Windows LiveWindows Live
 
 
Juan Salvador's profileJuansa's BlogPhotosBlogListsMore Tools Help

Blog
    September 29

    Para Rafael

    Rafael, lamentablemente si no facilitas que pueda responderte a tu correo mal está que pueda ayudarte.
    Voy a explicartelo desde una entrada en el blog, espero que te sirva. Si deseas contactar conmigo en un futuro hazlo por correo electrónicoy cona dirección tuya válida.
     
    Si ya dispones de script para mapear unidades, sólo has de colocarlo para que se ejecute en la directiva de cada OU. Es decir, que creas un scrip por OU, el cual mapeará una unidad de red que le corresponda a esa OU, lo configuras en la GPO de la OU y se aplicará a los usuarios que estén dentro de ese contenedor.
     
    Suerte.
    10:31 PM | Add a comment | Permalink | Blog it | Scripts
    March 14

    Seguimos con los Dumps

    Para estar seguros que nuestro sistema podrá guardar los archivos de volcado, podemos comprobar que la unidad del sistema (normalmente C:\Windows) dispone de suficiente espacio libre, que el disco dispone de suficiente espacio libre y que el disco no esté corrupto.

    Un volcado de memoria completo supone que el espacio libre necesario debe ser al menos igual a la cantidad de memoria física presente en el equipo. Hay que comprobar que hay espacio suficiente en la unidad del sistema para el máximo tamaño de archivo de paginación para el archivo de volcado.

    Podemos ver el tamaño máximo de archivo de paginación para cada volumen de disco desde:

    1. Panel de Control, icono sistema, pestaña avanzadas.
    2. En Rendimiento, pulsamos en configuración.
    3. En opciones de rendimiento, pestaña avanzadas.
    4. Memoria virtual, pulsamos cambiar.
    5. Vemos la información sobre el archivo de paginación. Donde nos indicará el valor actualmente destinado al archivo. Podemos indicar los valores deseados en Tamaño inicial y Tamaño Máximo.
    6. El tamaño especificado debe ser correcto y el disco tiene suficiente espacio libre para él.

    Para evitar fragmentación del disco al crear el archivo de volcado de memoria es interesante establecer un tamaño inicial mayor que el que se necesita para el archivo de volcado y así no necesitar expandirlo mientras se crea el volcado de memoria.

    Se ha de comprobar que la ruta del archivo de volcado de memoria, de forma predeterminada raíz_del_sistema\Memory.dmp, dispone de suficiente espacio libre para almacenar el volcado.

    Finalmente para observar la posible corrupción del disco podemos comprobar la integridad del volumen, ya sea mediante el comando chkdsk /f o desde las herramientas de disco de la interfaz.

     

    Analizar los errores de Stop con los volcados de memoria.

    Los archivos de volcado contienen información detallada sobre el estado del sistema operativo cuando ha ocurrido el error. Podemos analizar manualmente el archivode volcado mediante las herramientas de depuración o usando procesos automatizados proporcionados por Microsoft. La información que obtenemos nos ayuda al entendimiento sobre la causa raíz del problema.

    Podemos usa el servicio de informe de errores para enviar la información del archivo de volcado a Microsoft. Aunque también podemos usar Microsoft Kernel Debugger (Kd.exe) o Microsoft WinDbg Debugger (WinDbg.exe) para analizarlos manualmente.

    Como una opción adicional de resolución de problemas, podemos configurar nuestro sistema para que añada una entrada en el Registro de Sistema cuando ocurre un Stop error.

    Informe de errores

    Si está habilitado, el informe de errores controla el sistema operativo en cuanto a errores relacionados con componentes del sistema operativo y aplicaciones. usando el servicio de informe de errores nos permite la obtención de información extra sobre el problema o condición que ha causado el stop error.

    Cuando ocurre un Stop error Windows Server 2003 nos muestra en pantalla un mensaje de Stop y graba la información de diagnóstico en el archivo de volcado de memoria especificado en la pestaña Avanzada de las propiedades del sistema (que ya se ha visto como se configura). Con el propósito de informar, el sistema también graba un volcado de memoria pequeño. En el siguiente reinicio en modo normal o seguro con red y se inicia sesión como administrador, el servicio de informe de errores reune información sobre el problema y lleva a cabo diversas acciones:

    • El Seguimiento de apagado (Shutdown Event Tracker) aparece, aunque no está relacionado directamente con el servicio de informe de errores, inmediatamente después de la autenticación del administrador en el sistema después de un Stop error u otro apagado inesperado. El cuadro de diálogo permite al administrador agregar información sobre el stop error al Evento. El número y parámetros del stop error son automáticamente añadidos al campo de comentario. Después de Aceptar el administrador, se agrega un evento con la información al Registro del Sistema con un ID de evento 1076. El resto del proceso normal de inicio de sesión sigue en cuanto el seguimiento de apagado se cierra.
    • Muestra en pantalla una Alerta. Una vez el entorno de escritorio se ha iniciado, el servicio de informe de errores muestra en pantalla un cuadro de diálogo indicando que el sistema se ha recuperado de un error grave.
    • Nos proporciona la opción de envío del informe de error. Podemos enviar el informe de error no no enviarlo. Tenemos además la opción de ver los datos que contiene el informe de error y ver la ubicación del archivo XML que será enviado a Microsoft. Este archivo contiene la versión e idioma de Windows Server 2003 utilizado y una lista de todos los dispositivos y controladores cargados en el sistema en el momento de producirse el error.
      • Si pulsamos en Enviar informe de error, éste se enviará de forma anónima, incluyendo el archivo de volcado pequeño y se nos preguntará si deseamos agregar información extra para completar el informe de error. Una vez enviado se nos redirigirá al sitio web de análisis de errores en línea. Si está disponible, nos mostrará un análisis sobre el error y dependiendo de la naturaleza del error, puede que podamos realizar un seguimiento del estado del mismo.

    También podemos utilizar el Editor de Directivas de grupo para personalizar el servicio de Informe de errores de diversas formas. Una de las más útiles personalizaciones es configurarlo para cargar los informes de error sin preguntar a un administrado.

    Los informes de errores pueden guardarse en una carpeta compartida, que es útil para el análisis de errores que ocurren en varios y diferentes servidores. Los administradores pueden entonces analizar los errores de esos distintos servidores y filtrar que informes enviar a Microsoft para su análisis.

    Sitio Web de análisis en línea de errores

    Podemos usar esta web para realizar seguimiento del estado del informe de error enviado a Microsoft mediante la herramienta de informes de errores.

    Para visitar el sitio web podemos ir directamente a Microsoft Online Crash Analisys o desde el enlace correspondiente de la web de recursos en Windows Resources Kit. Si estamos usando la herramienta de informe de errores ésta automáticamente nos dirigirá al sitio web al iniciar sesión en modo normal o seguro con red.

    La información que se envía a Microsoft incluye:

    • Información del sistema. Versión e idioma del sistema operativo que se ejecuta.
    • Datos de hardware. Procesadores y tamaño de memoria RAM instalados.
    • Fecha y Hora. Indica el momento de la ocurrencia del Stop error.
    • Lista de los controladores en uso en el sistema. Módulos en memoria cuando se produjo el error. La información de controlador de dispositivo: nombre del archivo, fecha, versión, tamaño y desarrollador/vendedor
    • Información de contexto del procesador para el proceso que se ha detenido. Estado del hardware y del procesador, contadores de rendimiento, información de paquete multiprocesador, información de llamada a procedimiento pospuestas y las interrupciones.
    • Información de contexto del Kernel para el proceso que se ha detenido. Descripción del estado de cada página física en memoria.
    • Información de contexto del Kernel para el hilo que se ha detenido. Identificación de registros y niveles de solicitud de interrupción y incluye punteros a las estructuras de datos del sistema operativo.
    • Información de la pila de llamadas en modo kernel para el hilo interrumpido. Series de ubicaciones de memoria y punteros a la ubicación inicial.

    Por supuesto podemos buscar en la Knowledge base de MS o solicitar soporte de MS si queremos una respuesta inmediata antes del análisis completo del archivo de volcado.

    Archivos de símbolos y depuradores

    También podemos analizar los archivos de volcado mediante depuradores de núcleo. Estos depuradores son lo primero que utilizan los desarrolladores para un análisis minucioso y exhaustivo del funcionamiento de la aplicación. Sin embargo, los depuradores de kernel son también útiles herramientas para administradores dedicados a la resolución de problemas de Stop error. En particular, pueden usarse para analizar los archivos de volcado de memoria después del error.

    Un depurador es un programa que habilita a los usuarios con privilegios la depuración de programas (predeterminadamente sólo el grupo de administradores) paso a paso mediante instrucciones software, examinar datos y comprobar ciertas condiciones. Depuradores de kernel que podemos obtener de MS:

    • Depurador de Kernel. Kd.exe es una herramienta de línea de comandos que podemos usar para analizar archivos de volcado de memoria. Necesita tener instalados los archivos de símbolos en el sistema.
    • Depurador WinDbg. WinDbg.exe proporciona funcionalidad similar al Kd.exe pero usando una interfaz de usuario.

    Ambas herramientas servirán al usuario para la depuración de programas (si tienen privilegios para ello), analizando el contenido de los archivos de volcado de memoria. Son una pequeña muestra de la muchas herramientas incluídas en Herramientas de depuración para Windows.

    3:27 PM | Add a comment | Permalink | Blog it
    March 05

    Ayuda a Juanma a vivir

    Ya sé que poco, más bien nada, tiene que ver con la informática, pero cierto grupo de amigos hemos decidido que vale la pena dar a conocer este caso.

    En su web está toda la información.

    9:29 PM | Add a comment | Read comments (2) | Permalink | Blog it
    January 22

    Seguimos encontrando lugares bellísimos...

    Yo sigo con mi mountain bike sufriento por los lugares por donde mi amigo Manolo nos lleva. No siempre dispongo de fotos, pero esta vez llevaba mi flamante móvil :-) que capricho! En fin, no pude resistirme a hacer algunas fotos.
    Al fondo la vista es fenomenal, en directo inigualable. Se ve el pantano de Beniarrés, a su alrededor, el pueblo del mismo nombre, Gaianes, al fondo Muro de Alcoy y más a la izquierda Cocentaina y Alcoi. Las montañas increíbles, Montcabrer al fondo, la Serra de Mariola allá a lo lejos... Bajo nosotros, ese fondo que indica la presencia del Barranc de l'encantat.
    No puedo inhibirme de sentir esa devoción por los lugares que visito a lomos de 'mi burra'.
    La ruta la comenzamos desde La Vall de Gallinera, esta vez dejamos los coches en el cercano pueblo de Al Patró, desde allí por la antigua carretera que va al pueblo abandonado de Llombai, pasando por Benisili, salimos a la principal que va hacia Venta Margarida. Desde el cruce hasta el desvío que tomamos a la derecha habrá un kilómetro a lo sumo. Ya desde aquí comenzamos a ascender, pegados a las grandes piedras de la montaña, con la única vegetación de matorrales y algunos pinos, -la zona ha sufrido muchos incendios-, rodeamos el morro de la colina para girar hacia nuestra derecha, buscando el valle que se extiende dese Beniarrés hacia Lorcha. Durante un pequeño alto en el camino, un pinchazo inoportuno de un compañero, aproveché para tomar las tres instantáneas que dejo en el album de fotos. Aquí comenzo una bajada emocionante, sin dificultades técnicas, la pista se encuentra en buen estado, para las Bikes claro jejejeje. Después del rápido descenso, pasamos por entre algunas propiedades privadas para salir a un camino paralelo al río Serpis. Nunca hemos pasado por aquí, pero con el ánimo aventurero vamos comprobando la ruta.
    Llegados a un punto en que hay que cruzar el río y debido a su lecho, parece evidente que nos mojaremos. De los 6 sólo nos atrevemos a cruzarlo dos, yo tuve suerte ya que al ser el segundo había observado como pasaba el primero, eso es una gran ventaja, aquél se mojó, y yo ni me enteré. Mientras el resto de compañeros se volvieron hacia atrás para salir a la carretera Beniarrés-Lorcha y llegar a Ca Raül, para zamparse el bocata de costumbre, nosotros subimos una rampa de cierta entidad que nos llevaba hacia la montaña de nuevo, por lo que no fiándonos al final decidimos volver a un cruce anterior y tomar otro camino entre chopos que al final salió a la misma carretera.
    Durante el almuerzo conversando con los lugareños supimos que en caso de haber seguido la ruta hacia la montaña ésta giraba a la izquierda para ir en sentido a Lorcha. (Ya lo hemos fichado en nuestro archivo mental para una próxima ocasión :-))
    Al bueno de Pep se le ocurrió decirle a Manolo que la ruta parecía más corta que las que solemos realizar, y ni corto ni perezoso nos llevó por un sendero alternativo entre barrancos y que tuvimos que hacer practicamente a pie con la bici a cuestas, para salir de nuevo a Lorcha y tomar la carretera hacia Benisili y Al Patró de vuelta hacia los coches.
    Un vez en Al Patró, la cervecita de rigor, cuatro chistes y a casa, con la idea de qué ruta haremos el próximo sábado!!
    Eso eso, el próximo Sábado!!! jejejej
     
    Hasta luego Lucas!!!
    1:44 PM | Add a comment | Permalink | Blog it | Mi bici y yo. (My bike and I)
    October 02

    Ha llegado la renovación como MVP

    En cuanto me ha llegado el mensaje felicitándome por haber sino nominado para MVP en la categoría de servidor de Microsoft me he sentido alegremente reconocido. Llevo cuatro nombramientos y he de decir que me alegro como el primer día. Siempre me ha gustado ayudar a aquéllas personas que tienen cierta dificultad frente a los ordenadores y he de reconocer, además, que gracias a estos nombramientos he conocido a gente increíble, hecho amistades maravillosas y pasado momentos intensos y llenos de alegría!!
    Doy las gracias a todos los que hacen posible que día a día sienta que mi pasión por la informática no ha sido nunca vacía.
    GRACIAS!!
    7:29 PM | Add a comment | Read comments (2) | Permalink | Blog it | Diario
    July 24

    De vuelta...

    Bueno, después de un descanso de 500 Km a lomos de mi bici por los Pirineos Franceses, haber visitado y visto lugares increíbles, donde la naturaleza se funde con nuestro espíritu... estamos en casa; He dejado unas fotos de tales eventos en el álbum.
    He de reconocer que después de la experiencia del año pasado me había entrenado mucho más, aún así no dejan de temblarme las piernas al recordar el sufrimiento que sentía al subir ciertos colosos pirenáicos.
    Este año llevabamos más compañía y con ansias de subir puertos y vertientes que algunos ya disfrutamos el anterior, así que las etapas en las que podían repetirse realizamos algunas alternativas.
    Por ejemplo, subimos Tourmalet por La Mongie, duro...duro....duro...; Volvimos a subir Spandelles pero por la otra vertiende.... ay Diós mío...... esos primeros 4km al 10% de media matan....; Al final y aprovechando que ibamos a Spandelles subimos el Solour, es algo más fácil, unos 20 km divididos en tres partes, la dura son los últimos 7 a una media del 7% (todos). Y así algunos más.
    En fin, un relax entusiasmante.
     
    Saludos!!!
    2:38 PM | Add a comment | Permalink | Blog it | Diario
    May 18

    May 31 Longhorn Server Manager Technet Webcast/Demo.

    Un Webcast interesante sobre la próxima versión servidor de MS con demo incluída.

    ·  http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032294712&Culture=en-US

    ·  TITLE: Installing, Configuring, and Managing Server Roles in Windows Server “Longhorn” (Level 300)

    ·  DATE: Wednesday, May 31

    ·  TIME:  Start is 1:00pm Redmond, WA, USA time

     

    Animaos!!

    8:32 PM | Add a comment | Permalink | Blog it | Noticias
    May 03

    Sitio web MZ Tools en español

    El sitio web del popular complemento (add-in) MZ-Tools
    (    http://www.mztools.com) del MVP Carlos Quintero para los entornos VB6, VB5,
    VBA, VS.NET 2002/2003 y VS 2005 ha sido traducido al español junto con los
    programas de instalación de las distintas versiones del producto, de manera
    que el inglés ya no sea una barrera para los desarrolladores que no están
    cómodos con ese idioma. Aunque la interfaz de usuario de dicho producto
    estaba traducida al español desde sus orígenes, el sitio web estaba sólo en
    inglés.

    MZ-Tools es una familia de complementos, algunos de ellos gratuitos, para
    los distintos entornos de desarrollo (IDEs) de Microsoft que mejora la
    productividad añadiendo más de 40 funcionalidades mediante una barra de
    botones y distintos menús, permitiendo escribir, buscar código o diseñar
    formularios más deprisa, documentar las aplicaciones, etc.

    Más información en http://www.mztools.com

    10:30 PM | Add a comment | Permalink | Blog it | Noticias
    January 28

    Permisos NTFS

    La primera pregunta que nos surge es ¿Qué es NTFS?

    Microsoft nos dice que es un sistema de archivos que nos da fiabilidad, seguridad a nivel de archivo y carpeta, permisos múltiples para usuarios y mejora en administración de escalabilidad de almacenaje, entre otras.

    NTFS es un sitema de archivos disponible en Windows Server 2003.

    • Fiabilidad

    NTFS utiliza archivos log y checkpoints para recuperar la integridad del propio sistema de archivos cuando el equipo se reinicia. Si hay sectores defectuosos, NTFS dinámicamente remapea el cluster que contiene dichos sectores y aloja los datos en un nuevo cluster, mientras marca el defectuoso como inutilizable.

    • Mayor seguridad

    NTFS utiliza EFS, un sistema de encriptación de archivos para asegurar archivos y carpetas. Si EFS se encuentra activado, los archivos o las carpetas pueden encriptarse para el uso de uno o varios usuarios. Los beneficiosde la encriptación aportan integridad y confidencialidad a los datos, mientras se protege a los datos de una modificación accidental o provocada. NTFS activa también la configuración de permisos de acceso a un archivo o carpeta. Como lectura, lectura y escritura o denegar cualquiera de ellos.

    NTFS almacena listas de acceso ACL con cada archivo y carpeta de una partición NTFS. Estas listas contienen los usuarios, grupos y equipos que tienen acceso permitido al archivo o carpeta y qué tipo de acceso. Para controlar el acceso, la lista contiene una entrada (ACE) por usuario, grupo o equipo asociado con el usuario. La entrada especifica el acceso permitido a dicho archivo o carpeta. Si no existe la entrada en la lista de acceso, Windows Server 2003 denegará el acceso al recurso al usuario.

    • Administración mejorada de escalabilidad

    NTFS soporta las cuotas de disco, que controlan la cantidad de espacio en el disco que puede utilizar un usuario. Al utilizar cuotas de disco, puedes seguir y controlar el uso del espacio del mismo, configurando cuales usuarios podrán sobrepasar los límites de alerta o almacenamiento.

    Soporta archivos grandes y un mayor número de archivos por volumen que en FAT o FAT32. NTFS administra más eficientemente el espacio del disco usando cluster de tamaño menor, y con ello aminorando el espacio inutilizable por el tamaño de los clusters.

    • Permisos múltiples para usuarios

    Si concedes permisos NTFS a una cuenta individual de usuario y a un grupo al que pertenece el usuario, entonces estás asignando múltiples permisos al usuario. Existen reglas de como las combinaciones de estos múltiples permisos se convierten en los permisos efectivos del usuario.

     

    Los permisos NTFS se utilizan para especificar que usuarios, grupos y equipos pueden acceder a los archivos y carpetas y también que pueden hacer con su contenido.

     

    Los que afectan a archivos.

    Permiso Habilita al usuario a
    Control total Cambiar permisos, tomar la propiedad, y configurar las acciones permitidas por todos los demás permisos NTFS
    Modificar Modificar y borrar el archivo y configurar las acciones permitidas por el permiso de escritura y el de lectura y ejecución.
    Lectura y Ejecución Ejecución de aplicaciones y configurar las acciones permitidas por el permiso Leer
    Escribir Sobrescribir el archivo, cambiar sus atributos y ver el propietario del archivo y sus permisos.
    Leer Leer el archivo y ver sus atributos, propietario y permisos

     

    Los que afectan a carpetas.

    Permiso Habilita al usuario a
    Control total Cambiar permisos, tomar la propiedad, borrar subcarpetas y archivos y configurar las acciones permitidas por todos los demás permisos NTFS
    Modificar borrar la carpeta y configurar las acciones permitidas por el permiso de escritura y el de lectura y ejecución.
    Lectura y Ejecución Navegar entre carpetas y configurar las acciones permitidas por el permiso Leer y el de listar contenidos de la carpeta
    Escribir Crear nuevos archivos y subcarpetas en la carpeta, cambiar los atributos de la carpeta, y ver el propietario de la carpeta y sus permisos.
    Leer Ver archivos y subcarpetas en la carpeta, ver sus atributos, el propietario y sus permisos
    Listar contenido carpeta Ver los nombres de los archivos y subcarpetas en la carpeta.

     

    Cuando copiamos o movemos un archivo o una carpeta los permisos puede que cambien dependiendo del lugar donde los movemos. Es conveniente entender estos cambios para no llevarnos ninguna sorpresa posterior.

    Cuando copiamos archivos o carpetas desde una 'carpeta' a otra 'carpeta', o desde una 'partición' a otra 'partición', los permisos NTFS pueden cambiar según lo siguiente:

    COPIA(permiso de lectura en el origen y escritura en el destino)

    • Si copiamos una carpeta o archivo dentro de una partición NTFS, la copia de la carpeta o archivo heredará los permisos de la carpeta destino.
    • Si copiamos una carpeta o archivo en una partición NTFS distinta, la copia de la carpeta o archivo heredará los permisos de la carpeta destino.
    • Cuando copiamos una carpeta o archivo en una partición que no sea NTFS, como puede ser FAT, la copia de la carpeta o archivo pierde los permisos NTFS, porque esas particiones no soportan permisos NTFS.

    MOVER (para mover carpetas o archivos en una partición NTFS o entre particiones NTFS, el usuario ha de tener permiso de lectura y modificación en la carpeta origen y de escritura en la de destino)

    • Si movemos una carpeta o archivo dentro de la misma partición NTFS, permanece con los mismos permisos.
    • Si los movemos en una partición NTFS distinta, heredarán los permisos de la carpeta destino.
    • Y si los movemos a una partición que no sea NTFS, se pierden los permisos NTFS.

    Nos quedaría el caso en que se copie o muevan entre 'Volúmenes':

    Copia dentro de un volumen o entre volúmenes - Hereda el estado de compresión de la carpeta destino.

    Mover dentro de un volumen  o entre volúmenes - Se queda con el estado de compresión original.

    Predefinidamente, los permisos asignados a una carpeta se heredan por las subcarpetas y archivos que contiene. Cuando creamos archivos o carpetas y cuando formateamos una partición NTFS, Windows Server 2003 asigna los permisos NTFS predefinidos.

    Podemos impedir que las subcarpetas y archivos hereden los permisos NTFS desde la carpeta superior. Cuando lo hacemos podemos:

    - Copiar permisos heredados desde la carpeta superior.

    - Eliminar los permisos heredados y retener sólo aquéllos explicítamente asignados.

    En la carpeta en que impedimos la herencia de permisos se convierte en nueva carpeta superior y su contenido heredará los permisos que se le hayan asignado.

    La herencia simplifica la asignación de los permisos a las carpetas superiores, subcarpetas y recursos. Pero podemos querer impedir esa herencia para que los permisos no se propaguen desde la carpeta superior a su contenido.

     

    Para realizar estos procedimientos seguiremos estos pasos:

    1. Clic derecho sobre la carpeta y seleccionamos propiedades.
    2. Elegimos la ficha seguridad, y allí pulsamos en opciones avanzadas.
    3. En el cuadro de diálogo de configuración avanzada de seguridad, hemos de desmarcar la casilla de verificación heredar del objeto principal las entradas de permisos relativas a los objetos secundarios. Incluirlas junto con las entradas indicadas aquí de forma explícita.
    4. En el cuadro de diálogo de seguridad que nos aparecerá, hemos de pulsar en uno de los botones siguientes:

    - Copiar, para copiar las entradas de los permisos que se habían aplicado como heredados de la carpeta superior.

    - Quitar, para quitar las entradas de los permisos que habían aplicado como heredados de la carpeta superior, dejando sólo aquéllos que fueron explícitamente asignados.

    Luego podremos cambiar los permisos según nuestras necesidades, y pulsar aceptar para darle validez al cambio.

     

    Cuando configuramos el acceso a archivos y carpetas usando permisos NTFS debemos considerar algunas practicas:

    • Conceder permisos a grupos preferentemente antes que a usuarios, porque es ineficiente mantener directamente cuentas de usuario, evita conceder permisos a usuarios individuales.
    • Usa denegar permisos en las siguientes situaciones.

    - Para excluir a un subconjunto de un grupo que tiene permitir permisos.

    - Para excluir algún permiso cuando se tiene concedido control total a un usuario o grupo.

    • Si es posible, no cambies los permisos predefinidos en los objetos y archivos de sistema, en especial las carpetas del sistema y las carpetas raíz. Podrías causar problemas inesperados en el acceso o mermar la seguridad de dichas carpetas.
    • Nunca deniegues el acceso a un objeto al grupo todos. Si lo haces le estás negando el acceso incluso a los administradores. Evítalo, es más recomendable quitar el grupo todos y conceder permisos sobre el objeto a los otros usuarios, grupos o equipos.
    • Concede los permisos sobre un objeto que ocupe el sitio más elevado en el árbol de contenedores como te sea posible, con el fin de que la configuración se propague hacia sus contenidos. Puedes rápidamente y de forma efectiva conceder permisos a todas las carpetas hijas y contenidos del árbol desde la carpeta superior. Haciéndolo, abarcarás el mayor número de objetos con el menor esfuerzo. Y que normalmente son los permisos más adecuados para la mayoría de usuarios, grupos y equipos.
    • Para simplificar la administración, agrupar los archivos según su función, por ejemplo:

    - Los archivos de programas en carpetas donde comúnmente se encuentran las aplicaciones a usar.

    • Concede el permiso de lectura y ejecución a las carpetas de aplicaciones a los grupos de usuarios y de administradores. Impedirás cambios o borrados accidentales de datos y archivos de aplicaciones.
    • Sólo permitir a los usuarios el nivel de acceso que requieran para su trabajo. Por ejemplo, si el usuario sólo debe leer archivos, entonces sólo permitirle leer.
    • Conceder el permiso lectura y ejecución, escritura al grupo de usuarios y modificar al grupo de creadores propietarios para las carpetas de datos. Lo que hará que los usuarios pueden leer y modificar documentos de otros usuarios y leer, modificar, y borrar los archivos y carpetas que ellos mismos crean.
    1:48 PM | Add a comment | Read comments (2) | Permalink | Blog it | Conociendo Windows Server

    Permisos carpetas compartidas

    Los permisos de carpetas compartidas sólo se aplican a los usuarios que acceden a las mismas desde la red y no afectan a los usuarios que accedan desde el equipo donde se encuentra la carpeta compartida. Los permisos pueden asignarse a cuentas de usuarios, grupos y cuentas de equipo.

    Los permisos son:

    • Lectura, es el permiso predefinido en cuanto compartimos una carpeta y se aplica al grupo 'todos', este permiso permite ver los nombres de archivo y nombres de subcarpetas; ver los datos del archivo y sus atributos; ejecutar archivos de programa.
    • Cambio, incluye el permiso de Lectura, además permite añadir archivos y subcarpetas; cambiar los datos de los archivos; borrar archivos y subcarpetas.
    • Control Total, todos los anteriores y además permite cambiar permisos NTFS a los archivos y a las carpetas.

    Podemos asignar los permisos a una carpeta compartida desde 'Administración de equipos' o desde el 'explorador de windows' .

    Si lo hacemos desde 'Administración de equipos':

    1. En el árbol de la consola, expandimos las carpetas compartidas y pulsamos en recursos.
    2. En el panel de detalles, click derecho sobre la carpeta compartida a la que queremos configurarle los permisos y pulsamos en propiedades.
    3. En el cuadro de diálogo de las propiedades, ficha permisos de los recursos compartidos, aquí podemos pulsar en agregar para asignar permisos. Luego seleccionamos los usuarios, grupos o equipos y pulsamos Aceptar; o pulsar en quitar para eliminar el acceso a usuarios, grupos o equipos.
    4. En el cuadro de Permisos, seleccionaremos las casillas de verificación permitir o denegar para asignar permisos individuales a usuarios o grupos y pulsaremos Aceptar.

    Utilizando el 'Explorador de Windows':

    1. Clic derecho sobre la carpeta compartida, pulsamos en compartir y seguridad.
    2. En el cuadro de diálogo de propiedades, ficha compartir, pulsamos el botón permisos.
    3. Aquí es idéntico a los pasos 3 y 4 indicados anteriormente.

    Después de crear una carpeta compartida, los usuarios pueden acceder a la misma a través de la red. Los usuarios pueden acceder al recurso compartido de otro equipo utilizando Mis sitios de red, mapeándolo como una unidad de red, o utilizando el comando ejecutar desde el menú de inicio.

    Para acceder desde Mis sitios de red:

    • Abrimos Mis sitios de red y doble clic en agregar sitios de red.
    • Seguimos el asistente desde su bienvenida pulsando en el botón siguiente.
    • En la ventana ¿donde desea crear ese sitio de red? Seleccionamos 'elija otra ubicación de red' y pulsamos siguiente.
    • En la ventana ¿Cuál es la dirección de este sitio de red?, escribimos la ruta UNC de la carpeta compartida o pulsamos en el botón Examinar. Si hemos pulsado 'Examinar', expandimos 'toda la red', luego expandimos 'red de microsoft windows', expandimos el dominio y el servidor donde quieres conectar; Seleccionamos la carpeta compartida y pulsamos en aceptar.
    • Pulsamos siguiente.
    • En ¿Desea ponerle un nombre a este lugar?, escribiremos un nombre descriptivo si lo deseamos y pulsaremos siguiente.
    • Saldrá el mensaje indicando que el sitio ha sido creado y pulsaremos en Finalizar.

    Nota: Cuando abrimos una carpeta compartida desde la red, Windows Server 2003 lo agregará automáticamente a Mis sitios de red.

    Mapeándolo como una unidad de red:

    • Clic derecho sobre Mis sitios de red, pulsamos en 'Conectar a unidad de red'.
    • En el cuadro de diálogo que nos aparece, caja de texto de unidad, seleccionamos la letra de unidad que queremos usar.
    • En la caja de texto, carpeta, escribimos el nombre de la carpeta compartida o pulsamos en examinar para buscarla.
    • Marcaremos la casilla de verificación si queremos que la unidad se conecte de nuevo al iniciar sesión.
    • Pulsaremos en Finalizar y si toda ha ido correctamente se abrirá la ventana de la unidad creada.

    Utilizando el comando 'ejecutar':

    Aquí no requerimos letra de unidad, sólo pulsaremos en el botón Inicio, luego en Ejecutar y escribiremos la ruta UNC, pulsado seguidamente ENTER.

    Si sólo indicamos la IP o el nombre del servidor nos mostrará una lista de los recursos compartidos disponibles, Windows Server 2003 nos da la opción de elegir uno entre las entradas de la lista.

    1:45 PM | Add a comment | Read comments (2) | Permalink | Blog it | Conociendo Windows Server
    January 11

    Recursos publicados en AD

    Un recurso publicado es un objeto en AD.

    Publicar recursos y carpetas compartidas en Active Directory habilita a los usuarios buscar en AD y localizar los recursos en la red aún cuando cambien de localización física.

    Un ejemplo: movemos una carpeta compartida a otro equipo, todos los enlaces al obejto de AD que representa dicha carpeta siguen siendo válidos mientras actualizamos la referencia física. Los usuarios no han de actualizar sus conexiones.

    Podemos publicar cualquier carpeta compartida en AD que tenga acceso utilizando el nombre UNC. Después de publicada, un usuario en un equipo que ejecuta windows server 2003 puede utilizar AD para encontrar el objeto que representa a dicha carpeta compartida y conectar con ella.

    Cuando una carpeta compartida es publicada en AD, la carpeta se convierte en un objeto hijo de la cuenta de equipo. Para ver las carpetas compartidas como un objeto, en usuarios y equipos de active directory en el menú Ver, pulsar en usuarios, grupos, y equipos como contenedores. Entonces, en el árbol de la consola, pulsamos en la cuenta de equipo, en el panel de detalles, verás todas las carpetas compartidas que están asociadoas con la cuenta de equipo.

    Como publicar una carpeta compartida

    Publicar información sobre los recursos de la red en Active Directory facilita a los usuarios encontrarlos. Podemos publicar información sobre impresoras y carpetas compartidas mediante Administración de equipos o Usuarios y equipos de Active Directory.

    Publicar un recurso como un objeto de servidor:

    1. En Administración de equipos, en el árbol de la consola, expandimos carpetas compartidas y pulsamos en recursos.
    2. Click derecho en una carpeta compartida y pulsamos en propiedades.
    3. En las propiedades del cuadro de diálogo, en la ficha publicar, marcamos la casilla de 'Publicar este recurso en Active Directory', y pulsamos en Aceptar.

    Publicar un recurso como una Unidad Organizativa:

    1. En Usuarios y equipos de Active Directory, en el árbol de la consola, click derecho en la carpeta que queremos añadir al recurso compartido, seleccionamos nuevo, y pulsamos en Carpeta compartida.
    2. En el cuadro de diálogo del nuevo objeto-recurso compartido, en el cuadro nombre, escribimos el nombre de la carpeta que queremos que usen los clientes.
    3. En el cuadro ruta de red, escribimos el nombre UNC que queremos publicar en AD y pulsamos en Aceptar.
    7:58 PM | Add a comment | Read comments (2) | Permalink | Blog it | Conociendo Windows Server
    January 10

    Recursos compartidos II

    En principio los únicos grupos que tienen acceso a los recursos compartidos son Administradores, Operadores de Servidor y los grupos de usuarios avanzados. Estos grupos se encuentran en la carpeta grupos de Administración de equipos o en la carpeta built-in de Usuarios y grupos de Active Directory. Dependerá pues si nos hallamos ante un servidor independiente o servidor miembro, o es un Controlador de Dominio.

    Cómo crear un recurso compartido.

    Cuando creamos un recurso compartido le damos nombre y una descripción del recurso y su contenido. También podemos limitar el número de usuarios que pueden acceder, conceder permisos, y compartir dicho recurso múltiples veces.

    • Desde Administración de equipos (Computer management): En el árbol de la consola, expandimos carpetas compartidas y pulsamos en recursos compartidos , luego desde el menú Acción pulsamos en Nuevo recurso, desde aquí seguiremos los pasos del asistente de creación del recurso.
    • Desde el Explorador de Windows (Windows Explorer): Pulsamos con el botón derecho del ratón en la carpeta deseada y seleccionamos del menú contextual compartir y seguridad... en las propiedades del cuadro de diálogo, ficha Compartir, configuraremos las opciones: Marcaremos 'compartir esta carpeta', cambiaremos el nombre en 'recurso compartido' (o dejaremos el predefinido), teclearemos una descripción en 'Comentario', estableceremos el límite de usuarios que simultáneamente podrán acceder al recurso o lo dejaremos en máximo permitido. Luego tenemos la parte de 'Permisos', estos no se refieren a los que hemos visto anteriormente y que también conocemos como NTFS, sino que son los permisos que se aplican solamente cuando se accede al recurso desde la red. -En principio el grupo 'todos' tiene el permiso de lectura predefinido en todos los recursos al crearse-. Sólo los cambiaremos si nos es necesario.
    • Usando la Línea de comandos (command line): El comando usado es net share, podemos crear, borrar o mostrar los recursos. 'net share nombre_recurso=unidad:ruta' Crearía un recurso.

    Net Share

    Crea, elimina o muestra recursos compartidos.

    net share recurso_compartido

    net share recurso_compartido=unidad:ruta_de_acceso [/users:número | /unlimited] [/remark:"texto"]

    net share recurso_compartido [/users:número | unlimited] [/remark:"texto"]

    net share {recurso_compartido | unidad:ruta_de_acceso} /delete

    Parámetros

    ninguno

    Escriba net share sin parámetros para mostrar información acerca de todos los recursos compartidos en el equipo local.

    recurso_compartido

    Es el nombre de red del recurso compartido. Escriba net share con un recurso_compartido únicamente para mostrar información acerca de dicho recurso compartido.

    unidad:ruta_de_acceso

    Especifica la ruta de acceso absoluta del directorio que va a compartirse.

    /users:número

    Establece el número máximo de usuarios que pueden tener acceso simultáneamente al recurso compartido.

    /unlimited

    Especifica que puede tener acceso simultáneamente al recurso compartido un número ilimitado de usuarios.

    /remark:"texto"

    Agrega un comentario descriptivo acerca del recurso. Escriba el texto entre comillas.

    /delete

    Deja de compartir un recurso.

    6:58 PM | Add a comment | Permalink | Blog it | Conociendo Windows Server

    Carpetas administrativas compartidas

    Windows Server 2003 comparte automáticamente carpetas para permitirte realizar tareas administrativas. Se reconocen por que tienen añadido el signo dollar '$' al final del nombre. Al llevar este signo, el recurso no aparece a la vista de los usuarios cuando navegan por 'Mis sitios de red'. Los administradores pueden rápidamente administrar archivos y carpetas en servidores remotamente usando estos recursos ocultos.

    Predefinidamente, los miembros del grupo Administradores tienen el permiso 'Control total' en las carpetas compartidas administrativamente. No puedes modificar los permisos para estos recursos. La siguiente tabla describe los propósitos de estos recursos administrativos que Windows Server 2003 asigna automáticamente.

    C$ D$ E$ Podemos utilizarlos para acceder remotamente y realizar tareas administrativas. La raíz de cada partición (que tiene una letra de unidad asignada) en un disco duro es automáticamente compartida. Cuando conectas con este recurso tienes acceso total a la partición.
    Admin$ Esta es la carpeta raíz del sistema, que es C:\Winnt o C:\Windows normalmente. Los administradores pueden acceder a este recurso para administrar Windows sin conocer la carpeta en la que está instalado.
    Print$ Esta carpeta provee acceso a los controladores de impresión para los equipos cliente. Cuando instalas una impresora compartida, la carpeta Systemroot\System32\Spool\Drivers se comparte como Print$. Sólo miembros de los grupos de administradores, operadores del servidor, y operadores de impresión tienen el permiso de 'control total' en esta carpeta. El grupo 'Todos' tiene el permiso de lectura.
    IPC$ Esta carpeta es usada durante la administración remota de un equipo y cuando se están viendo los recursos compartidos del equipo
    FAX$ Los clientes de fax utilizan el recurso compartido FAX$ cuando envían un fax. Esta carpeta compartida almacena en caché los archivos y tiene acceso a las portadas que estén almacenadas en un servidor de archivos.

    Los recursos compartidos administrativos ocultos creados por el equipo (como ADMIN$ y C$) pueden eliminarse, pero el sistema vuelve a crearlos después de detener y reiniciar el servicio Servidor o después de reiniciar el equipo. Los recursos compartidos ocultos creados por los usuarios pueden eliminarse y no vuelven a crearse después de reiniciar el equipo.

    Podemos conectarnos con un recurso de este tipo con la forma \\servidor\tipo$ .

    Es muy 'muy' importante ser precisos y minuciosos en los privilegios y permisos que se les conceden a los usuarios, sino cualquiera de ellos podría acceder a la totalidad del equipo utilizando estas conexiones a los recursos administrativos compartidos.

    6:57 PM | Add a comment | Permalink | Blog it | Conociendo Windows Server
    January 09

    Recursos compartidos

    El acceso a recursos compartidos.

    Windows Server 2003 organiza los archivos dentro de directorios que representa gráficamente como carpetas. Estas contienen todo tipo de archivos y pueden contener subcarpetas. Algunas de éllas están reservadas para archivos del sistema o archivos de programas. Los usuarios no deberían poder crear o mover datos en las carpetas de programas o del sistema.

    Los recursos compartidos ofrecen a los usuarios acceso a archivos y carpetas mediante la red. Los usuarios pueden conectar con el recurso compartido por la red y acceder a lo que contienen: aplicaciones y datos publicos o del usuario. Utilizando carpetas de aplicaciones compartidas centralizas la administración y puedes instalar y mantener aplicaciones en el servidor de equipos clientes. Usando las carpetas de datos compartidas ofreces un lugar central para el acceso común de los usuarios a los archivos y facilitar las copias de seguridad de los datos contenidos en dichos archivos.

     

    Un recurso compartido es cuando hacemos que una carpeta sea accesible desde la red y para múltiples usuarios simultáneamente. Después de que una carpeta se comparte, los usuarios podrán acceder a todos los archivos y subcarpetas que contiene, si estos tienen los permisos adecuados.

    Podemos tener los recursos compartidos en un servidor de archivos o en cualquier máquina de la red. Almacenar los archivos según categoría o función.

    Las características más comunes de los recursos compartidos son:

    • Aparece en Windows Explorer como un icono de una mano ofreciendo una carpeta.
    • Sólo podemos compartir carpetas, no archivos individualmente. Si varios usuarios han de acceder al mismo archivo, se coloca en una carpeta y se comparte la misma.
    • Cuando compartimos una carpeta, el permiso de lectura se asigna al grupo 'Todos' como un permiso predefinido. Quitar el predefinido y asignar otros permisos a los grupos deseados es necesario.
    • Si añadimos usuarios o grupos a una carpeta compartida, el permiso predefinido es de lectura.
    • Cuando copiamos una carpeta compartida, la original continua compartida pero no así la copia. Si movemos la carpeta a otra situación, perderá el atributo de compartida.
    • Podemos ocultar un recurso compartido colocando el signo dollar '$' al final del nombre de recurso. Este no será visible desde la interfaz gráfica, pero es accesible utilizando el nombre UNC, por ejemplo: \\servidor\recurso$

     

    11:20 AM | Add a comment | Permalink | Blog it | Conociendo Windows Server
    January 04

    Estados del permiso

    Estados del permiso

    Si nos fijamos en los permisos observaremos que hay dos casillas de verificación en cada uno de éllos, cada una corresponde a una columna cuyos títulos son 'allow' y 'deny', o sea 'permitir' y 'denegar'.

    Las posibilidades en que nos podemos encontrar dichas casillas son los estados del permiso al que marcan, y que son:

    • casilla permitir marcada - casilla denegar no marcada

    Cuando marcamos permitir sobre el permiso de un archivo o carpeta, para un usuario o grupo, estos tienen el acceso que concede el permiso. Un permiso es explícito cuando está concedido para un archivo o carpeta específica.

    • casilla permitir no marcada - casilla denegar marcada

    Cuando marcamos denegar en el permiso de un archivo o carpeta para un usuario o grupo, estos no tienen el acceso que deniega el permiso. Denegar siempre precede sobre permitir. (Atentos)

    • casilla permitir no marcada - casilla denegar no marcada

    Si no se marca ninguna de las dos casillas, implícitamente el valor que tomará es denegar.

    • casilla permitir marcada en difuminado - casilla denegar no marcada

     

    Los archivos y carpetas heredan permisos desde sus contenedores, en este caso permitir es el heredado, aunque podrás marcar denegar para un usuario o grupo.

    • casilla permitir no marcada - casilla denegar marcada en difuminado

    En este caso se ha heredado el denegar, aunque podemos marcar permitir para un usuario o grupo.


    veamos unos ejemplos para entenderlo mejor.(siento que no pueda poner imágenes)

    grupo contabilidad permitir denegar
    control total
    modificar
    lectura y ejecución
    leer    X
    escribir    X

    El grupo de contabilidad tiene permitido leer el archivo 'sólo', porque explicítamente tiene denegado escribir e implicítamente denegado el resto.

    usuario pepe(que pertenece al grupo contabilidad), tiene, aparte del grupo con el estado anterior, lo siguiente:

    permitir denegar
    control total
    modificar
    lectura y ejecución
    leer X
    escribir X

    Aquí nos encontramos que el usuario pepe, aún cuando le hemos marcado permitir en escribir, tiene los mismos permisos que el grupo al que pertenece, contabilidad y es así porque como hemos dicho denegar precede a permitir y el grupo tiene 'explicítamente' denegado escribir, lo que precederá al de permitir al usuario pepe escribir.

    3) imaginemos por un momento que el usuario pepe pertenece a contabilidad y almacen, es decir dos grupos y cada uno tiene los siguientes permisos:

    contabilidad almacen
    permitir denegar permitir denegar
    control total X
    modificar X
    lectura y ejecución X X
    leer X X
    escribir X X

    Bien, esto se complica, ¿como lo veis? :-)

    Pues está claro, hay un denegar explícito en uno de los grupos para el permiso escribir, por tanto el usuario pepe tiene ese permiso denegado.

    8:53 PM | Add a comment | Permalink | Blog it | Conociendo Windows Server
    January 03

    Administrando el acceso a los recursos

    Componentes del control de acceso

    • Security principals
    • Security Identifiers
    • Discretionary acces control list

     

    Security principals: Son la parte a la que se les asigna permisos para el acceso a los recursos, es decir, las cuentas de usuario, los grupos y las cuentas de equipo.

    Security Identifiers o SID, es algo que identifica a los Security principals de forma únivoca e irrepetible, consiste en una estructura alfanumérica emitida cuando se crea una cuenta.

    DACL, cada recurso está asociado a una lista de control de acceso, que identifica a los usuarios y grupos que están autorizados o restringidos en el acceso a un recurso.

    Las DACL contienen ACEs, o Entradas de Control de Acceso, cada una especifica un SID, la lista de permisos especiales, información de herencia, y un permiso de autorización o negación.

     

    Los permisos

    Los permisos definen el tipo de acceso concedido a un usuario, grupo o equipo a un objeto.

    Cuando se configuran los permisos, especificas el nivel de acceso para grupos y usuarios. Los permisos de aplicables a un objetos dependen del tipo del objeto, por ejemplo los aplicables a un archivo son distintos a los aplicables a una clave del registro. Algunos, sin embargo, son comunes a la mayoría de tipos de objeto, como pueden ser:

    - Permisos de lectura

    - Permisos de Escritura

    - Permisos de Borrado(Eliminación)

     

    Permisos estándar y Permios especiales

    Puedes conceder permisos estándar o permisos especiales para los objetos. Los más frecuentes, como puedes imaginar, son los estándar, mientras los especiales nos ofrecen, como una sintonía fina para centrar la frecuencia, afinar el control de acceso a los mismos objetos.

    El sistema tiene un nivel predefinido de configuración de seguridad para un objeto específico. Es el conjunto común de permisos que un administrador usa diariamente. La lista de los permisos estándar que se encuentran disponibles varía dependiendo a que tipo de objeto le modificas la seguridad.

    Los permisos especiales son una lista más detallada de permisos. El permiso de lectura NTFS estándar está relacionado con los siguientes permisos especiales:

    • Listar carpeta/leer datos
    • Leer atributos
    • Leer atributos extendidos
    • Permisos de lectura

    Si el administrador elimina un permiso especial esto se relaciona con un permiso estándar, la casilla de verificación del segundo deja de estar marcada. La casilla del permisos especial bajo la lista del permiso estándar está marcada.

    --> Estados del permiso...

    9:16 PM | Add a comment | Permalink | Blog it | Conociendo Windows Server
    January 02

    Consejos para administrar grupos

  • Crea grupos basados en necesidades administrativas. Cuando creas un grupo basado en una función y otra persona va a desempeñar dicha función, sólo necesitas cambiarlo de grupo o añadirlo al que necesitas. No necesitas cambiar los permisos concedidos a la cuenta de usuario. Muchas veces es más ventajoso crear un grupo que sólo tenga un miembro que cambiar permisos individualmente.
  • Utiliza los grupos locales para dar acceso a los recursos en los equipos locales cuando el equipo no sea miembro de un dominio.
  • Si tienes múltiples grupos a los que puedes añadir las cuentas de usuarios, hazlo siempre al más restrictivo. Sin embargo, asegurate que concedes los derechos de usuario y permisos correctos para que los usuarios puedan realizar su tarea.
  • Siempre que dispongas de un grupo que permita realizar las tareas que necesita el usuario utilizalo en lugar de crear un grupo nuevo. Crea grupos sólo cuando no tengas ninguno que cumpla las necesidades del usuario.
  • Usa la identidad especial 'usuarios autenticados' en lugar de 'todos' para conceder los máximos permisos y derechos de usuario. Haciéndolo así minimizas el riesgo de accesos no autorizados, porque Windows Server 2003 sólo añade cuentas de usuarios válidos a dicha identidad especial.
  • Limita el número de usuarios en el grupo de Administradores. Los miembros de éste grupo en un equipo local tienen todo el control. Une sólo a un usuario cuando el mismo tenga que realizar tareas administrativas solamente.
    • 6:42 PM | Add a comment | Permalink | Blog it | Conociendo Windows Server
    December 28

    Identidades especiales

    Grupos del Sistema. (Identidades especiales)
    • Estos grupos representan diferentes usuarios varias veces.
    • Puedes conceder derechos de usuario y permisos a los grupos de sistema, pero no puedes modificar o ver sus miembros.
    • Los ámbitos de grupos no se aplican a los grupos de sistema.
    • Los usuarios son automáticamente asignados a los grupos de sistema siempre que inician sesión o acceden a algún recurso en particular.

      • No podemos cambiar los miembros de los grupos de sistema. El sistema operativo los crea y no podemos cambiarlos o configurarlos. Es importante entender estos grupos, porque pueden usarse para propósitos de seguridad.

      Los servidores que ejecutan Windows Server 2003 incluyen varias identidades espaciales además de los grupos en los contenedores Usuarios y Builtin. Por conveniencia, estas identidades son generalmente llamadas grupos del sistema.

       

      • Inicio de sesión anónimo (S-1-5-7): Un usuario que se ha conectado al equipo sin proporcionar un nombre de usuario y una contraseña.
      • Todos (S-1-1-0):
        • En equipos con sistemas operativos de servidor Windows Server 2003, el grupo Todos incluye Usuarios autenticados e Invitado. En equipos con versiones anteriores del sistema operativo, el grupo Todos incluye Usuarios autenticados e Invitado más Inicio de sesión anónimo.
      • Red (S-1-5-2): Incluye todos los usuarios que inician la sesión a través de una conexión de red. Los testigos de acceso de usuarios interactivos no contienen el SID de red.
      • Interactivo (S-1-5-4):
        • Incluye todos los usuarios que inician la sesión localmente o a través de una conexión de Escritorio remoto.
      • Usuarios autenticados (S-1-5-11):
        • Incluye todos los usuarios y equipos cuyas identidades se han autenticado. No incluye autenticación de Invitado aunque la cuenta Invitado tenga una contraseña.
      • Propietario creador (S-1-3-0): Un marcador de posición en una entrada de control de acceso (ACE) heredable. Cuando la ACE se hereda, el sistema reemplaza este SID por el del propietario actual del objeto.
      • Lotes (S-1-5-3):
        • Incluye todos los usuarios que han iniciado la sesión en un recurso de cola de proceso por lotes, por ejemplo trabajos del programador de tareas.
      • Grupo creador (S-1-3-1):
        • Un marcador de posición en una ACE heredable. Cuando la ACE se hereda, el sistema reemplaza este SID por el del grupo principal del propietario actual del objeto.
      • Marcado (S-1-5-1):
        • Incluye todos los usuarios que han iniciado sesión en el sistema mediante una conexión de acceso telefónico.
      • Sistema local (S-1-5-18):
        • Una cuenta de servicio que utiliza el sistema operativo.
      • Automático (o Automático principal) (S-1-5-10): Un marcador de posición en una ACE de un objeto de usuario, grupo o equipo de Active Directory. Cuando se otorgan permisos a Automático principal, se otorgan al principal de seguridad que el objeto representa. Durante una comprobación de acceso, el sistema operativo sustituye el SID de Automático principal por el SID del principal de seguridad representado por el objeto.
      • Servicio (S-1-5-6):
        • Un grupo que incluye todos los principales de seguridad que han iniciado la sesión como un servicio. El sistema operativo controla la pertenencia.
      • Usuarios de Servicios de Terminal Server (S-1-5-13):
        • Incluye todos los usuarios que han iniciado sesión en un servidor de Servicios de Terminal Server que está en modo de compatibilidad de aplicaciones con la versión 4.0 de Servicios de Terminal Server.
      • Otra organización (S-1-5-1000):
        • Hace que se realice una comprobación para asegurar que un usuario de otro bosque o dominio tiene permiso para autenticarse en un determinado servicio.
      • Esta organización (S-1-5-15): Lo agrega el servidor de autenticación a los datos de autenticación de un usuario, siempre que el SID de Otra organización no esté ya presente.
      5:07 PM | Add a comment | Permalink | Blog it | Conociendo Windows Server

      Notas sobre grupos y nociones de seguridad.

      ¿Cuándo usar grupos predefinidos?

      Los grupos predefinidos se crean durante la instalación del sistema operativo o cuando se añaden servicios como Active Directory o DHCP. De manera automática asignan un conjunto de derechos de usuario.

      Estos grupos te ayudan a controlar el acceso a recursos compartidos y a delegaciones administrativas específicas a lo largo del dominio. Muchos de éllos se les asignan automáticamente cierto conjunto de derechos de usuario que autorizan a sus miembros a configurar o realizar acciones dentro del dominio como iniciar sesión local o realizar copias de seguridad de archivos y carpetas.

      Cuando añadimos un usuario a uno de estos grupos, el usuario recibe todos los derechos de usuario y permisos asignados para el grupo para cualquier recurso compartido.

      Como buena práctica de seguridad ya sabéis que se recomienda que los miembros de grupos predefinidos con acceso administrativo utilicen el comando ‘Run as’ para realizar dichas tareas administrativas.

      Consideraciones de seguridad para uso de grupos predefinidos.

      Emplaza un usuario en un grupo predefinido cuando estés seguro que quieres darle:

      • Todos los derechos asignados a dicho grupo en AD.
      • Todos los permisos asignados al grupo para cualquier recurso compartido asociado con el grupo predefinido.

      En otro caso, cread un nuevo grupo de seguridad y asignadle al grupo sólo aquéllos derechos de usuario o permisos que el usuario necesitará únicamente.

      Reitero, los usuarios con tareas administrativas y que pertenezcan a grupos predefinidos, en lugar de iniciar sesión interactiva, considerar utilizar el comando ‘Run as’.

      4:17 PM | Add a comment | Permalink | Blog it | Conociendo Windows Server
      December 27

      Administrando grupos X -grupos por defecto-

      Default groups

      Grupos por defecto en Active Directory.

      Como ya se dijo los grupos por defecto son lo Grupos que automáticamente son creados cuando se instala Windows Server 2003 o, como los que vamos a ver, cuando se instala Active Directory.

      Estos grupos predefinidos podemos usarlos para administrar recursos compartidos y delegar 'roles' administrativos en un dominio específico.

      Muchos de estos grupos predefinidos les son asignados conjuntos de derechos de usuario, automáticamente, que determinan que cada uno y sus miembros pueden hacer dentro de su ámbito en el dominio o bosque. Los derechos de usuario autorizan a los miembros de un grupo a realizar acciones específicas, como iniciar sesión en local o realizar copia de seguridad de archivos y carpetas. Un ejemplo: un miembro del grupo Operadores de Copia tiene el derecho de realizar copias de seguridad en todos los controladores de dominio en el dominio.

      La mayoría de grupos predefinidos estan disponibles en los contenedores de Usuarios y Builtin de Active Directory. El contenedor Builtin contiene los grupos de dominio local. El contenedor de Usuarios contiene los grupos globales y grupos de dominio local. Los grupos pueden moverse de estos contenedores a otros grupos o unidades organizativas en el dominio, pero nunca a otros dominios.

      Grupos en el contenedor builtin:

      Operadores de cuentas: Sus miembros pueden crear, modificar y eliminar cuentas de usuarios, grupos y equipos que se encuentran en los contenedores Usuarios o Equipos y en las unidades organizativas del dominio, excepto la unidad organizativa Controladores de dominio. Los miembros de este grupo no tienen permiso para modificar los grupos Administradores o Administradores del dominio ni las cuentas de los miembros de dichos grupos. Los miembros de este grupo pueden iniciar la sesión de forma local en los controladores del dominio y apagarlos. Como este grupo tiene una autoridad considerable en el dominio, hay que ser prudente al agregarle usuarios.

      Creadores de confianza de bosque de entrada (sólo aparece en el dominio raíz del bosque): Sus miembros pueden crear confianzas de bosque de entrada unidireccionales en el dominio raíz del bosque. Por ejemplo, los miembros de este grupo que residen en el Bosque A pueden crear una confianza de bosque de entrada unidireccional desde el Bosque B. Esta confianza de bosque de entrada unidireccional permite a los usuarios del Bosque A tener acceso a recursos ubicados en el Bosque B. Los miembros de este grupo disponen del permiso Crear confianza de bosque de entrada en el dominio raíz del bosque. Este grupo no tiene ningún miembro predeterminado.

      Acceso compatible con versiones anteriores a Windows 2000: Sus miembros tienen acceso de lectura en todos los usuarios y grupos del dominio. Este grupo se proporciona para garantizar la compatibilidad con versiones anteriores en los equipos con Windows NT 4.0 y anteriores. De forma predeterminada, la identidad especial Todos es miembro de este grupo.

      Operadores de servidores: En los controladores de dominio, los miembros de este grupo pueden iniciar sesiones interactivas, crear y eliminar recursos compartidos, iniciar y detener varios servicios, hacer copias de seguridad y restaurar archivos, formatear el disco duro y apagar el equipo. Este grupo no tiene ningún miembro predeterminado. Dado que este grupo tiene mucha importancia para los controladores de dominio, agrega los usuarios con precaución.

      Administradores: Los miembros de este grupo controlan por completo todos los controladores del dominio. De forma predeterminada, los grupos Administradores del dominio y Administradores de organización son miembros del grupo Administradores. La cuenta Administrador es miembro de este grupo de forma predeterminada.

      Operadores de copia de seguridad: Sus miembros pueden realizar copias de seguridad y restaurar todos los archivos en los controladores del dominio, independientemente de sus permisos individuales en esos archivos. Los Operadores de copia de seguridad también pueden iniciar la sesión en los controladores de dominio y apagarlos. Este grupo no tiene ningún miembro predeterminado.

      Invitados: De forma predeterminada, el grupo Invitados del dominio es un miembro de este grupo. La cuenta Invitado (que está deshabilitada de forma predeterminada) también es un miembro predeterminado de este grupo.

      Operadores de configuración de red: Sus miembros pueden modificar la configuración TCP/IP, así como renovar y liberar las direcciones TCP/IP en los controladores del dominio. Este grupo no tiene ningún miembro predeterminado.

      Usuarios del monitor de sistema: Sus miembros pueden supervisar los contadores de rendimiento en los controladores del dominio, tanto de forma local como desde clientes remotos, sin ser miembros de los grupos Administradores o Usuarios del registro de rendimiento.

      Usuarios del registro del rendimiento: Sus miembros pueden administrar los contadores de rendimiento, los registros y las alertas de los controladores del dominio, tanto de forma local como desde clientes remotos, sin ser miembros del grupo Administradores.

      Operadores de impresión: Los miembros de este grupo pueden administrar, crear, compartir y eliminar impresoras que están conectadas a los controladores del dominio. También pueden administrar objetos de impresora de Active Directory en el dominio. Los miembros de este grupo pueden iniciar la sesión de forma local en los controladores del dominio y apagarlos. Este grupo no tiene ningún miembro predeterminado. Puesto que los miembros de este grupo pueden cargar y descargar controladores de dispositivos en todos los controladores del dominio, agregale usuarios con precaución.

      Usuarios de escritorio remoto: Los miembros de este grupo pueden iniciar la sesión en los controladores del dominio de forma remota. Este grupo no tiene ningún miembro predeterminado.

      Replicador: Este grupo admite funciones de replicación de directorio y el Servicio de replicación de archivos lo utiliza en los controladores del dominio. Este grupo no tiene ningún miembro predeterminado. No agregues usuarios a este grupo.

      Usuarios: Los miembros de este grupo pueden realizar las tareas más habituales, como ejecutar aplicaciones, utilizar impresoras locales y de red, así como bloquear el servidor. De forma predeterminada, el grupo Usuarios del dominio, Usuarios autenticados e Interactivo son miembros de este grupo. Por tanto, todas las cuentas de usuario que se crean en el dominio son miembros de este grupo.

       

      Grupos en el contenedor Usuarios:

      Publicadores de certificados: Los miembros de este grupo tienen permitida la publicación de certificados para usuarios y equipos. Este grupo no tiene ningún miembro predeterminado.

      DnsAdmins (instalado con DNS): Los miembros de este grupo tienen acceso administrativo al Servidor DNS. Este grupo no tiene ningún miembro predeterminado.

      DnsUpdateProxy (instalado con DNS): Los miembros de este grupo son clientes DNS que pueden realizar actualizaciones dinámicas en lugar de otros clientes, como los servidores DHCP. Este grupo no tiene ningún miembro predeterminado.

      Administradores de dominio: Los miembros de este grupo controlan el dominio por completo. De forma predeterminada, este grupo pasa a ser miembro del grupo Administradores en todos los controladores, estaciones de trabajo y servidores miembro del dominio en el momento en que se une al dominio. De forma predeterminada, la cuenta Administrador es miembro de este grupo. Puesto que el grupo controla el dominio por completo, agrega usuarios con precaución.

      Equipos del dominio: Este grupo contiene todas las estaciones de trabajo y los servidores unidos al dominio. De forma predeterminada, todas las cuentas de equipo creadas pasan a ser miembros de este grupo automáticamente.

      Controladores de dominio: Este grupo contiene todos los controladores del dominio.

      Invitados del dominio: Este grupo contiene todos los invitados del dominio.

      Usuarios del dominio: Este grupo contiene todos los usuarios del dominio. De forma predeterminada, todas las cuentas de usuario creadas en el dominio pasan a ser miembros de este grupo automáticamente. Este grupo se puede utilizar para representar todos los usuarios del dominio. Por ejemplo, si desea que todos los usuarios del dominio tengan acceso a una impresora, puede asignar permisos para la impresora a este grupo (o puede agregar el grupo Usuarios del dominio en un grupo local del servidor de impresoras que disponga de los permisos para utilizarla).

      Administradores de organización (sólo aparece en el dominio raíz del bosque): Los miembros de este grupo controlan por completo todos los dominios del bosque. De forma predeterminada, este grupo es un miembro del grupo Administradores en todos los controladores de dominio del bosque. De forma predeterminada, la cuenta Administrador es miembro de este grupo.

      Propietarios del creador de directiva de grupo: Los miembros de este grupo pueden modificar la Directiva de grupo en el dominio. De forma predeterminada, la cuenta Administrador es miembro de este grupo. Como este grupo tiene una autoridad considerable en el dominio, sea prudente al agregar usuarios.

      IIS_WPG (instalado con IIS): El grupo IIS_WPG es el grupo de procesos de trabajo de los Servicios de Internet Information Server (IIS) 6.0. El funcionamiento de IIS 6.0 incluye procesos de trabajo para espacios de nombres específicos. Este grupo no tiene ningún miembro predeterminado.

      Servidores RAS e IAS: Los servidores de este grupo tienen permitido el acceso a las propiedades de acceso remoto de los usuarios.

      Administradores de esquema (sólo aparece en el dominio raíz del bosque): Los miembros de este grupo pueden modificar el esquema de Active Directory. De forma predeterminada, la cuenta Administrador es miembro de este grupo.

      ---continuará---

      3:37 PM | Add a comment | Permalink | Blog it | Conociendo Windows Server