Академический Документы
Профессиональный Документы
Культура Документы
Administracin Bsica de
Dominios
Tabla de contenidos
Introduccin
Dominios en Windows 2000
Concepto de dominio
Clientes y servidores
Modos de funcionamiento
Implementacin de dominios: el Directorio Activo
El Directorio Activo
Concepto de dominio segn el Directorio Activo
Mltiples dominios en la misma organizacin
Principales objetos administra un dominio
Usuarios globales
Grupos
Equipos
Unidades Organizativas
Comparticin de recursos entre sistemas Windws 2000
Permisos y derechos
Comparticin dentro de un dominio
Mandatos Windows 2000 para compartir recursos
Introduccin
Este captulo introduce los conceptos fundamentales sobre
dominios Windows 2000, suficientes para poder unificar y
centralizar la administracin de conjuntos de sistemas
Windows 2000 de pequeo o medio tamao.
En concreto, se explicar la administracin bsica del
Directorio Activo, incluyendo los principales objetos que
pueden definirse en el mismo (usuarios, grupos, equipos y
unidades organizativas), as como la comparticin de
recursos entre sistemas que forman parte de un dominio.
Clientes y servidores
Como sabemos, el sistema operativo Windows 2000 se distribuye en dos
versiones alternativas: Windows 2000 Server (o "servidor Windows 2000") y
Windows 2000 Professional (o "estacin Windows 2000"). Esta dualidad de
versiones cobra sentido en el mbito de los dominios: por una parte, un servidor
Windows 2000 se suele utilizar para proporcionar servicios centralizados de red
en el dominio. Por otra parte, una estacin Windows 2000, aunque puede
formar parte de un dominio, no proporciona ningn servicio al resto de
ordenadores del mismo, siendo una estacin de trabajo de propsito general.
Concretamente, en un dominio de Windows 2000:
Por tanto, para crear un dominio en Windows 2000 necesitamos que al menos
uno de los servidores Windows 2000 de la red se convierta en un DC. Para ello,
una vez instalado el sistema operativo en el servidor, debemos ejecutar un
asistente denominado dcpromo. Si queremos que en el dominio exista ms de
un DC, hay que ejecutar el asistente en todos dichos servidores Windows 2000.
Modos de funcionamiento
Un dominio Windows 2000 puede encontrarse configurado en uno de dos
modos alternativos:
Usuarios globales
En el Captulo 5. Proteccin Local se ha visto cmo pueden crearse cuentas de
usuarios y grupos en Windows 2000, y cmo se utilizan ambas para:
a. identificar y autentificar a las personas (usuarios) que deben poder
acceder al sistema, y
b. administrar los permisos y derechos que permitirn aplicar el control de
acceso adecuado a dichos usuarios en el sistema.
Por lo tanto, segn lo que sabemos hasta ahora, si una persona debe trabajar
en varios ordenadores, necesita poseer una cuenta de usuario en cada uno de
ellos. A continuacin explicaremos una alternativa a esto.
En un dominio Windows 2000, cualquier servidor que acta como DC puede
crear cuentas de usuario global. En este caso, el trmino "global" debe
interpretarse como global al dominio. Los datos de una cuenta de usuario global
se almacenan en el Directorio Activo y por tanto son conocidos por todos los
ordenadores del dominio (en realidad, por todos los ordenadores de bosque).
Em otras palabras, no es que se cree una cuenta para ese usuario en cada
ordenador miembro, sino que existe una nica cuenta (con un nico SID) que es
visible en todos los ordenadores del dominio. En este caso, cuando una
persona se conecta a cualquiera de dichos ordenadores utilizando para ello su
cuenta de usuario global, el ordenador en cuestin realiza una consulta al
Directorio Activo (i.e., a alguno de los DCs) para que se validen las credenciales
del usuario. El resultado de la validacin es enviado al ordenador miembro (y de
ste al usuario), concediendo o rechazando la conexin.
Los ordenadores miembros de un dominio que no sean DCs, adems de
conocer a los usuarios globales del dominio, pueden crear tambin sus propios
usuarios locales. En este caso, estos usuarios son nicamente visibles en el
ordenador en el que han sido creados. Cuando una persona desea entrar en el
sistema utilizando una cuenta local, dicha cuenta se valida contra la base de
datos local de ese ordenador. Adems, es importante resaltar que a dicho
usuario local no se le pueden asignar permisos sobre recursos que residan en
otro sistema Windows 2000 (puesto que all no existe). Por el contrario, a un
usuario global se le pueden conceder permisos sobre cualquier recurso
(archivo, directorio, impresora, etc.) de cualquier ordenador miembro del
dominio, puesto que es visible (y posee el mismo SID) en todos ellos.
Grupos
De forma anloga a los usuarios globales, existen grupos que son almacenados
en el Directorio Activo y que por tanto son visibles desde todos los ordenadores
del dominio (y, en algunos casos, tambin de otros dominios del bosque). En el
directorio pueden crearse dos tipos de grupos: grupos de distribucin y grupos
de seguridad. Los primeros se utilizan exclusivamente para crear listas de
distribucin de correo electrnico, mientras que los segundos son los que se
utilizan con fines administrativos. Por este motivo, a partir de ahora nos
referiremos exclusivamente a los grupos de seguridad.
En relacin con esto, es importante saber que cuando un ordenador pasa a ser
miembro de un dominio, el grupo global Administradores del dominio se
incluye automticamente en el grupo local Administradores de dicho
ordenador. De igual forma, el grupo global Usuarios del dominio se incluye
dentro del grupo local Usuarios. De esta forma, los administradores y usuarios
normales del dominio tienen en cada miembro los mismos derechos y permisos
que los que tengan ya definidos los administradores y usuarios locales,
respectivamente. El administrador local puede, si lo desea, invalidar esta accin
automtica, extrayendo posteriormente los grupos globales de los locales.
Equipos
Como hemos visto, en el Directorio Activo de un dominio se conserva toda la
informacin relativa a cuentas de usuarios y grupos globales. Esta misma base
de datos de directoio recoge tambin una cuenta de equipo por cada uno de los
ordenadores miembro de un dominio.
Entre otras informaciones, en cada una de estas cuentas se almacena el
nombre del ordenador, as como un identificador nico y privado que lo
identifica unvocamente. Este identificador es anlogo al SID de cada cuenta de
usuario, y slo lo conocen los DC s y el propio ordenador miembro. Es por
tanto, un dato interno del sistema operativo, y ni siquiera el administrador puede
cambiarlo.
Windows 2000 puede utilizar distintos protocolos de comunicaciones seguros
entre los ordenadores miembro de un dominio y los DCs. Entre ellos los ms
importantes son NTLM (el protocolo utilizado por versiones anteriores de
Windows NT, que se mantiene por compatibilidad hacia atrs) y Kerberos V5.
Kerberos presenta numerosas ventajas respecto a NTLM, pero slo es viable en
la prctica si todas las mquinas del dominio son Windows 2000. Estos
protocolos se utilizan siempre que informacin relativa a aspectos de seguridad
se intercambia entre mquinas 2000 pertenecientes a algn dominio y, en
concreto, para autenticar usuarios (como se ha explicado arriba).
Unidades Organizativas
Una Unidad Organizativa (Organizational Unit, OU) es un objeto del Directorio
Activo que puede contener a otros objetos del directorio. Es decir, es un
contenedor de otros objetos, de forma anloga a una carpeta o directorio en un
sistema de archivos tradicional. En concreto, dentro de una unidad de este tipo
pueden crearse cuentas de usuario, de grupo, de equipo, de recurso
compartido, de impresora compartida, etc., adems de otras unidades
organizativas. Es decir, mediante unidades organizativas podemos crear una
jerarqua de objetos en el directorio (lo cual se asemeja otra vez a un sistema
de archivos tpico de Windows). Los objetos ubicados dentro de una unidad
organizativa pueden moverse ms tarde a otra, si fuera necesario. Sin embargo,
un objeto no puede copiarse: cada objeto es nico en el directorio, y su
existencia es independiente de la unidad organizativa a la que pertenece.
Por tanto, el objetivo de las unidades organizativas es estructurar u organizar el
conjunto de los objetos del directorio, agrupndolos de foma coherente. En el
Directorio Activo, las unidades organizativas permiten:
IPC$. Recurso que agrupa los tubos (colas de mensajes) utilizados por
b. net share
c. net share recurso_compartido
d. net share recurso_compartido=unidad:ruta_de_acceso
e.
[/remark:"texto"]
i.
j. net use
[nombre_dispositivo]
k.
[\\nombre_equipo\recurso_compartido[\volumen]]
l.
m.
[contrasea | *]]
[/user:[nombre_dominio\]nombre_usuario]
[[/delete] | [/persistent:{yes | no}]]
[/delete:{yes | no}]
p. net use
[/persistent:{yes | no}]