7. administración de windows 2000 server 1 tema 7: administración de windows 2000 server resumen:...
TRANSCRIPT
7. Administración de Windows 2000 Server
1
Tema 7: Administración de Windows 2000 Server
• Resumen:– El programa Administración de Equipos
– Planificar la implantación de Active Directory
– Administración de cuentas de usuario
– Administración de cuentas de grupos
– Administrar los grupos de directivas
7. Administración de Windows 2000 Server
2
1. Utilizar el Gestor de Consolas (MMC)• Introducción
– Es el programa que hospeda al resto de herramientas administrativas
– Proporciona una interfaz sencilla para las tareas administrativas diarias
• El entorno del gestor de consolas– Puede ejecutarse en w2k, NT, w9x– Tareas que se pueden realizar:
• La mayoría de tareas administrativas mediante la misma interfaz• Administración centralizada• Administración remota de las principales tareas• Personalizar la aplicación para que la utilicen los administradores
delegados
– La ventana del gestor:• Entorno parecido al Explorador de Windows• Es un contenedor de aplicaciones administrativas
7. Administración de Windows 2000 Server
3
– Las consolas del gestor de consolas:• Una consola es un conjunto de una o más programas administrativos• Se almacenan en archivos con extensión .msc• Cada consola se representa como una ventana hijo de la interfaz
principal• Una consola contiene:
– Un árbol de exploración con los programas de administración organizados en nodos
– Un panel en el que se visualiza el contenido del nodo
• Barra de menú principal: Accion, Ver y Favoritos• Tipos de consolas:
– Personalizadas:» Para ajustar el programa de administración a las necesidades» Compartir el gestor con otros administradores» Combinar programas de terceros con los existentes
– Preconfiguradas:» No se pueden modificar» Se identifican por que no aparece el menú de consola (Consola, Ventana,
Ayuda)
7. Administración de Windows 2000 Server
4
» No se cargan todas las consolas administrativas en la instalación
» Se puede cargar en un w2k Professional para administrar otros equipos de forma remota
• Programas administrativos (snaps-in)– Cada consola de gestión se compone de pequeñas herramientas o
programas denominadas snaps-in
– Cada snap-in es una unidad con funcionalidad de gestión
– Son programas preparados para trabajas en el gestor de consolas
– Dos tipos:• Independientes: realizan las tareas administrativas esenciales
• Extensiones: – proporcionan funcionalidad extendida a los independientes
– Al agregar extensiones, sólo se muestran las que son compatibles con el snap-in que se pretende extender
– Pueden extender la funcionalidad mediante opciones del menú contextual o mediante asistentes
7. Administración de Windows 2000 Server
5
– Opciones de consola• Cuestiones generales:
– Determina el modo en que opera una consola
– El modo de la consola afecta al usuario que utiliza una consola almacenada
– Dos tipos: modo autor y modo usuario
• Modo autor:– Si se almacena la consola con este modo, se tiene acceso total
– Tareas que se pueden realizar:
» Agregar o eliminar snap-ins
» Crear nuevas ventanas
» Ver cualquier parte del árbol
» Almacenar consolas
• Modo usuario:– Para distribuir consolas entre administradores
– Los usuarios tienen acceso restringido a la consola
– Tres tipos de modo usuarios:
» Acceso completo
» Acceso limitado, múltiples ventanas
» Acceso limitado, ventana única
7. Administración de Windows 2000 Server
6
• Administrar cuentas de grupos– Cuestiones generales:
• Examinar el modo de utilizar grupos en un dominio y grupos locales• Un grupo es una colección de cuentas de usuario• Simplifica la aplicación de permisos a un conjunto de usuarios
similares• También se pueden agregar equipos, contactos y otros grupos
• Implementar grupos en un dominio:• Examinar tres cuestiones: tipos, ámbito y pertenencia• Tipos de grupos:
– Dos tipos: seguridad y distribución– Grupos seguridad: se utilizan para garantizar el acceso a recursos– Grupos de distribución: agrupación de usuarios a efectos de mensajería
• Ámbito: indica el ámbito en el que se utiliza el grupo– Dominio local: usuario de cualquier dominio + recursos del dominio– Global: usuarios del dominio + recursos de cualquier dominio– Universal: cualquier usuario + cualquier dominio
7. Administración de Windows 2000 Server
7
• Pertenencia:
– Los grupos dominio local y global se pueden convertir a universal con tal de que no contengan otros grupos del mismo ámbito
• Anidamiento de grupos:– Operación de agregar unos grupos a otros: simplifica la administración– Se hace necesario definir una estrategia de anidamiento de grupos en
función de las necesidades– Ejemplo: (...)– Se recomienda reducir el nivel de anidamiento a 1 contraejemplo (...)– Un anidamiento efectivo de grupos reducirá el tráfico en la red y
simplificará la administración por ello hay que comprender bien los distintos tipos de grupos
– Se debe tener en cuenta el tipo de replicación de cada tipo de grupo
7. Administración de Windows 2000 Server
8
– Estrategias de agrupamiento• Utilizar grupos globales y de dominio local: se emplean criterios
equivalentes a los utilizados en NT:– Agrupar usuarios con similares responsabilidades en la empresa en un
mismo grupo global Contabilidad
– Crear grupos de dominio local para el/los recurso/s a los que acceden los usuarios grupo impresoras
– Asignar todos los grupos globales con las mismas necesidades de acceso a los recursos en los grupos locales agregar Contabilidad a Impresoras
7. Administración de Windows 2000 Server
9
• Utilizar grupos universales: Nuevo elemento de Windows 2000 para superar la barrera del dominio:
– Utilizar grupos globales para permitir a los usuarios acceder a recursos de otros dominios
– Se debe emplear grupos globales con miembros estáticos– Agregar grupos globales a un grupo universal y asignar permiso de
acceso al grupo universal sobre un recurso
– Implementar grupos:• Criterios para la creación de grupos:
– Determinar el ámbito del grupo en función de la finalidad del grupo– Evitar asignar usuarios a grupos universales– Determinar si se disponen de los permisos suficientes para crear grupos
Administradores y Operadores de Cuentas (en un dominio)– Elegir el nombre de forma adecuada: intuitivo, descriptivo
• Creación de grupos:– Usuarios y Equipos de Active Directory– Crear los grupos dentro de la OU Usuarios o de una nueva– Eliminar los grupos que no se necesiten– Creación: nombre, ámbito y tipo
7. Administración de Windows 2000 Server
10
• Administrar grupos:– Usuarios y equipos de Active Directory
– Agregar miembros: de un dominio, de todo el Active Directory
– Modificar el ámbito de un grupo:
» De grupo global a universal: conceder permisos en otros dominios
» De dominio local a universal
– Eliminar un grupo: el SID no se vuelve a utilizar; solo se elimina la agrupación lógica
• Implementar grupos locales:– Cuestiones generales:
• Se utilizan para contener usuarios y locales y acceder a recursos locales
• Dos tipos: dominio, no-dominio
• Criterios:– Los grupos locales de dominio se crean en el AD; los utilizan los CD para asignar
cualquier recurso de los CD del dominio
– Los grupos locales no-dominio se gestionan localmente; no aparecen en el AD
– Se puede asignar permisos a grupos locales no-dominio para acceder a recursos locales
• Creación: Administrador de equipos; nombre, descripción y miembros
7. Administración de Windows 2000 Server
11
• Grupos predeterminados:– Introducción:
• Cuatro categorías: globales, dominio local, locales y sistema
• Tienen un conjunto de derechos predeterminado y una serie de usuarios predeterminados
– Grupos globales predeterminados:
• Al crear un grupo, se le pueden asignar derechos:– Asignándolo a un grupo predeterminado
– Asignándole derechos explícitamente
7. Administración de Windows 2000 Server
12
– Grupos de dominio local predeterminados:• Asigna a los usuarios derechos sobre el AD
• Los grupos locales y los de dominio local tienen funciones parecidas
7. Administración de Windows 2000 Server
13
– Grupos locales predeterminados:• Administrar cuentas y recursos locales
7. Administración de Windows 2000 Server
14
– Grupos sistemas predeterminados:• Existen en todos los equipos Windows 2000
• Representa a diferentes usuarios en diferentes momentos
7. Administración de Windows 2000 Server
15
• Administrar las directivas de grupo:– Cuestiones generales
• Controlan la disponibilidad de programas, el escritorio y la configuración del menú inicio
• Mas que establecer las directivas, se trata de administrarlas: se establecen en el dominio o la red
• Definen un conjunto de configuraciones que establecen el comportamiento de un objeto y sus hijos
• Conflictos: impedir el acceso a una aplicación que se necesita
– Beneficios de utilizar las directivas de grupo• Asegurar el entorno del usuario:
– Reducción del tiempo dedicado a resolver incidencias en los equipos de inexpertos (total cost of ownership) impedir cambios
• Adaptar el entorno del usuario
7. Administración de Windows 2000 Server
16
– Tipos de directivas de grupo:
7. Administración de Windows 2000 Server
17
– Estructura de las directivas de grupo:• Los valores de las directivas (configuraciones) se almacenan en un objeto
directiva de grupos (GPO)
• Almacena información en dos sitios: contenedores y plantillas
• Objetos de directivas de grupos:– Contiene configuración de directivas de sitios, dominios y OU
– Las propiedades de las directivas se almacenan en dos objetos: GPC (contenedor) y GPT (plantillas)
– Se pueden aplicar uno o más GPO a un sitio, dominio u OU
– Se puede asociar una GPO con muchos contenedores y al revés
» Pocos datos y estables se almacenan en la GPC
» Muchos datos y variables GPT
• Objetos de directivas de grupos locales:– Todo w2k tiene un objeto GPO y de forma predeterminada solamente se
configuran los datos de seguridad
– %systemroot%\System32\GroupPolicy
– Permisos ACL:
» Administrators: Full Control
» SYSTEM: Full Control
» Authenticated Users: Read & Execute, List Folder Contents, and Read
7. Administración de Windows 2000 Server
18
– GPC y GPT:• Contenedores de directivas de grupo:
– Los valores de las directivas (configuraciones) se almacenan en un objeto directiva de grupos (GPO)
– Objeto de AD que almacena las propiedades del GPO y que incluye subcontenedores con las directivas de equipos y de grupos de usuarios
– Tiene información que permite sincronizar la GPC y GPT
• GPT:– %systemroot%\SYSVOL\sysvol\ <domain_name>\Policies
» Se almacena toda la información sobre plantillas administrativas, seguridad, scripts, configuración software
– Estructura de la GPT
» Se crea una carpeta de nombre el GUID del objeto GPO
» Ejemplo:
» Se crea un GPO asociado con el dominio uclm.es
» %systemroot%\SYSVOL\sysvol\uclm.es\Policies\ {45265FA6-554F-4F74-97CC-61B4663DAE61}
7. Administración de Windows 2000 Server
19
• Contenido de la GPT:– Inicialmente se crean las carpetas User y Machine y a medida que se
modifican las directivas, se crean nuevas carpetas, junto con el archivo gpt.ini
7. Administración de Windows 2000 Server
20
– El archivo gpt.ini:
» La carpeta raíz de cada GPT contiene este archivo
» Dos entradas:
» Version: comienza con 0 y se incrementa en cada modificación; indica el número de versión del GPO
» Disabled: indica si el GPO está o no activo
– El archivo registry.pol:
» El de la carpeta User se descarga y aplica en la clave HKEY_CURRENT_USER, cuando el usuario inicia la sesión
» Idem con el de la carpeta Machine en HKEY_LOCAL_MACHINE
» El formato ha cambiado respecto a win95/98 y NT
– Aplicar directivas de grupo:– Hay que comenzar creando objetos GPO
• Crear un GPO:– Se puede crear un GPO en un dominio o una OU mediante Usuarios y
Equipos de AD
– Seleccionar propiedades del sitio, dominio u OU | ficha directivas de grupo | nueva
7. Administración de Windows 2000 Server
21
– Utilizar el programa Directivas de grupo:• En un entorno de AD, las directivas se aplican a usuarios y equipos sobre la
base de su pertenencia a sitios, dominios u OU
• Cada uno contiene tres partes: configuración software, configuración de windows y plantillas administrativas
• Equipos:– Definen valores de configuración del entorno; se cargan al iniciarse el so y se
puede obligar a descargarlas de la red
– Si se definen directivas de usuario en un equipo se aplican a todos los usuarios del equipo
• Usuarios:– Sirven para personalizar el entorno y/o forzar la descarga desde la red
– Definen: escritorio, aplicaciones, guiones de inicio y aplicaciones asignadas y publicadas
• Crear una consola de directiva– Se puede crear una consola por GPO
• El programa gpedit.msc– Sirve para editar las directivas locales
– También se puede editar directivas remotas /gpcomputer:nombre
– Se puede abrir cualquier objeto
7. Administración de Windows 2000 Server
22
– Permisos GPO:• Al crear un objeto GPO se le asignan una serie de grupos con una
serie de permisos:
– Ojo: el propietario, administradores de la empresa y administradores del dominio también pertenecen a Usuarios Avanzados
– Un GPO no puede abrirse en modo solo lectura: si se abre se puede modificar los cambios se realizan durante la edición
– Para poder editar, el usuario debe ser:
» Administrador
» Propietario
» Un usuario con acceso delegado