tema 4 - iesvsor.files.wordpress.com · tema 4 administración de ad ies villaverde sistemas...

17/01/2016

1

Tema 4Administración de AD

IES Villaverde Sistemas Operativos en Red

1

Contenido tema 4

Integración de clientes en un dominio

Administración de discos

Seguridad. Permisos y derechos

Recursos compartidos

Gestión de impresoras


2

17/01/2016

2


Workgroup vs Dominio

Preparación del entorno Nombre único en la misma red

Dirección ip distinta ( fija o por dhcp)

Máscara de subred

Usuario con privilegios para poder añadir/quitar

Resto de pantallazos


3



4

Panel de control/Sistema

Pide usuario con suficientes privilegios en el Dominio para añadir equipo

17/01/2016

3

Integración de clientes en un dominioForma detallada

Propiedades del Sistema / Nombre de Equipo / id de red

1. De Workgroup a Dominio o viceversa2. Mi organización utiliza Dominio 3. Credenciales ¡¡ del usuario!! (Previamente dado de alta en AD) y nombre del

Dominio. Se genera PERFIL. No obstante se recomienda Administrador del dominio.

4. Nombre del equipo (se puede cambiar) y Dominio5. Ahora credenciales del Administrador del Dominio6. Importante. Se agrega perfil al poner la cuenta del usuario7. Tipos de acceso, i.e., lo que el usuario podrá hacer en la máquina y en el

Dominio.


5

Inicio de sesión En la máquina local nombre_equipolocal\usuariolocal + password

En el dominio nombreDNS_dominio\usuariodominio + password

En otro dominio con el que haya RC:

nombreDNS_dominio\usuario_dominio + paswword ó

usuario_dominio@nombreDNS_dominio + password

Comprobación de la integración Explorar la red

En OU “Equipos/Computers” ( si se ha iniciado sesión con Administrador del Dominio se ha creado la cuenta de equipo…)

Hay que tener activada “detección de redes” En centro de Redes y recursos Compartidos/Cambiar configuración de uso compartido avanzado: “Activar detección de redes”


6

17/01/2016

4

Recursos compartidos Concepto análogo al de carpeta compartida en equipos Windows Ahora se gestionan los permisos, privilegios y derechos desde el servidor En el momento del dcpromo, por defecto se comparten recursos

Herram. Adm / Adm. Equipos / Recursos compartidos Dos tipos de compartición:

Desde el servidor a usuarios globales del dominioDesde el cliente , recursos para el resto de usuarios de la red y para

usuarios locales Recursos compartidos por defecto:

Nombre$Son ocultosSe accede mediante \\server ó ip\recurso$


7

Recursos compartidos por defecto


8

17/01/2016

5

Recursos compartidos por defecto


9

Ejemplo (1/8)


10

Tiene que estar activo “Uso compartido de carpetas”

17/01/2016

6

Ejemplo (2/8)


11

Sobre la carpeta creada:

Ejemplo (3/8)


12

Botón compartir:

17/01/2016

7

Ejemplo (4/8)


13

Añadimos a todos…:

Ejemplo (5/8)


14

Al compartir , en la búsqueda, con el botón Localizaciones:

Podemos buscar en otros dominios o DC con los que haya RC

Observar la diferencia entre asignar permisos de lectura y de lectura/escritura.Comprobar con tres usuarios distintos

17/01/2016

8

Ejemplo (6/8)


15

Compartición avanzada

Ejemplo (7/8)


16

Compartición avanzada / permisos

17/01/2016

9

Ejemplo (8/8)


17

Uso compartido avanzado: Modificar el nombre del recurso compartido Varios nombres… que apuntan al mismo sitio Máximo de usuarios concurrentes Agregar/ Eliminar permisos Uso de memoria caché para equipos son conexión

Caso especial: Carpetas Públicas No se puede asignar usuarios o grupos. O todos o nadie. Hay que especificarlo

en el “uso compartido…” de “Opciones de Red”

Permisos de acceso


18

Una vez compartida, se especifican las condiciones de acceso´.

Permisos .- Normas de acceso a un recurso compartido. Si se puede o no y de qué forma. (permitir/denegar)

Cambio / Modificar

Lectura

Escritura

Lectura y ejecución

Control total

Especiales NTFS. Más finos… 2008R2

Heredar, Tomar posesión, accesos a auditoria…

17/01/2016

10

Asignación de permisos en carpetas


19

Permisos estándar y especiales (NTFS) [En pestaña Seguridad]

Son independientes. Se aplican los más restrictivos

Pueden ser explícitos o heredados desde un primario o carpeta contenedora ( se propagan)

Los explícitos tiene prioridad sobre los heredados

Los heredados aparecen sombreados en gris

Asignación de carpeta a usuario


20

Carpetas “Común” y “Privado”

En “Usuarios y Equipos de AD” Seleccionamos uno o varios usuarios ( Con Shift y/o Ctrl)

Propiedades ( de múltiples elementos)

Perfil

Carpeta Particular. ( Llamaremos “Privado” a diferencia de “Común”)

Conectar …. Unidad de Red \\servidor\carpeta_contenedora\carpeta_compartida\\servidor\Privado\%username% porque estamos haciendo varios a la vez

Comprobar acceso desde cliente

Definición: “Mapear” en el cliente: “asignar unidad de red”

17/01/2016

11

Ejemplo práctico


21

Creación de carpetas Comun y Privado

Botón derecho--- Propiedades---Uso compartido avanzado

Marcar “Compartir” y dejar nombre por defecto

Permisos: Quitar Todos ( tienen de lectura) y agregar usuarios del dominio

Dar Control Total

En Usuarios y equipos de AD

En cuenta /s de usuario /s propiedades—perfil—carpeta particular

Escoger opción Z: pues queda más claro para el usuario

\\Nombreserver\Privado\%username%

Script de “mapeo”


22

En NetLogon script de inicio que utilice Net Use

\\Servidor\Netlogon$

Con Bloc de notas creamos ConexionInicial.bat net use f: \\servidor\Comun

En usuarios y Equipos/Perfil / script de inicio de sesión--- ConexionInicial

17/01/2016

12

Resumen


23

Consideramos dos tipos de permisos: los permisos para compartir y los permisos NTFS.

Los permisos de recurso compartido se aplican a los usuarios que se conectan a una carpeta compartida a través de la red. Estos permisos no afectan a los usuarios que inician sesión localmente o mediante Escritorio remoto ( Para ellos la pestaña Seguridad)

Si se establecen tanto permisos de recurso compartido como permisos de sistema de archivos para una carpeta compartida, se aplicarán los permisos más restrictivos al conectarse a la carpeta compartida

Cuando se crea una carpeta en el sistema de archivos, hay un conjunto de permisos predeterminados que se le asignan a SYSTEM (el propio sistema), al usuario que la ha creado y al grupo local de administradores del servidor donde se creó, pues todos ellos necesitan algún tipo de acceso sobre la carpeta creada.

Ejemplo


24

Por ejemplo, para conceder a los todos usuarios de un dominio acceso a unacarpeta compartida, en la ficha Permisos del recurso compartido(carpeta), sedebe establecer permisos de Control total para el grupo Todos.

En la ficha Seguridad, se puede especificar un acceso más restrictivoestableciendo permisos de acceso de lectura para el grupo Usuarios deldominio.

El resultado es que un usuario que es miembro del grupo Usuarios del dominiocuenta con acceso de solo lectura a la carpeta compartida, tanto si elusuario se conecta a través de un recurso compartido de red, como si lohace a través de Escritorio remoto o si inicia sesión localmente.

17/01/2016

13

Resumen de permisos


25

Resumen de permisos


26

Aunque los permisos Mostrar el contenido de la carpeta y Leer y ejecutar parecen tener los mismos permisos especiales, se heredan de forma diferente.

El permiso Mostrar contenido de carpeta lo heredan las carpetas y no lo heredan los archivos.

El permiso Leer y ejecutar lo heredan los archivos y las carpetas, y siempre está presente cuando se ven los permisos de archivo o carpeta.

Si se desea administrar el acceso a carpetas exclusivamente mediante permisos NTFS, se debe establecer previamente los permisos de recurso compartido en Control total para el grupo Todos.

17/01/2016

14

Listas de Control de Acceso ( ACL)


27

Listas para gestionar la seguridad de Objetos en sistemas NTFS. Se utilizanpara indicar si un usuario o grupo de usuarios tiene permiso o no paraacceder a un Objeto localmente o por red. Contiene ACE (Access ControlEntry ó Entrada de Control de Acceso) que indica qué permisos tendrácada usuario o grupo de usuarios

DACL (Discretionary Access Control List): Qué usuarios y grupos pueden usar un objeto y con qué permisos

SACL ( System…) Qué accesos al objeto motivará una entrada en el registro ( qué accesos serán “auditados”)



28

17/01/2016

15



29

Comprobar la ACL de la carpeta Windows

En Propiedades de la carpeta Windows / Pestaña Seguridad / Opciones avanzadas se puede ver la lista de usuarios, grupos y permisos. En la Pestaña Auditoría SACL y modificarla si se dispone de permisos para ello.

Comando icacls

Tomar posesión. Propietario


30

Propietario: El creador del Objeto

Puede conceder permiso de Toma de Posesión a otros usuarios

En Propiedades/ Opciones Avanzadas/Propietario

Si es de una Carpeta ( no un fichero) aparece la opción de: Reemplazar propietario en subcontenedores y objetos.

A partir de la “Toma de Posesión” se obtiene el “Control Total”

17/01/2016

16

Derechos de conexión y privilegios


31

Derecho otorga al usuario la capacidad de llevar a cabo una determinada acción en el sistema. Se pueden otorgar/quitar en cualquier momento y a usuarios o grupos. Los de conexión definen las características del inicio de sesión del usuario en el sistema.

Privilegios Capacidad de llevar a cabo una determinada acción una vez iniciada la sesión (“logueado”). A través de Directivas.

El Privilegio prevalece sobre el “permiso”

Builtin contiene grupos de seguridad por defecto con una serie de privilegios

Perfil de usuario


32

Configuración del entorno de trabajo del usuario Obligatorio , antes fijo.( Móvil de sólo lectura)

Temporal ( si no se carga Móvil u Obligatorio, salvo el Super-Obligatorio)

Local

Móvil

Carpetas: Datos de programas, Cookies, Escritorio, favoritos, Configuración local, Mis documentos, Recientes, Entorno de red, Impresoras, Inicio, Plantillas , SendTo…

17/01/2016

17

Gestión de impresoras


33

Tres elementos:

Servidor de impresión.- Servicio que administra la cola de impresión

Cola de impresión.- Fichero donde se almacenan los trabajos

Impresora Dispositivo de impresión

Tres modos de compartir impresoras


34

El servidor Windows 2008 server puede ser Servidor de impresión (Print server):

• De impresora LOCAL: La impresora está conectada físicamente al servidor a través de un puerto (Paralelo, USB…). Se instala el software , se configura y se comparte.

• Servidor de impresión de impresora remota. La impresora puede estar físicamente en otro equipo ( no usual)

• Servidor de impresión de una impresora de red (impresora con interface de red)

17/01/2016

18

Conectada físicamente a un server


35

Conectar físicamente la impresora a un puerto del servidor

Instalar drivers específicos para el SO del servidor

Compartir impresora al resto de la red

En propiedades ( una vez instalada) especificamos parámetros de compartición

Conectada directamente a la red


36

La propia impresora tiene tarjeta de red y/o servidor de impresión físico

Dos formas:

• Agregar la impresora en cada equipo del dominio sin compartirla

• Agregar la impresora al servidor de impresión

17/01/2016

19

Ventaja del Print server (lógico)


37

• El servidor administra la configuración del controlador de la impresora

• En todos los equipos se muestra la única cola de impresión. El usuario puede ver dónde se encuentra su trabajo y recibe estado de la impresora.

• Parte del procesamiento se transfiere al servidor.

• Los administradores pueden auditar las impresoras

Práctica


38

• Busca información sobre los puertos más habituales utilizados para conectar localmente una impresora a un equipo

• Busca información sobre impresoras que permitan la conexión de red ( cable e inalámbrica)

• Busca información acerca de un servidor de impresión físico

tema 4 - iesvsor.files.wordpress.com · tema 4 administración de ad ies villaverde sistemas...

Documents