES Rol Características Controlador de Dominio (AD) Almacena un directorio centralizado y administra los procesos de logon, autenticación autorización, políticas, seguridad, etc. Servidor de Archivos Provee almacenamiento centralizado y seguro para archivos Servidor de Impresión Servidor DNS, WINS, DCHP Administra colas de impresión en forma centralizada Servicios básicos de red
CONCEPTOS BÁSICOS - ROLES Rol Servidor de Aplicaciones Terminal Server Características Servidor de correo Servidor web Servidor FTP Servidor de base de datos Servidor de streaming Office Server, Project Server, Workflow server, etc. Provee acceso al entorno Windows a dispositivos remotos a través del protocolo RDP (Remote Desktop Protocol). Modo Admon o Modo App
LA FAMILIA WINDOWS SERVER 2003 Producto Windows Server 2003 Web Edition Windows Server 2003 Standard Edition Características Servidor web. No puede ser controlador de dominio. Soporta hasta 2 GB de RAM y 2 procesadores. Soporta la mayoría de los servicios sobre Windows, excepto clustering. Ideal para ambientes departamentales o pequeñas empresas. Soporta hasta 4 GB de RAM y 4 procesadores.
LA FAMILIA WINDOWS SERVER 2003 Producto Windows Server 2003 Enterprise Edition Características Servidor poderoso y con características de alta disponibilidad (clustering). Soporta hasta 32 GB de RAM y 8 procesadores. MMS (MS Metadirectory Services) Hot Add Memory WSRM (Windows System Resource Manager)
LA FAMILIA WINDOWS SERVER 2003 Producto Windows Server 2003 Datacenter Edition Características Sólo disponible en versión OEM. Soporta hasta 32 procesadores y 64 GB de RAM (en 32 bits) y hasta 64 procesadores y 512 GB de RAM (en 64 bits)
LA FAMILIA WINDOWS SERVER 2003 Producto Windows Server 2003 R2 Características Mejoras en servicios de archivos y Terminal Services.
REQUISITOS MINIMOS DE HARDWARE Producto Windows Server 2003 Web Edition Windows Server 2003 Standard Edition Requisitos mínimos Proc: 133 MHz; 550 MHz recomendado RAM: 128 MB Disco Duro: 1.5 GB disponibles Proc: 133 MHz; 550 MHz recomendado RAM: 128 MB; 256 MB recomendado Disco Duro: 2.0 GB disponibles
LA FAMILIA WINDOWS SERVER 2003 Producto Windows Server 2003 Enterprise Edition Windows Server 2003 Datacenter Edition Características Proc: 133 MHz; 550 MHz recomendado RAM: 128 MB; 256 MB recomendado Disco Duro: 2.0 GB disponibles Proc: 400 MHz; 733 MHz recomendado RAM: 512 MB; 1 GB recomendado Disco Duro: 2.0 GB disponibles
GRUPOS DE TRABAJO Es un grupo de computadores conectados entre sí a través de una red y que comparten recursos. También se les denomina peer to peer debido a que las máquinas comparten los recursos sin un servidor dedicado.
ESTRATEGIAS DE AUTENTICACIÓN Autenticación: Proceso para verificar la identidad de algo o alguien. El usuario es quién dice ser. Normalmente a través de una combinación nombre de usuario y contraseña.
ESTRATEGIAS DE AUTENTICACIÓN Autorización: Proceso para determinar si algo o alguien tiene permisos para usar un recurso. Cómo lo accede? User Resource
Esquemas de Autenticación/Autorización: Característica Grupo_Trabajo Dominio Autenticación Local Centralizada Compartir recursos Definición políticas Local y engorrosa Local (recorridos) Alcance Máximo 10 equipos Local y fácil Centralizada Muchos usuarios
Componentes de Grupo de Trabajo: -Autenticación local -Seguridad local -Políticas locales
Componentes de Grupo de Trabajo: WorkGroup Domain
Administración de Usuarios Locales: Una cuenta de usuario es una cuenta a la cual se le pueden otorgar derechos en el computador en el cual es creada.
Administración de Usuarios Locales - Creación - En la consola de Administración de Equipos - Usando línea de comandos: net user [nombredeusuario [contraseña *] [opciones]] [/domain]
Administración de Usuarios Locales - Creación - El nombre de usuario debe ser único - Puede contener hasta 20 caracteres excepto " / \ [ ] : ; =, + *? < > - La clave puede ser hasta de 127 caracteres. Sin embargo, si en el entorno existen equipos con Win 9X, se recomienda usar password de máximo 14 caracteres. - No debería adicionarse el usuario al grupo Administradores, al menos que sea estrictamente necesario.
Usuarios Locales Predefinidos - Administrador - Invitado: Conexiones anónimas - Support_XXXX: Cuenta de servicios de ayuda y soporte - IUSR_NombreServidor: IIS (Conexión anónima) - IWAM_NombreServidor: IIS
Grupos Locales Predefinidos - Administradores: Acceso completo y sin restricciones - Distributed COM Users: Iniciar, activar, usar objetos COM - Duplicadores: Replicar archivos. - Invitados: Permite a los usuarios ocasionales iniciar una sesión en el equipo utilizando la cuenta de invitado y se le conceden menos capacidades que al grupo local de usuarios. - Operadores conf. de Red: Administrar las conf. de red
Grupos Locales Predefinidos - Operadores de copia: Realizar copias de seguridad y restauraciones. - Operadores de impresión: Pueden administrar impresoras. - Usuarios: Pueden ejecutar aplicaciones, utilizar impresoras locales y de red, cerrar y bloquear la estación de trabajo pero no pueden compartir directorios ni crear impresoras locales. Pueden crear grupos locales nuevos pero únicamente pueden modificar los grupos locales que ellos hayan creado.
Grupos Locales Predefinidos - Usuarios avanzados: Pueden crear cuentas de usuario y grupos locales pero únicamente pueden modificar y eliminar las cuentas que ellos mismos hayan creado. Pueden quitar usuarios de los grupos locales de usuarios avanzados, usuarios e invitados, pero no pueden modificar los grupos locales de administradores u operadores de copia, ni pueden tomar posesión de archivos, copiar o restaurar directorios, cargar o descargar controladores de dispositivo ni administrar los registros de auditoria y seguridad
Grupos Locales Predefinidos - Usuarios de escritorio remoto: Tienen el derecho de iniciar sesión remotamente a través de RDC (Remote Desktop Connection) - Usuarios del monitor del sistema: Acceso remoto para monitorear el equipo. - Usuarios del registro de rendimiento: Acceso remoto al registro de contadores de desempeño. - HelpServicesGroup: Grupo de ayuda y soporte técnico - Telnet Clients: Tienen acceso telnet al servidor.
Directivas Locales Si se tiene un Grupo de Trabajo, la configuración de directivas de grupos y de usuario debe realizarse localmente. Se utiliza mmc (Microsoft Manament Console). Se crea un msc o Consola.
Directivas Locales Crear un msc 1.Haga clic en Inicio y a continuación, haga clic en Ejecutar. 2.Escriba mmc.exe y a continuación, presione ENTRAR.
Directivas Locales Crear un msc 3.En el menú Consola, haga clic en Agregar o quitar complemento.
Directivas Locales Crear un msc 4.Haga clic en el complemento que desea a continuación, haga clic en Agregar.
Directivas Locales Crear un msc 5.Haga clic en Cerrar. 6.Haga clic en Aceptar. 7. Guarde el msc.
Directivas Locales Son de dos tipos: - Directivas de Equipo: Configuración del equipo. - Directivas de Usuario: Usuarios que inicien sesión. Aplican para todos los usuarios que inicien sesión, incluyendo al Administrador
Escritorio Remoto - Disponible Windows 2000 Server y productos posteriores (Windows Server 2003, XP) - Permite administrar un servidor/pc remotamente a través del protocolo RDP - Utiliza el puerto TCP 3389.
Escritorio Remoto
Escritorio Remoto - Se seleccionan los usuarios deseados o se agregan al grupo local: Usuarios de Escritorio Remoto.
Asistencia Remota - Disponible Windows 2000 Server y productos posteriores (Windows Server 2003, XP) - Se usa para soporte técnico, resolución de problemas, entrenamiento.
Asistencia Remota
Asistencia Remota -El usuario puede especificar si el soporte puede tomar control remoto de su equipo o únicamente ver su sesión.
Asistencia Remota -Para recibir asistencia remota, un cliente debe generar una invitación y enviarla a un contacto. Puede usar: Windows Messenger email email (archivo anexo)
Asistencia Remota
Asistencia Remota Excepciones en Firewall: - TCP Port 3389 - TCP port 135 - %WINDIR%\System32\Sessmgr.exe - %WINDIR%\PCHealth\HelpCtr\Binaries\Helpsvc.exe - %WINDIR%\PCHealth\HelpCtr\Binaries\Helpctr.exe
Asistencia y Escritorio Remotos
TALLER: GRUPOS DE TRABAJO
Instalación de Windows Server 2003 - Instalación del Sistema Operativo - Instalación del Directorio Activo - Aplicación de Último Service Pack - Aplicación de Parches o Hotfixes - Guía de Aseguramiento Windows Server 2003 - MBSA
Directorio Activo Es una base de datos distribuida con información sobre usuarios, computadores, impresoras y casi absolutamente cualquier objeto relacionado a la computación en la empresa.
Directorio Activo Administra las identidades en Windows Server 2003 junto a las muchas identidades que están dispersas en otros sistemas y plataformas Controla las directivas de seguridad y el acceso a otros recursos. Los usuarios pueden acceder de forma segura a los recursos de otros dominios con un solo inicio de sesión
Directorio Activo Centraliza la administración de seguridad Da una mejor delegación de la autoridad administrativa Elimina los problemas entre dominios Ofrece mejoras en la administración de dominios Ofrece escalabilidad
Directorio Activo
Directorio Activo Ventajas del Active Directory de Windows Server 2003: Mayor flexibilidad Coste reducido Mejoras: Implementación y administración más sencilla Mayor seguridad Mejor rendimiento y confiabilidad Renombrar Dominios
Cuentas de usuario local vs de dominio Cuenta de usuario local Grupo de Trabajo Dominio
Directorio Activo Nombre Membresía del grupo Contraseña Ruta del perfil Secuencia de comandos de inicio de sesión Carpeta principal Más de 100 propiedades en DA Grupo de Trabajo Dominio
Directorio Activo - Protocolos DNS (Domain Name System) DHCP (Dynamic Host Configuration Protocol ) SNTP (Simple Network Time Protocol) LDAP (Lightweight Directory Access Protocol ) Kerberos: Autenticación de usuarios y equipos Certificados X.509: Información en forma segura
Directorio Activo - Dominio Dominio: Es un conjunto de equipos que comparten una base de datos de directorio común y que se identifica mediante un nombre de dominio DNS. Requiere mínimo un Controlador de Dominio.
Directorio Activo - Dominio Las cuentas de usuarios, grupos y máquinas son creados en el dominio Las políticas de seguridad son definidas a nivel del dominio Políticas de Contraseñas Políticas de Account Lockout Políticas de Ticket Kerberos El dominio es una frontera de administración.
Directorio Activo - Árbol Árbol: Es una jerarquía de dominios que comparten un sufijo DNS. El dominio situado en la raíz del árbol se denomina principal y los posibles subdominios que se creen por debajo se denominan secundarios.
Directorio Activo - Bosque Bosque: Conjunto de uno o más dominios Active Directory que comparten una estructura lógica común.
Directorio Activo Unidad Organizacional Contenedores de objetos en la jerarquía dentro de un dominio Directorio Activo Subdivisiones lógicas del dominio Anidamiento OUs no son Security Principals: OUs no pueden ser miembros de grupos No se puede asignar permisos a recursos a través de OUs Políticas de Grupo pueden ser asociadas a OUs: Permite utilizar distintas políticas de usuarios, equipos y desktops dentro de un mismo dominio.
Directorio Activo Relaciones de Confianza Son canalizaciones de autenticación que se definen para que los usuarios de un dominio puedan tener acceso a los recursos en otro dominio.
Directorio Activo Relaciones de Confianza
Directorio Activo Relaciones de Confianza
Cuentas de Usuario Es un objeto que contiene toda la información que define un usuario en el ambiente de Windows 2003. Se usa para: - Habilitar a alguien para iniciar sesión en un equipo - Habilitar que procesos y servicos corran bajo un contexto seguro - Administrar el acceso de los usuarios a recursos del Directorio Activo (Carpetas, equipos, impresoras, directorios, otros usuarios, etc.)
Cuentas de Usuario Nombre Ejemplo User logon name ahernand Pre-Windows 2000 logon name Diplomado\ahernand User principal logon name ahernand@diplomado.com LDAP relative distinguished name CN=ahernand,CN=users,dc=dip lomado,dc=com
Cuentas de Usuario
Cuentas de Usuario Instalación de Exchange Server Pestañas Exchange ampliadas: Aspectos generales de Exchange Direcciones de correo electrónico Funciones de Exchange
Cuentas de Usuario Plantilla Copiar plantilla Información de la cuenta: Ruta del perfil Membresía del grupo Secuencias de comandos de inicio de sesión Departamento Dirección User003 User001 User002
Cuentas de Usuario -DSADD: Agrega objetos al directorio: dsadd user DNUsuario [-samid nombresam] [-upn UPN] [-fn nombre] [-mi inicial] [-ln apellidos] [-display nombredescriptivo] [-empid idempleado] [-pwd {contraseña *}] [-desc descripción] [-memberof grupo...] [-office oficina] [- tel númerodeteléfono] [-email correoelectrónico] [-hometel númerodeteléfonoparticular] [-pager númerodelocalizador] [-mobile númerodeteléfonomóvil] [-fax númerodefax] [-iptel númerodeteléfonoip] [- webpg páginaweb] [-title cargo] [-dept departamento] [-company compañía] [-mgr director] [-hmdir directorioprincipal] [-hmdrv letradeunidad:][-profile rutadeaccesodeperfil] [-loscr rutadeaccesodesecuenciadecomandos] [- mustchpwd {yes no}] [-canchpwd {yes no}] [-reversiblepwd {yes no}] [- pwdneverexpires {yes no}] [-acctexpires númerodedías] [-disabled {yes no}] [{-s servidor -d dominio}] [-u nombredeusuario] [-p {contraseña *}] [-q] [{-uc -uco -uci}]
Cuentas de Usuario -DSGET: Muestra las propiedades del objeto dsget userdnusuario...[-dn][-samid] [-sid][-upn] [-fn] [-mi] [-ln] [-display] [- empid][-desc][-office] [-tel] [-email] [-hometel] [-pager] [-mobile][-fax] [- iptel][-webpg][-title][-dept][-company][-mgr][-hmdir][-hmdrv][-profile][- loscr][-mustchpwd][-canchpwd][-pwdneverexpires][-disabled][- acctexpires][-reversiblepwd][{-uc -uco -uci}][-partdnpartición[-qlimit][- qused]]
Cuentas de Usuario -DSMOD: Modifica las propiedades del objeto dsmod user DNUsuario... [-upn UPN] [-fn nombre] [-mi inicial] [-ln apellidos] [-display nombredescriptivo] [-empid IdDeEmpleado] [-pwd (contraseña *)] [-desc descripción] [-office oficina] [-tel númerodeteléfono] [-email direccióndecorreoelectrónico] [-hometel númerodeteléfonoparticular] [- pager númerodelocalizador] [-mobile númerodeteléfonomóvil] [-fax númerodefax] [-iptel númerodeteléfonoip] [-webpg páginaweb] [-title cargi] [-dept departamento] [-company Compañía] [-mgr director] [-hmdir directorioprincipal] [-hmdrv letradeunidad:] [-profile rutadeaccesodeperfil] [- loscr rutadeaccesodesecuenciadecomandos] [-mustchpwd {yes no}] [- canchpwd {yes no}] [-reversiblepwd {yes no}] [-pwdneverexpires {yes no}] [-acctexpires númerodedías] [-disabled {yes no}] [{-s servidor -d dominio}] [-u nombredeusuario] [-p {contraseña *}][-c] [-q] [{-uc -uco - uci}]
Cuentas de Usuario -DSMOVE: Mueve el objeto dentro del directorio dsmove DNObjeto [-newname nuevonombre] [-newparent DNPrincipal] [{-s servidor -d dominio}] [-u nombredeusuario] [-p {contraseña *}] [-q] [{-uc - uco -uci}]
Cuentas de Usuario -DSRM: Elimina el objeto del directorio dsrm DNObjeto... [-subtree [-exclude]] [-noprompt] [{-s servidor -d dominio}] [-u nombredeusuario] [-p {contraseña *}][-c][-q][{-uc -uco -uci}]
Cuentas de Usuario -DSQUERY: Consulta Directorio Activo dsquery user [{nododeinicio forestroot domainroot}] [-o {dn rdn upn samid}] [-scope {subtree onelevel base}] [-name nombre] [-desc descripción] [-upn UPN] [-samid nombredesam] [-inactive númerodesemanas] [-stalepwd númerodedías] [-disabled] [{-s servidor -d dominio}] [-u nombredeusuario] [-p {contraseña *}] [-q] [-r] [-gc] [-limit númerodeobjetos] [{-uc -uco -uci}]
Cuentas de Usuario EJEMPLOS DE COMANDOS: DSADD DSGET DSQUERY DSRM DSMOVE
PERFILES DE USUARIO - Un perfil es una colección de carpetas y archivos de datos que contienen información sobre el ambiente de trabajo de un usuario (Escritorio, accesos directos, quick launch bar, favoritos, cookies, papel tapiz,etc.)
PERFILES DE USUARIO Perfiles Locales: - Son almacenados localmente en la carpeta %Systemdrive%\Documents and Settings\%Username% - El perfil All users extiende el perfil del usuario - El perfil es netamente local
PERFILES DE USUARIO Perfiles Roaming: - Son almacenados en una recurso compartido - Se almacena en la ruta \\<server>\<share<\%username% -El usuario obtiene su perfil en cualquier estación que inicie sesión
PERFILES DE USUARIO Perfiles Mandatorios: - El usuario no puede modificar su perfil - Aunque el usuario pudiera hacer cambios, éstos no se mantienen entre sesiones. - El archivo Ntuser.dat se debe renombrar como Ntuser.man
CUENTAS DE EQUIPO - Identifica un computador en un dominio - Se usa para autenticación y auditoría del acceso a la red y a recursos del dominio - Se requiere para computadores que corren: - Windows Server 2003 - Windows XP - Windows 2000 (Pro y Server) - Windows NT
GRUPOS - Un grupo es una colección de cuentas de usuario y equipos que se pueden administrar como una unidad única. -Simplifican la administración -Pueden ser anidados
GRUPOS - CLASIFICACION Por alcance: - Global: Visible sólo en el dominio al cual pertenece y en los dominios en los que se confía. - Dominio Local: Visible sólo en el dominio al cual pertenece. No conf con grupo local (GT) - Universal: Visible en todos los dominios de un bosque.
GRUPOS - CLASIFICACION Por tipo: - Seguridad: Se usan para asignar permisos a recursos. Se pueden usar también para distribuir emails - Distribución: Se usan sólo para distribuir emails.
TALLER: USUARIOS, PERFILES, GRUPOS
ACCESO A RECURSOS Carpetas compartidas: - Son carpetas que se pueden acceder a través de la red. Aparecen con una mano en el explorador. - Se comparten carpetas, no archivos - Por defecto: - Grupo Todos tiene el permiso de lectura - Cuando se agrega un Grupo, tiene permiso R
ACCESO A RECURSOS Carpetas compartidas: - Cuando una carpeta compartida se copia: - La original permanece compartida - La copia no es compartida - Cuando una carpeta compartida se mueve: - Deja de estar compartida
ACCESO A RECURSOS Carpetas compartidas ocultas: - Se pueden ocultar colocando un signo pesos ($) después del nombre de la carpeta compartida. - El usuario no puede verlas a través de su interfase, pero sí puede acceder a ellas a través de la ruta UNC (Universal Naming Convention): \\server\secrets$
ACCESO A RECURSOS Carpetas compartidas de administración: - Creadas automáticamente para desarrollar tareas de administración. - C$, D$, E$, - Admin$ : C:\Winnt - Print$: Systemroot\System32\Spool\Drivers - IPC$ - FAX$
ACCESO A RECURSOS Quiénes pueden crear carpetas compartidas: -En un controlador de dominio: - Miembros del grupo Administradores - Miembros del grupo Operadores del servidor - En un servidor miembro stand alone: - Miembros del grupo Administradores - Miembros del grupo Usuarios avanzados
ACCESO A RECURSOS Permisos de carpetas compartidas: Permiso Lectura Cambio Control total Permite - Ver archivos y sus atributos - Ver nombres de archivos y subcarpetas - Ejecutar programas - Agregar archivos y carpetas - Cambiar datos en archivos - Eliminar archivos y carpetas - Incluye todos los de Lectura y Cambio - Permite cambiar los permisos NTFS
DEMOSTRACIÓN: RECURSOS COMPARTIDOS
ACCESO A RECURSOS NTFS (NT File System). Permite: - Confiabilidad - Seguridad Permisos, logs, auditoría - Administración almacenamiento Importante: No es accesible desde DOS
ACCESO A RECURSOS Permisos NTFS: - Definen el tipo de acceso otorgado a un usuario, grupo o equipo sobre un objeto. - Se aplican sobre archivos, carpetas, carpetas compartidas e impresoras. - Se pueden asignar a usuarios y grupos en el Directorio Activo o localmente.
ACCESO A RECURSOS Permisos estándares: Más frecuentes y utilizados
ACCESO A RECURSOS Permisos estándares para archivos: - Control total - Modificar - Leer y ejecutar - Escribir - Leer
ACCESO A RECURSOS Permisos estándares para carpetas: - Control total - Modificar - Leer y ejecutar - Escribir - Leer - Listar contenido de carpetas
ACCESO A RECURSOS Permisos estándares para carpetas: - Control total - Modificar - Leer y ejecutar - Escribir - Leer - Listar contenido de carpetas
ACCESO A RECURSOS Al copiar: - Cuando se copian archivos o carpetas ellos heredan el permiso de la carpeta madre destino (si es NTFS). Al mover: - Cuando se mueven archivos o carpetas en la misma partición, los permisos se mantienen. - Cuando se mueven archivos o carpetas a una partición diferente, se heredan los permisos de la carpeta madre destino (si es NTFS).
ACCESO A RECURSOS
ACCESO A RECURSOS
ACCESO A RECURSOS
ACCESO A RECURSOS Herencia de permisos: Por defecto, los permisos otorgados a una capeta madre son heredados por los archivos y las subcapertas contenidos en ella. Esta herencia se puede evitar y existen dos opciones: - Copiar los permisos heredados de la carpeta madre o - Remover los permisos heredados y conservar sólo los permisos explícitos (no heredados)
DEMOSTRACIÓN: PERMISOS EFECTIVOS
ACCESO A RECURSOS Permisos combinados: -Por defecto, el grupo Todos tiene el permiso de Lectura -Para acceder a un archivo o carpeta, se debe contar con los respectivos permisos: de recurso compartido y NTFS -Cuando se combinan permisos de recurso compartido y NTFS, el permiso resultante es el más restrictivo.
ACCESO A RECURSOS Mejores prácticas: - Otorgar permisos a grupos en lugar de usuarios - Agrupar los recursos para simplificar - Permitir sólo el nivel de acceso que se requiere - Otorgar los permisos de RX para carpetas de aplicaciones - Otorgar los permisos de RXW para carpetas de datos
TALLER: RECURSOS COMPARTIDOS
SERVICIOS DE IMPRESIÓN - Servidor de impresión: Es donde los clientes envían los documentos y se encolan los trabajos de impresión. - Impresora lógica: Es una interfase de software entre las aplicaciones y el dispositivo de impresión. Está instalada en el servidor de impresión. - Impresora física/dispositivo de impresión: Hardware que produce la salida de impresión. Puede estar conectado directamente al servidor de impresión o directamente a la red con su propia tarjeta de red.
SERVICIOS DE IMPRESIÓN 1. Un usuario en un equipo cliente Windows decide imprimir un documento. 2. Si el documento se envía desde una aplicación Windows, la aplicación llama a la interfaz de dispositivo gráfico (GDI) que, a su vez, llama al controlador de impresora asociado a la impresora de destino. Con la información de documento procedente de la aplicación, la GDI y el controlador intercambian datos para procesar el trabajo de impresión en el lenguaje de la impresora y, a continuación, lo transfieren a la cola de impresión del equipo cliente.
SERVICIOS DE IMPRESIÓN 3. El equipo cliente entrega el trabajo de impresión al servidor de impresión. 4. En el servidor de impresión, los trabajos de impresión procedentes de clientes Windows XP, Windows 2000 o Windows NT 4.0 utilizan el tipo de datos de metarchivo mejorado (EMF). Muchas otras aplicaciones utilizan el tipo de datos RAW (preparado para imprimir). 5. El enrutador del servidor transfiere el trabajo de impresión al proveedor de impresión local del servidor (componente de la cola de impresión), que pone en la cola el trabajo (lo escribe en el disco).
SERVICIOS DE IMPRESIÓN 6. El proveedor de impresión local sondea al procesador de impresión. El procesador de impresión reconoce el tipo de datos del trabajo y recibe el trabajo de impresión. A continuación, el procesador de impresión convierte el trabajo de impresión según su tipo de datos. 7. El control del trabajo de impresión se pasa al procesador de páginas de separación, que agrega una página de separación, si se especifica, al principio del trabajo.
SERVICIOS DE IMPRESIÓN 8. El trabajo sale de la cola de impresión hacia los monitores de impresión. 9. La impresora recibe el trabajo de impresión, convierte cada página al formato de mapa de bits y lo imprime.
SERVICIOS DE IMPRESIÓN Impresión sin un servidor: - Los usuarios no conocen el estado actual de la impresora. - Cada computador tiene su propia cola, que muestra los trabajos enviados desde ese computador. - El usuario no puede determinar cómo están sus trabajos de impresión con respecto a los enviados por otros usuarios.
SERVICIOS DE IMPRESIÓN Impresión sin un servidor: - Los mensajes de error (atasco o falta de papel) aparecen en la cola del computador que envió el trabajo.
SERVICIOS DE IMPRESIÓN Impresión con un servidor: - El servidor de impresión administra la configuración de los controladores de impresoras. - La cola de impresión (única) aparece en todos los computadores que tienen conectada la impresora. - Los errores de impresión son visibles en todos los computadores. - Se pueden centralizar los registros de impresión.
SERVICIOS DE IMPRESIÓN Tipos de impresoras: - Impresora local: Directamente conectadas al servidor de impresión a través de LPT, USB o IR. - Impresora de red: Usan TCP/IP, IPX o AppleTalk
SERVICIOS DE IMPRESIÓN Permisos de impresoras compartidas: - Imprimir. - Administrar impresoras: Control de la impresora: pausar, reiniciar, cambiar la configuración de la cola, compartir, configurar permisos, cambiar propiedades. - Administrar documentos: Pausar, rearrancar, reiniciar, cancelar, reordenar. No permite imprimir.
SERVICIOS DE IMPRESIÓN Permisos por defecto: Grupo Imprimir Administrar Documentos Administrar Impresoras Administradores X X X Creator Owner Todos X Usuarios avanzados X X X Operadores de Impresión Operadores de Servidor X X X X X X X
SERVICIOS DE IMPRESIÓN Controladores (Drivers) de impresora: - Software que permite que los programas del computador se comuniquen con la impresora - Traduce la información que se envía desde el computador al lenguaje de la impresora
SERVICIOS DE IMPRESIÓN Controladores (Drivers) de impresora: - Tiene los siguientes tipos de archivos: - Configuración: Propiedades y preferencias de la impresora. Extensión dll - Archivo Data: Capacidades de la impresora. Extensiones dll, pcd, gd, ppd - Archivo de gráficos de impresora: Extensión dll
SERVICIOS DE IMPRESIÓN Spool de impresión: - Es un ejecutable que administra el proceso de impresión: - Busca la ubicación del controlador - Carga el controlador - Realiza el proceso de impresión
SERVICIOS DE IMPRESIÓN Spool de impresión: - Localización de la carpeta de spool: \\SystemRoot\System32\Spool\Printers
SERVICIOS DE IMPRESIÓN Cambiar la ruta del spool: - Mejorar performance - Resolver problemas de espacio - Reducir la fragmentación en la partición boot - Mejorar la seguridad - Implementar cuotas de disco - Mejorar la confiabilidad
DEMOSTRACIÓN: CAMBIAR EL DIRECTORIO SPOOL
SERVICIOS DE IMPRESIÓN Prioridades de impresión: Se establecen prioridades entre impresoras para priorizar documentos que se imprimen en el mismo dispositivo. Los usuarios pueden enviar documentos críticos a una impresora de alta prioridad y documentos no críticos a una impresora de baja prioridad.
SERVICIOS DE IMPRESIÓN Prioridades de impresión: - Apuntar dos o más impresoras al mismo dispositivo. - Configurar prioridades diferentes a cada impresora conectada al dispositivo de impresión. (Prioridad más alta: 99, Prioridad más baja: 1) - Crear grupos de usuarios con permisos a una y otra impresora.
DEMOSTRACIÓN: PRIORIDADES DE IMPRESIÓN
SERVICIOS DE IMPRESIÓN Programación de la disponibilidad de impresión: - Se utiliza para programar la impresión de grandes volúmenes de documentos - Se deben configurar diferentes impresoras al mismo dispositivo y configurar cada una de ellas para que estén disponibles a diferentes horas.
SERVICIOS DE IMPRESIÓN Programación de la disponibilidad de impresión: - Establecer seguridad para limitar el uso de las impresoras - Difundir sobre la disponibilidad de las impresoras - Mantener suficiente espacio en disco para encolar los trabajos de impresión retenidos.
DEMOSTRACIÓN: DISPONIBILIDAD DE IMPRESORAS
SERVICIOS DE IMPRESIÓN Pool de impresoras: - Es una impresora (lógica) apuntando a múltiples dispositivos de impresión. - Los documentos son enviados al primer dispositivo disponibles. - El controlador debe ser compatible con todos los dispositivos de impresión del pool.