Temas 8, 9, 10 Windows (se corresponde con Bloque III) Administración de Sistemas de Información 4º Grado en Ingeniería Informática Tecnologías Informáticas Curso 2014/15
Ediciones de Windows Escritorio Windows 8: Versión normal : Equivalente a ediciones Home de Win7 (no puede unirse a un dominio). Versión Pro: Incluye opciones para uso en entorno empresarial (entre otras): Puede unirse a dominios y especificar políticas de grupo. Bitlocker y EFS. Hyper-V. Arranque desde disco VHD. Soporte ( solo ) para 2 procesadores. Otras ediciones soportadas: Win7 y Vista. XP: Fin de soporte terminó el 8 de abril 2014. Vista (SP2): Fin de soporte 11 de abril 2017.
Ediciones de Windows Servidor Windows 2012: Foundation: 1 procesador, 15 usuarios, sin virtualización, OEM. Essentials: 2 procesadores, 25 usuarios, sin virtualización, 500$. Standard: 2 procesadores, sin límite de usuarios (necesita CAL), virtualización (2), 880$. Datacenter: 2 procesadores, sin límite de usuarios (necesita CAL), virtualización, 4800$. Última versión: Windows 2012 R2. Windows 2008: 7 ediciones. Windows 2003: 4 ediciones.
Windows server Modelo de licencias Existen licencias para servidores. Y licencias para acceso de clientes (CAL). Distinto de la licencia del propio cliente. Essentials y Foundation: No necesitan CAL. Enterprise y Standard: Se necesita una licencia por cada dos procesadores (más las CAL). Las CAL pueden ser: Por usuario. Por dispositivo. Y también existen licencias para aplicaciones, servicios (Exchange, SQL server, etc) y
Dominios y grupos de trabajo Grupos de trabajo: Es la forma a la que estamos habituados. Ordenadores independientes: Tienen usuarios independientes. Cada uno se administra de forma autónoma e independiente. Dominios: Requiere un servidor (o más) de dominio. Los clientes (estaciones y servidores) están bajo el control de un servidor: Usuarios de dominio: Ya no tengo que tener usuarios locales. Puedo definir políticas de grupo (de dominio). Me permite tener: Aplica políticas de grupo por usuarios/ordenadores. Perfiles de usuario móviles y documentos en el servidor (usuarios independientes de ordenadores). Instalar software bajo demanda: Las aplicaciones se instalan en el primer uso. O se desinstalan si el administrador quiere. Desplegar (instalar) el SO de forma automática.
Win8 vs Win2012 Comparten parte del sistema: Uno está orientado a usuarios (gráficos, multimedia, etc) y el otro no (incluso se puede instalar sin GUI). Comparten herramientas: Las que son comunes, las veremos ahora. De hecho, Win8 tiene herramientas de administración. Las herramientas específicas (y los conceptos asociados) los veremos luego. Comparte conceptos con el mundo Unix: Usuarios, grupos, procesos, permisos de ficheros, acceso remoto
Políticas de grupo generalidades Se usan para definir configuraciones automatizadas para grupos de usuarios y equipos: Secuencias inicio/cierre, opciones seguridad. Controla acceso a componentes (red, sistema, panel de control, escritorio, iexplorer ). Controla bloqueo de cuentas, contraseñas, derechos de usuario. Existen políticas de grupo: Locales: Se configuran con MMC directamente y solo son válidas en un equipo (esté o no en un dominio). Dominio: Se configuran en el Controlador de Dominio y se aplican a todo / un conjunto de equipos / usuarios de forma automática. (luego las veremos).
Políticas de grupo clasificación de las directivas Dos grandes tipos: Configuración del equipo: Se aplican al iniciar el equipo, sea el usuario que sea el que inicie sesión. Configuración del usuario: Se aplican al iniciar sesión, independientemente de dónde se haga. Las políticas se aplican también cada cierto tiempo: Cada 90m (en equipos no controladores). Cada xm (en controladores de dominio). En el caso de dominio: se aplica un desplazamiento. Se puede forzar usando gpupdate. Si hay conflictos, se aplica la última.
Políticas de grupo Categorías (comunes a los dos tipos) Configuración de Software: Especifica el software que se va a instalar en el equipo o al usuario. Se usan ficheros.msi. (Solo en dominios). Configuración de Windows. Contiene la configuración de ciertos parámetros de Windows, como parámetros de seguridad o scripts, para el equipo o el usuario. Plantillas administrativas. Contiene las políticas y configuraciones que se guardan en el registro de Windows, para el equipo o el usuario.
Políticas de grupo locales Directiva de equipo local: Se aplica a todos los usuarios del sistema. Contiene también directivas de configuración de equipo. Directivas para administradores y no administradores: Solo contiene configuración de Usuario. Hay dos: para administradores (grupo) y para no administradores. Directivas para usuarios: Contiene la configuración para un usuario/grupo local específico. Se configuran con MMC: Al añadir el complemento se especifica de qué tipo (de los tres anteriores) se trata.
Las opciones posibles para una configuración son: No configurada: A la hora de aplicar esa GPO, no hace cambia nada. Habilitada: Se activa esa configuración. (ver ayuda para saber qué significa). Anula, por tanto, una desabilitación previa. Deshabilitada: Se desactiva esa configuración (anula, por tanto, una habilitación previa). Esta directiva se aplica a este equipo (config de equipo) y a todos sus usuarios (config. de usuarios). Esta directiva se aplica solo a los usuarios no administradores. En este ejemplo: Primero se aplica la directiva de equipo local general y luego la de No Administradores (si es el caso). Prevalece la última política aplicada. MMC (Windows 8) mostrando configuración política para No Administradores
Windows 2012 Dominios Consiste en la presencia de un directorio activo (AD, en inglés). Existirán uno o más controladores de dominio (DC). Permite crear usuarios/grupos/equipos dentro de ese dominio (reconocibles en los equipos que pertenezcan a él). Los equipos deberán unirse al dominio para poder usarlo. Permite crear políticas de grupo dentro del dominio.
Directorio Activo Un directorio activo no es más que un almacén de datos (similar a LDAP). Se organiza en forma de árbol. Cada objeto (un usuario, un equipo, etc) tendrá una serie de atributos asociados: Nombre, Apellidos, login, contraseña, domicilio, teléfono. Algunos los usa el SO pero otros no. Algunas aplicaciones (Exchange, p.ej) hace uso del DA para guardar información.
Directorio Activo Estructura lógica La estructura lógica está separada de la estructura física. Los recursos se organizan en la estructura lógica. Encontrar un recurso por su nombre en lugar de su localización física. Las estructura física de la red es transparente para los usuarios.
Objetos
Unidades organizativas 17
Dominio El dominio es el núcleo de la estructura lógica. Todos los objetos de red existen dentro de un dominio. Un dominio sólo almacena información de los objetos que contiene. Un límite práctico para el número de objetos en un dominio es un millón.
Un dominio es un límite de seguridad El acceso a los objetos del dominio está controlado por listas de control de acceso (ACL). Las ACLs contienen los permisos asociados con los objetos. Las ACLs controlan qué usuarios tienen acceso a un determinado objeto. Las políticas de seguridad y ajustes no se propagan de un dominio a otro. Un administrador de dominios tiene todos los privilegios para establecer las políticas dentro de ese dominio.
Árbol de dominios Un árbol es la agrupación de uno o más dominios Windows. Todos los dominios de un mismo árbol comparten el espacio de nombres. El nombre de dominio de un dominio hijo es relativo al nombre de dominio padre. Todos los dominios en un mismo árbol comparten el mismo esquema. Todos los dominios en un mismo árbol de dominio comparten un catálogo global común.
Bosque Un bosque es una agrupación de uno o mas árboles de dominio. Los árboles en el bosque forman un espacio de nombres disjunto. Todos los árboles en un bosque comparten un esquema común. Los árboles en un bosque tienen diferentes estructuras de nombres. Todos los dominios en un bosque comparten un catálogo global. Los dominios en un bosque operan de forma independiente.
Sitios(Sites) La estructura física está basada en sitios. Un sitio es una combinación de una o más subredes IP. Típicamente un sitio tiene los mismo límites que una red de área local. Los sitios no son parte del espacio de nombres lógico. Los sitios contienen ordenadores y conexiones como objetos.
Replicación dentro de un sitio Los servicios de directorio del DA incluyen la características de replicación. La replicación asegura que los cambios en un controlador de dominio son reflejados en todos los controladores de dominio dentro de un mismo dominio. La replicación es multi-maestro.
Funciones de un controlador de dominio Almacena una copia de la información del DA. Replica todos los objetos en el dominio a otros de manera automática. Replica determinadas actualizaciones importantes de manera automática. Proporciona tolerancia a fallos. Gestiona todos los aspectos de la interacción del usuario con el dominio.
Topologia en anillo (replicación)
Esquema Contiene una definición formal de los contenidos y estructura de los servicios de directorio del DA. Define atributo para cada clase de objeto. Esquema por defecto Creado por defecto al instalar por primera vez el DA en un ordenador en un nuevo bosque. Contiene definiciones de los objetos y propiedades más usadas y comunes. Contiene definiciones y objetos usados por el directorio activo.
Esquema extensible Se pueden definir nuevos tipos de objetos y atributos. Se pueden definir nuevos atributos para objetos existentes. Se pueden extender el esquema: Usando scripts LDAP. Usando el interfaz ADSI (Active Directory Services Interface). Usando el esquema del Directorio Activo. El esquema está almacenado en el catálogo global y pueden ser actualizado de forma dinámica.
Servidores de catálogo global Instalar el DA en el primer ordenador de un nuevo bosque lo convierte en un controlador de dominio y en un servidor de catálogo global. Cuanto mayor sea el número de servidores de catálogo, mayor será el tráfico de replicación. Cuantos más servidores de catálogo, más rápida serán las respuestas a peticiones. Cada sitio debe tener al menos un servidor de catálogo global.
Espacio de nombres
Convención de nombres Cada objeto en el Directorio Activo es identificado por un nombre. El DA usa un conjunto de convenciones de nombres. Nombre distinguido(dn) Cada objeto tiene un nombre distinguido(dn): El DN identifica de manera única el objeto. El DN contiene suficiente información para que un cliente pueda obtener el objeto. El DN incluye el nombre del dominio que tiene el objeto. El DN incluye la ruta completa al objeto.
Identificador global único Un identificador global único es un número de 128 bits que es único. GUIDs se asignan cuando se crea el objeto. El GUID para un objeto nunca cambia. Las aplicaciones usan los GUIDs para obtener objetos independientemente del DN actual.
User Principal Name Las cuentas de usuario tienen un nombre amigable denominado user principal name (UPN). El UPN está compuesto por el nombre abreviado de la cuenta de usuario y el nombre DNS del árbol donde el objeto cuenta de usuario reside.
Grupos en DA Grupos de seguridad: Es similar a los grupos en Unix. Grupos de distribución: Para mensajes. Grupos locales de dominio. Se usan para asignar permisos a recursos de dominio situados en el mismo dominio (impresoras, discos, etc). Contienen (pueden ser miembros): usuarios, equipos, grupos locales de dominio (del mismo dominio), grupos globales (de cualquier dominio del árbol) y universales.
Grupos en DA Grupos globales. Contienen (pueden ser miembros): Usuarios, equipos y otros grupos globales del mismo dominio. Se usan para asignar permisos en cualquier dominio del bosque: Para ello se hace que el grupo global sea miembro del grupo local de dominio correspondiente. Grupos universales. Contienen (pueden ser miembros): Usuarios, equipos, grupos globales del mismo dominio y grupos universales. Se usan de la misma forma que los globales pero se recomienda que no se modifiquen con mucha frecuencia.
Políticas de grupo en dominios Las políticas de grupo (GPO) se aplican a sitios, dominios u OU. Se puede establecer un filtro y que solo se aplique a determinados usuarios/equipos dentro de su ámbito (filtro de seguridad). Se aplican en un determinado orden, y prevalece la última: Orden: GPO locales, GPO del sitio, GPO del dominio y GPO de la OU. Las GPO se heredan. No obstante, se puede modificar este comportamiento y, por ejemplo, cortar la herencia o forzar que se aplique una GPO.
Políticas aplicadas Permite ver detalles, incluido establecer o no herencias. Este es el editor de la GPO (en concreto, Política Lab ASI ) Listado de GPO (aplicadas y no aplicadas)
Herramientas de administración resumen Panel de Control (PanelC): Permite acceso a determinadas herramientas básicas. Y configurar el sistema (hora, idioma, etc). PanelC->Herramientas de sistema: Permite el acceso a herramientas más avanzadas (admin. Equipos, config. Sistema, seg. Local, firewall, programador tareas, monitor, servicios, visor de eventos). PanelC->Sistema: Sobre todo sirve para añadir el equipo al dominio (y para cambiarle de nombre).
MMC Permite crear consolas para tareas de administración. (mmc.exe) Por defecto está vacío: Archivo->Agregar complemento (ficheros msc). Permite administrar casi todo lo de la transparencia anterior. También permite hacer administración remota.
Usuarios y grupos locales vs dominio Windows tiene dos familias de usuarios y grupos: Locales: Acceso local al equipo (y distinto del dominio). Acceso remoto: solo si tengo otra cuenta en ese equipo. No se pueden crear en un DC. Se almacenan ( fichero password ) en SAM (Security Account Manager) en el equipo. De dominio: Acceso a todos los equipos del dominio (unificado). Se almacena en el directorio activo (DCs). También existen cuentas de equipo.
Usuarios y grupos / usuarios Usuarios Administrador e Invitado : Están bloqueados. No se pueden borrar pero si renombrar. Cuentas LocalSystem, LocalService y NetorkService : Se usan para servicios (no se reconocen como cuentas). Todas tienen un SID asociado: Es un identificador único (similar a los UID de Unix). No se reutiliza.
Usuarios y grupos / grupos Funcionan de forma parecida a Unix. Grupo Administradores: Grupo usado para usuarios con privilegios. Normalmente no se usa la cuenta Administador (que está deshabilitada). Se muestran los grupos creados por el propio sistema. Los permisos, en general, se asocian a grupos (frente a la opción de asignarlo a usuarios individualmente).
Permisos en NTFS Tienen cierto parecido (los permisos básicos) con los de UNIX. Control total: Da acceso total. Modificar: Permite ver fichero/carpeta, abrir ficheros, editarlos, crear ficheros y subcarpetas, borrar ficheros y ejecutar programas. Lectura y ejecución: Permite ver el fichero o carpeta, abrir ficheros y ejecutar programas. Listar contenido de carpeta (solo carpetas). Leer: Permite abrir ficheros pero no editarlos. Escribir: Como modificar pero sin que se pueda ver ficheros y carpetas. Permisos básicos. Se aplican en el sistema de ficheros (usuarios locales o de dominio). Permisos de red (compartir): Leer / Cambiar / Control Total. Prevalece lo más restricitivo.
Permisos en NTFS Permisos extendidos
Derechos de los usuarios Se definen mediante el editor de políticas de grupo (gpedit.msc) o mediante el editor directivas de seguridad local (secpol.msc). Establece, más allá del sistema de ficheros, una serie de derechos de usuario. En el caso de un dominio, pueden variar.
Perfiles de usuario Es un parámetro configurable de la cuenta. Tiene información de configuración de preferencias de la cuenta (config del escritorio, aplicaciones, etc). Contiene: Una parte del registro (HKEY_CURRENT_USER): NTUSER.DAT que se enlaza al iniciar sesión. Un conjunto de directorios del usuario (Application Data, Documents, Music, Desktop ). Su ubicación (Vista y sig): %SystemDrive%\Users\ Se puede configurar la ubicación. Tipos de perfil: Local. Remoto. Obligatorio.
UAC User Account Control Incluso si el usuario es del grupo de administradores, inicia sesión con permisos normales. Si se requieren permisos de administrador: Si realmente soy un usuario normal me pide la contraseña de un administador. Si soy usuario del grupo de administradores, me piden permiso. Niveles de alerta: Siempre // Para determinadas aplicaciones // Nunca. Se usa un desktop seguro (secure desktop). A tener en cuenta: Símbolo del escudo. Aplicaciones que no siempre necesitan privilegios (cmd.exe). Aplicaciones que no tienen en cuenta esto. Whoami: Permite saber quién soy.
Win7 Propiedades del sistema Herramienta bastante conocida. Permite cambiar el nombre del equipo (y asociarlo a un dominio). Arrancar el administrador de dispositivos. Configurar si se puede acceder de forma remota al equipo (incluido escritorio remoto, en su caso). Permite establecer el fichero de paginación (swap): Se recomienda, al menos, el mismo tamaño que RAM (volcado). Config características escritorio. Activar DEP. Configuración arranque.
Win7 Administrador de tareas Permite ver aplicaciones y finalizarlas. También procesos (incluye los que están en bg). Se pueden establecer prioridades. Se pueden echar a usuarios. La pestaña de procesos se pueden ver los mismos (igual que top ) y ordenarlos. La pestaña de rendimiento nos muestra el uso básico del sistema
Permite obtener gráficas más detalladas de uso. Permite, para CPU, Disco, Red y Memoria saber qué hace cada proceso del sistema. Enlaza con el monitor de rendimiento.
Configuración del sistema General: Indica el tipo de inicio de sistema. Arranque: Especifica opciones de arranque: A prueba de errores. Sin GUI. Info de debug. Etc. La pestaña servicios e inicio de Windows permite especificar, respectivamente, los servicios (no aplicaciones completas) y las aplicaciones que se ejecutan al iniciar el sistema. Permite deshabilitar programas sin desinstalarlos y ver qué pasa cuando arranca el sistema.
Las directivas de seguridad local configuran ciertos aspectos del equipo. Algunas características se pueden acceder de otra forma (firewall, p.ej.). También se puede acceder a esto a través de las políticas de grupo locales. Estas directivas pueden ser anuladas por políticas de grupo de dominio. Win 7
Configuración avanzada del firewall (herramientas administrativas) Existen muchas predefinidas. Se suelen añadir con los avisos del sistema. Pueden estar orientadas (como las que se ven) a aplicaciones: solo se permitirá el acceso a esa aplicación. Existen reglas de entrada, de salida, de seguridad en la conexión.
Monitor de rendimiento Usa el monitor de recursos. Tiene plantillas ya establecidas. Da datos agregados de uso de CPU, Red, Memoria y Disco. Permite crear contadores (guardar históricos, hacer nuestros análisis). No siempre es fácil interpretar correctamente los contadores.
Programador de tareas Permite hacer tareas a una hora o programar tareas recurrentes. Tiene bastantes opciones de configuración. (ver).
Configura los servicios de Windows: Cuando arranca (general), con qué permisos (iniciar sesión), qué hace si hay errores (Recuperación), y las depedencias. Servicios
Otros aspectos Registro de eventos. Herramientas de disco: Discos básicos. Discos dinamicos. Discos VHD. Cifrado de discos: Bitlocker. EFS. Fichero de registro.
HKEY_LOCAL_MACHINE: Contiene info de todo el hardware. Solo el administrador puede modificarlo: BDC00000000: Sistema de arranque. HARDWARE contiene información sobre los dispositivos PnP. SOFTWARE: Info sobre aplicaciones que se aplican a todos los usuarios. Los fabricantes crean una subclave. SYSTEM: Servicios y controladores de dispositivo. HKEY_USERS: Una clave por cada usuario del sistema. HKEY_CURRENT_USER: Apunta a la clave dentro de HKEY_USERS del usuario que está con la sesión. HKEY_CURRENT_CONFIG is enlace a HKEY_LOCAL_MACHINE\System\CurrentControlSet\Hardware Profiles\Current HKEY_CLASSES_ROOT : Info variada.