tema 4 - iesvsor.files.wordpress.com · tema 4 administración de ad ies villaverde sistemas...
TRANSCRIPT
17/01/2016
1
Tema 4Administración de AD
IES Villaverde Sistemas Operativos en Red
1
Contenido tema 4
Integración de clientes en un dominio
Administración de discos
Seguridad. Permisos y derechos
Recursos compartidos
Gestión de impresoras
IES Villaverde Sistemas Operativos en Red
2
17/01/2016
2
Integración de clientes en un dominio
Workgroup vs Dominio
Preparación del entorno Nombre único en la misma red
Dirección ip distinta ( fija o por dhcp)
Máscara de subred
Usuario con privilegios para poder añadir/quitar
Resto de pantallazos
IES Villaverde Sistemas Operativos en Red
3
Integración de clientes en un dominio
IES Villaverde Sistemas Operativos en Red
4
Panel de control/Sistema
Pide usuario con suficientes privilegios en el Dominio para añadir equipo
17/01/2016
3
Integración de clientes en un dominioForma detallada
Propiedades del Sistema / Nombre de Equipo / id de red
1. De Workgroup a Dominio o viceversa2. Mi organización utiliza Dominio 3. Credenciales ¡¡ del usuario!! (Previamente dado de alta en AD) y nombre del
Dominio. Se genera PERFIL. No obstante se recomienda Administrador del dominio.
4. Nombre del equipo (se puede cambiar) y Dominio5. Ahora credenciales del Administrador del Dominio6. Importante. Se agrega perfil al poner la cuenta del usuario7. Tipos de acceso, i.e., lo que el usuario podrá hacer en la máquina y en el
Dominio.
IES Villaverde Sistemas Operativos en Red
5
Inicio de sesión En la máquina local nombre_equipolocal\usuariolocal + password
En el dominio nombreDNS_dominio\usuariodominio + password
En otro dominio con el que haya RC:
nombreDNS_dominio\usuario_dominio + paswword ó
usuario_dominio@nombreDNS_dominio + password
Comprobación de la integración Explorar la red
En OU “Equipos/Computers” ( si se ha iniciado sesión con Administrador del Dominio se ha creado la cuenta de equipo…)
Hay que tener activada “detección de redes” En centro de Redes y recursos Compartidos/Cambiar configuración de uso compartido avanzado: “Activar detección de redes”
IES Villaverde Sistemas Operativos en Red
6
17/01/2016
4
Recursos compartidos Concepto análogo al de carpeta compartida en equipos Windows Ahora se gestionan los permisos, privilegios y derechos desde el servidor En el momento del dcpromo, por defecto se comparten recursos
Herram. Adm / Adm. Equipos / Recursos compartidos Dos tipos de compartición:
Desde el servidor a usuarios globales del dominioDesde el cliente , recursos para el resto de usuarios de la red y para
usuarios locales Recursos compartidos por defecto:
Nombre$Son ocultosSe accede mediante \\server ó ip\recurso$
IES Villaverde Sistemas Operativos en Red
7
Recursos compartidos por defecto
IES Villaverde Sistemas Operativos en Red
8
17/01/2016
5
Recursos compartidos por defecto
IES Villaverde Sistemas Operativos en Red
9
Ejemplo (1/8)
IES Villaverde Sistemas Operativos en Red
10
Tiene que estar activo “Uso compartido de carpetas”
17/01/2016
6
Ejemplo (2/8)
IES Villaverde Sistemas Operativos en Red
11
Sobre la carpeta creada:
Ejemplo (3/8)
IES Villaverde Sistemas Operativos en Red
12
Botón compartir:
17/01/2016
7
Ejemplo (4/8)
IES Villaverde Sistemas Operativos en Red
13
Añadimos a todos…:
Ejemplo (5/8)
IES Villaverde Sistemas Operativos en Red
14
Al compartir , en la búsqueda, con el botón Localizaciones:
Podemos buscar en otros dominios o DC con los que haya RC
Observar la diferencia entre asignar permisos de lectura y de lectura/escritura.Comprobar con tres usuarios distintos
17/01/2016
8
Ejemplo (6/8)
IES Villaverde Sistemas Operativos en Red
15
Compartición avanzada
Ejemplo (7/8)
IES Villaverde Sistemas Operativos en Red
16
Compartición avanzada / permisos
17/01/2016
9
Ejemplo (8/8)
IES Villaverde Sistemas Operativos en Red
17
Uso compartido avanzado: Modificar el nombre del recurso compartido Varios nombres… que apuntan al mismo sitio Máximo de usuarios concurrentes Agregar/ Eliminar permisos Uso de memoria caché para equipos son conexión
Caso especial: Carpetas Públicas No se puede asignar usuarios o grupos. O todos o nadie. Hay que especificarlo
en el “uso compartido…” de “Opciones de Red”
Permisos de acceso
IES Villaverde Sistemas Operativos en Red
18
Una vez compartida, se especifican las condiciones de acceso´.
Permisos .- Normas de acceso a un recurso compartido. Si se puede o no y de qué forma. (permitir/denegar)
Cambio / Modificar
Lectura
Escritura
Lectura y ejecución
Control total
Especiales NTFS. Más finos… 2008R2
Heredar, Tomar posesión, accesos a auditoria…
17/01/2016
10
Asignación de permisos en carpetas
IES Villaverde Sistemas Operativos en Red
19
Permisos estándar y especiales (NTFS) [En pestaña Seguridad]
Son independientes. Se aplican los más restrictivos
Pueden ser explícitos o heredados desde un primario o carpeta contenedora ( se propagan)
Los explícitos tiene prioridad sobre los heredados
Los heredados aparecen sombreados en gris
Asignación de carpeta a usuario
IES Villaverde Sistemas Operativos en Red
20
Carpetas “Común” y “Privado”
En “Usuarios y Equipos de AD” Seleccionamos uno o varios usuarios ( Con Shift y/o Ctrl)
Propiedades ( de múltiples elementos)
Perfil
Carpeta Particular. ( Llamaremos “Privado” a diferencia de “Común”)
Conectar …. Unidad de Red \\servidor\carpeta_contenedora\carpeta_compartida\\servidor\Privado\%username% porque estamos haciendo varios a la vez
Comprobar acceso desde cliente
Definición: “Mapear” en el cliente: “asignar unidad de red”
17/01/2016
11
Ejemplo práctico
IES Villaverde Sistemas Operativos en Red
21
Creación de carpetas Comun y Privado
Botón derecho--- Propiedades---Uso compartido avanzado
Marcar “Compartir” y dejar nombre por defecto
Permisos: Quitar Todos ( tienen de lectura) y agregar usuarios del dominio
Dar Control Total
En Usuarios y equipos de AD
En cuenta /s de usuario /s propiedades—perfil—carpeta particular
Escoger opción Z: pues queda más claro para el usuario
\\Nombreserver\Privado\%username%
Script de “mapeo”
IES Villaverde Sistemas Operativos en Red
22
En NetLogon script de inicio que utilice Net Use
\\Servidor\Netlogon$
Con Bloc de notas creamos ConexionInicial.bat net use f: \\servidor\Comun
En usuarios y Equipos/Perfil / script de inicio de sesión--- ConexionInicial
17/01/2016
12
Resumen
IES Villaverde Sistemas Operativos en Red
23
Consideramos dos tipos de permisos: los permisos para compartir y los permisos NTFS.
Los permisos de recurso compartido se aplican a los usuarios que se conectan a una carpeta compartida a través de la red. Estos permisos no afectan a los usuarios que inician sesión localmente o mediante Escritorio remoto ( Para ellos la pestaña Seguridad)
Si se establecen tanto permisos de recurso compartido como permisos de sistema de archivos para una carpeta compartida, se aplicarán los permisos más restrictivos al conectarse a la carpeta compartida
Cuando se crea una carpeta en el sistema de archivos, hay un conjunto de permisos predeterminados que se le asignan a SYSTEM (el propio sistema), al usuario que la ha creado y al grupo local de administradores del servidor donde se creó, pues todos ellos necesitan algún tipo de acceso sobre la carpeta creada.
Ejemplo
IES Villaverde Sistemas Operativos en Red
24
Por ejemplo, para conceder a los todos usuarios de un dominio acceso a unacarpeta compartida, en la ficha Permisos del recurso compartido(carpeta), sedebe establecer permisos de Control total para el grupo Todos.
En la ficha Seguridad, se puede especificar un acceso más restrictivoestableciendo permisos de acceso de lectura para el grupo Usuarios deldominio.
El resultado es que un usuario que es miembro del grupo Usuarios del dominiocuenta con acceso de solo lectura a la carpeta compartida, tanto si elusuario se conecta a través de un recurso compartido de red, como si lohace a través de Escritorio remoto o si inicia sesión localmente.
17/01/2016
13
Resumen de permisos
IES Villaverde Sistemas Operativos en Red
25
Resumen de permisos
IES Villaverde Sistemas Operativos en Red
26
Aunque los permisos Mostrar el contenido de la carpeta y Leer y ejecutar parecen tener los mismos permisos especiales, se heredan de forma diferente.
El permiso Mostrar contenido de carpeta lo heredan las carpetas y no lo heredan los archivos.
El permiso Leer y ejecutar lo heredan los archivos y las carpetas, y siempre está presente cuando se ven los permisos de archivo o carpeta.
Si se desea administrar el acceso a carpetas exclusivamente mediante permisos NTFS, se debe establecer previamente los permisos de recurso compartido en Control total para el grupo Todos.
17/01/2016
14
Listas de Control de Acceso ( ACL)
IES Villaverde Sistemas Operativos en Red
27
Listas para gestionar la seguridad de Objetos en sistemas NTFS. Se utilizanpara indicar si un usuario o grupo de usuarios tiene permiso o no paraacceder a un Objeto localmente o por red. Contiene ACE (Access ControlEntry ó Entrada de Control de Acceso) que indica qué permisos tendrácada usuario o grupo de usuarios
DACL (Discretionary Access Control List): Qué usuarios y grupos pueden usar un objeto y con qué permisos
SACL ( System…) Qué accesos al objeto motivará una entrada en el registro ( qué accesos serán “auditados”)
Listas de Control de Acceso ( ACL)
IES Villaverde Sistemas Operativos en Red
28
17/01/2016
15
Listas de Control de Acceso ( ACL)
IES Villaverde Sistemas Operativos en Red
29
Comprobar la ACL de la carpeta Windows
En Propiedades de la carpeta Windows / Pestaña Seguridad / Opciones avanzadas se puede ver la lista de usuarios, grupos y permisos. En la Pestaña Auditoría SACL y modificarla si se dispone de permisos para ello.
Comando icacls
Tomar posesión. Propietario
IES Villaverde Sistemas Operativos en Red
30
Propietario: El creador del Objeto
Puede conceder permiso de Toma de Posesión a otros usuarios
En Propiedades/ Opciones Avanzadas/Propietario
Si es de una Carpeta ( no un fichero) aparece la opción de: Reemplazar propietario en subcontenedores y objetos.
A partir de la “Toma de Posesión” se obtiene el “Control Total”
17/01/2016
16
Derechos de conexión y privilegios
IES Villaverde Sistemas Operativos en Red
31
Derecho otorga al usuario la capacidad de llevar a cabo una determinada acción en el sistema. Se pueden otorgar/quitar en cualquier momento y a usuarios o grupos. Los de conexión definen las características del inicio de sesión del usuario en el sistema.
Privilegios Capacidad de llevar a cabo una determinada acción una vez iniciada la sesión (“logueado”). A través de Directivas.
El Privilegio prevalece sobre el “permiso”
Builtin contiene grupos de seguridad por defecto con una serie de privilegios
Perfil de usuario
IES Villaverde Sistemas Operativos en Red
32
Configuración del entorno de trabajo del usuario Obligatorio , antes fijo.( Móvil de sólo lectura)
Temporal ( si no se carga Móvil u Obligatorio, salvo el Super-Obligatorio)
Local
Móvil
Carpetas: Datos de programas, Cookies, Escritorio, favoritos, Configuración local, Mis documentos, Recientes, Entorno de red, Impresoras, Inicio, Plantillas , SendTo…
17/01/2016
17
Gestión de impresoras
IES Villaverde Sistemas Operativos en Red
33
Tres elementos:
Servidor de impresión.- Servicio que administra la cola de impresión
Cola de impresión.- Fichero donde se almacenan los trabajos
Impresora Dispositivo de impresión
Tres modos de compartir impresoras
IES Villaverde Sistemas Operativos en Red
34
El servidor Windows 2008 server puede ser Servidor de impresión (Print server):
• De impresora LOCAL: La impresora está conectada físicamente al servidor a través de un puerto (Paralelo, USB…). Se instala el software , se configura y se comparte.
• Servidor de impresión de impresora remota. La impresora puede estar físicamente en otro equipo ( no usual)
• Servidor de impresión de una impresora de red (impresora con interface de red)
17/01/2016
18
Conectada físicamente a un server
IES Villaverde Sistemas Operativos en Red
35
Conectar físicamente la impresora a un puerto del servidor
Instalar drivers específicos para el SO del servidor
Compartir impresora al resto de la red
En propiedades ( una vez instalada) especificamos parámetros de compartición
Conectada directamente a la red
IES Villaverde Sistemas Operativos en Red
36
La propia impresora tiene tarjeta de red y/o servidor de impresión físico
Dos formas:
• Agregar la impresora en cada equipo del dominio sin compartirla
• Agregar la impresora al servidor de impresión
17/01/2016
19
Ventaja del Print server (lógico)
IES Villaverde Sistemas Operativos en Red
37
• El servidor administra la configuración del controlador de la impresora
• En todos los equipos se muestra la única cola de impresión. El usuario puede ver dónde se encuentra su trabajo y recibe estado de la impresora.
• Parte del procesamiento se transfiere al servidor.
• Los administradores pueden auditar las impresoras
Práctica
IES Villaverde Sistemas Operativos en Red
38
• Busca información sobre los puertos más habituales utilizados para conectar localmente una impresora a un equipo
• Busca información sobre impresoras que permitan la conexión de red ( cable e inalámbrica)
• Busca información acerca de un servidor de impresión físico