Juansa's Blog: Conociendo Windows Server

Permisos NTFS

Sat, 28 Jan 2006 12:48:32 GMT

La primera pregunta que nos surge es ¿Qué es NTFS?

Microsoft nos dice que es un sistema de archivos que nos da fiabilidad, seguridad a nivel de archivo y carpeta, permisos múltiples para usuarios y mejora en administración de escalabilidad de almacenaje, entre otras.

NTFS es un sitema de archivos disponible en Windows Server 2003.

Fiabilidad

NTFS utiliza archivos log y checkpoints para recuperar la integridad del propio sistema de archivos cuando el equipo se reinicia. Si hay sectores defectuosos, NTFS dinámicamente remapea el cluster que contiene dichos sectores y aloja los datos en un nuevo cluster, mientras marca el defectuoso como inutilizable.

Mayor seguridad

NTFS utiliza EFS, un sistema de encriptación de archivos para asegurar archivos y carpetas. Si EFS se encuentra activado, los archivos o las carpetas pueden encriptarse para el uso de uno o varios usuarios. Los beneficiosde la encriptación aportan integridad y confidencialidad a los datos, mientras se protege a los datos de una modificación accidental o provocada. NTFS activa también la configuración de permisos de acceso a un archivo o carpeta. Como lectura, lectura y escritura o denegar cualquiera de ellos.

NTFS almacena listas de acceso ACL con cada archivo y carpeta de una partición NTFS. Estas listas contienen los usuarios, grupos y equipos que tienen acceso permitido al archivo o carpeta y qué tipo de acceso. Para controlar el acceso, la lista contiene una entrada (ACE) por usuario, grupo o equipo asociado con el usuario. La entrada especifica el acceso permitido a dicho archivo o carpeta. Si no existe la entrada en la lista de acceso, Windows Server 2003 denegará el acceso al recurso al usuario.

Administración mejorada de escalabilidad

NTFS soporta las cuotas de disco, que controlan la cantidad de espacio en el disco que puede utilizar un usuario. Al utilizar cuotas de disco, puedes seguir y controlar el uso del espacio del mismo, configurando cuales usuarios podrán sobrepasar los límites de alerta o almacenamiento.

Soporta archivos grandes y un mayor número de archivos por volumen que en FAT o FAT32. NTFS administra más eficientemente el espacio del disco usando cluster de tamaño menor, y con ello aminorando el espacio inutilizable por el tamaño de los clusters.

Permisos múltiples para usuarios

Si concedes permisos NTFS a una cuenta individual de usuario y a un grupo al que pertenece el usuario, entonces estás asignando múltiples permisos al usuario. Existen reglas de como las combinaciones de estos múltiples permisos se convierten en los permisos efectivos del usuario.

Los permisos NTFS se utilizan para especificar que usuarios, grupos y equipos pueden acceder a los archivos y carpetas y también que pueden hacer con su contenido.

Los que afectan a archivos.

Permiso	Habilita al usuario a
Control total	Cambiar permisos, tomar la propiedad, y configurar las acciones permitidas por todos los demás permisos NTFS
Modificar	Modificar y borrar el archivo y configurar las acciones permitidas por el permiso de escritura y el de lectura y ejecución.
Lectura y Ejecución	Ejecución de aplicaciones y configurar las acciones permitidas por el permiso Leer
Escribir	Sobrescribir el archivo, cambiar sus atributos y ver el propietario del archivo y sus permisos.
Leer	Leer el archivo y ver sus atributos, propietario y permisos

Los que afectan a carpetas.

Permiso	Habilita al usuario a
Control total	Cambiar permisos, tomar la propiedad, borrar subcarpetas y archivos y configurar las acciones permitidas por todos los demás permisos NTFS
Modificar	borrar la carpeta y configurar las acciones permitidas por el permiso de escritura y el de lectura y ejecución.
Lectura y Ejecución	Navegar entre carpetas y configurar las acciones permitidas por el permiso Leer y el de listar contenidos de la carpeta
Escribir	Crear nuevos archivos y subcarpetas en la carpeta, cambiar los atributos de la carpeta, y ver el propietario de la carpeta y sus permisos.
Leer	Ver archivos y subcarpetas en la carpeta, ver sus atributos, el propietario y sus permisos
Listar contenido carpeta	Ver los nombres de los archivos y subcarpetas en la carpeta.

Cuando copiamos o movemos un archivo o una carpeta los permisos puede que cambien dependiendo del lugar donde los movemos. Es conveniente entender estos cambios para no llevarnos ninguna sorpresa posterior.

Cuando copiamos archivos o carpetas desde una 'carpeta' a otra 'carpeta', o desde una 'partición' a otra 'partición', los permisos NTFS pueden cambiar según lo siguiente:

COPIA(permiso de lectura en el origen y escritura en el destino)

Si copiamos una carpeta o archivo dentro de una partición NTFS, la copia de la carpeta o archivo heredará los permisos de la carpeta destino.
Si copiamos una carpeta o archivo en una partición NTFS distinta, la copia de la carpeta o archivo heredará los permisos de la carpeta destino.
Cuando copiamos una carpeta o archivo en una partición que no sea NTFS, como puede ser FAT, la copia de la carpeta o archivo pierde los permisos NTFS, porque esas particiones no soportan permisos NTFS.

MOVER (para mover carpetas o archivos en una partición NTFS o entre particiones NTFS, el usuario ha de tener permiso de lectura y modificación en la carpeta origen y de escritura en la de destino)

Si movemos una carpeta o archivo dentro de la misma partición NTFS, permanece con los mismos permisos.
Si los movemos en una partición NTFS distinta, heredarán los permisos de la carpeta destino.
Y si los movemos a una partición que no sea NTFS, se pierden los permisos NTFS.

Nos quedaría el caso en que se copie o muevan entre 'Volúmenes':

Copia dentro de un volumen o entre volúmenes - Hereda el estado de compresión de la carpeta destino.

Mover dentro de un volumen o entre volúmenes - Se queda con el estado de compresión original.

Predefinidamente, los permisos asignados a una carpeta se heredan por las subcarpetas y archivos que contiene. Cuando creamos archivos o carpetas y cuando formateamos una partición NTFS, Windows Server 2003 asigna los permisos NTFS predefinidos.

Podemos impedir que las subcarpetas y archivos hereden los permisos NTFS desde la carpeta superior. Cuando lo hacemos podemos:

- Copiar permisos heredados desde la carpeta superior.

- Eliminar los permisos heredados y retener sólo aquéllos explicítamente asignados.

En la carpeta en que impedimos la herencia de permisos se convierte en nueva carpeta superior y su contenido heredará los permisos que se le hayan asignado.

La herencia simplifica la asignación de los permisos a las carpetas superiores, subcarpetas y recursos. Pero podemos querer impedir esa herencia para que los permisos no se propaguen desde la carpeta superior a su contenido.

Para realizar estos procedimientos seguiremos estos pasos:

Clic derecho sobre la carpeta y seleccionamos propiedades.
Elegimos la ficha seguridad, y allí pulsamos en opciones avanzadas.
En el cuadro de diálogo de configuración avanzada de seguridad, hemos de desmarcar la casilla de verificación heredar del objeto principal las entradas de permisos relativas a los objetos secundarios. Incluirlas junto con las entradas indicadas aquí de forma explícita.
En el cuadro de diálogo de seguridad que nos aparecerá, hemos de pulsar en uno de los botones siguientes:

- Copiar, para copiar las entradas de los permisos que se habían aplicado como heredados de la carpeta superior.
- Quitar, para quitar las entradas de los permisos que habían aplicado como heredados de la carpeta superior, dejando sólo aquéllos que fueron explícitamente asignados.

Luego podremos cambiar los permisos según nuestras necesidades, y pulsar aceptar para darle validez al cambio.

Cuando configuramos el acceso a archivos y carpetas usando permisos NTFS debemos considerar algunas practicas:

Conceder permisos a grupos preferentemente antes que a usuarios, porque es ineficiente mantener directamente cuentas de usuario, evita conceder permisos a usuarios individuales.
Usa denegar permisos en las siguientes situaciones.

- Para excluir a un subconjunto de un grupo que tiene permitir permisos.
- Para excluir algún permiso cuando se tiene concedido control total a un usuario o grupo.

Si es posible, no cambies los permisos predefinidos en los objetos y archivos de sistema, en especial las carpetas del sistema y las carpetas raíz. Podrías causar problemas inesperados en el acceso o mermar la seguridad de dichas carpetas.
Nunca deniegues el acceso a un objeto al grupo todos. Si lo haces le estás negando el acceso incluso a los administradores. Evítalo, es más recomendable quitar el grupo todos y conceder permisos sobre el objeto a los otros usuarios, grupos o equipos.
Concede los permisos sobre un objeto que ocupe el sitio más elevado en el árbol de contenedores como te sea posible, con el fin de que la configuración se propague hacia sus contenidos. Puedes rápidamente y de forma efectiva conceder permisos a todas las carpetas hijas y contenidos del árbol desde la carpeta superior. Haciéndolo, abarcarás el mayor número de objetos con el menor esfuerzo. Y que normalmente son los permisos más adecuados para la mayoría de usuarios, grupos y equipos.
Para simplificar la administración, agrupar los archivos según su función, por ejemplo:

- Los archivos de programas en carpetas donde comúnmente se encuentran las aplicaciones a usar.

Concede el permiso de lectura y ejecución a las carpetas de aplicaciones a los grupos de usuarios y de administradores. Impedirás cambios o borrados accidentales de datos y archivos de aplicaciones.
Sólo permitir a los usuarios el nivel de acceso que requieran para su trabajo. Por ejemplo, si el usuario sólo debe leer archivos, entonces sólo permitirle leer.
Conceder el permiso lectura y ejecución, escritura al grupo de usuarios y modificar al grupo de creadores propietarios para las carpetas de datos. Lo que hará que los usuarios pueden leer y modificar documentos de otros usuarios y leer, modificar, y borrar los archivos y carpetas que ellos mismos crean.

Permisos carpetas compartidas

Sat, 28 Jan 2006 12:45:37 GMT

Los permisos de carpetas compartidas sólo se aplican a los usuarios que acceden a las mismas desde la red y no afectan a los usuarios que accedan desde el equipo donde se encuentra la carpeta compartida. Los permisos pueden asignarse a cuentas de usuarios, grupos y cuentas de equipo.

Los permisos son:

Lectura, es el permiso predefinido en cuanto compartimos una carpeta y se aplica al grupo 'todos', este permiso permite ver los nombres de archivo y nombres de subcarpetas; ver los datos del archivo y sus atributos; ejecutar archivos de programa.
Cambio, incluye el permiso de Lectura, además permite añadir archivos y subcarpetas; cambiar los datos de los archivos; borrar archivos y subcarpetas.
Control Total, todos los anteriores y además permite cambiar permisos NTFS a los archivos y a las carpetas.

Podemos asignar los permisos a una carpeta compartida desde 'Administración de equipos' o desde el 'explorador de windows' .

Si lo hacemos desde 'Administración de equipos':

En el árbol de la consola, expandimos las carpetas compartidas y pulsamos en recursos.
En el panel de detalles, click derecho sobre la carpeta compartida a la que queremos configurarle los permisos y pulsamos en propiedades.
En el cuadro de diálogo de las propiedades, ficha permisos de los recursos compartidos, aquí podemos pulsar en agregar para asignar permisos. Luego seleccionamos los usuarios, grupos o equipos y pulsamos Aceptar; o pulsar en quitar para eliminar el acceso a usuarios, grupos o equipos.
En el cuadro de Permisos, seleccionaremos las casillas de verificación permitir o denegar para asignar permisos individuales a usuarios o grupos y pulsaremos Aceptar.

Utilizando el 'Explorador de Windows':

Clic derecho sobre la carpeta compartida, pulsamos en compartir y seguridad.
En el cuadro de diálogo de propiedades, ficha compartir, pulsamos el botón permisos.
Aquí es idéntico a los pasos 3 y 4 indicados anteriormente.

Después de crear una carpeta compartida, los usuarios pueden acceder a la misma a través de la red. Los usuarios pueden acceder al recurso compartido de otro equipo utilizando Mis sitios de red, mapeándolo como una unidad de red, o utilizando el comando ejecutar desde el menú de inicio.

Para acceder desde Mis sitios de red:

Abrimos Mis sitios de red y doble clic en agregar sitios de red.
Seguimos el asistente desde su bienvenida pulsando en el botón siguiente.
En la ventana ¿donde desea crear ese sitio de red? Seleccionamos 'elija otra ubicación de red' y pulsamos siguiente.
En la ventana ¿Cuál es la dirección de este sitio de red?, escribimos la ruta UNC de la carpeta compartida o pulsamos en el botón Examinar. Si hemos pulsado 'Examinar', expandimos 'toda la red', luego expandimos 'red de microsoft windows', expandimos el dominio y el servidor donde quieres conectar; Seleccionamos la carpeta compartida y pulsamos en aceptar.
Pulsamos siguiente.
En ¿Desea ponerle un nombre a este lugar?, escribiremos un nombre descriptivo si lo deseamos y pulsaremos siguiente.
Saldrá el mensaje indicando que el sitio ha sido creado y pulsaremos en Finalizar.

Nota: Cuando abrimos una carpeta compartida desde la red, Windows Server 2003 lo agregará automáticamente a Mis sitios de red.

Mapeándolo como una unidad de red:

Clic derecho sobre Mis sitios de red, pulsamos en 'Conectar a unidad de red'.
En el cuadro de diálogo que nos aparece, caja de texto de unidad, seleccionamos la letra de unidad que queremos usar.
En la caja de texto, carpeta, escribimos el nombre de la carpeta compartida o pulsamos en examinar para buscarla.
Marcaremos la casilla de verificación si queremos que la unidad se conecte de nuevo al iniciar sesión.
Pulsaremos en Finalizar y si toda ha ido correctamente se abrirá la ventana de la unidad creada.

Utilizando el comando 'ejecutar':

Aquí no requerimos letra de unidad, sólo pulsaremos en el botón Inicio, luego en Ejecutar y escribiremos la ruta UNC, pulsado seguidamente ENTER.

Si sólo indicamos la IP o el nombre del servidor nos mostrará una lista de los recursos compartidos disponibles, Windows Server 2003 nos da la opción de elegir uno entre las entradas de la lista.

Recursos publicados en AD

Wed, 11 Jan 2006 18:58:09 GMT

Un recurso publicado es un objeto en AD.

Publicar recursos y carpetas compartidas en Active Directory habilita a los usuarios buscar en AD y localizar los recursos en la red aún cuando cambien de localización física.

Un ejemplo: movemos una carpeta compartida a otro equipo, todos los enlaces al obejto de AD que representa dicha carpeta siguen siendo válidos mientras actualizamos la referencia física. Los usuarios no han de actualizar sus conexiones.

Podemos publicar cualquier carpeta compartida en AD que tenga acceso utilizando el nombre UNC. Después de publicada, un usuario en un equipo que ejecuta windows server 2003 puede utilizar AD para encontrar el objeto que representa a dicha carpeta compartida y conectar con ella.

Cuando una carpeta compartida es publicada en AD, la carpeta se convierte en un objeto hijo de la cuenta de equipo. Para ver las carpetas compartidas como un objeto, en usuarios y equipos de active directory en el menú Ver, pulsar en usuarios, grupos, y equipos como contenedores. Entonces, en el árbol de la consola, pulsamos en la cuenta de equipo, en el panel de detalles, verás todas las carpetas compartidas que están asociadoas con la cuenta de equipo.

Como publicar una carpeta compartida

Publicar información sobre los recursos de la red en Active Directory facilita a los usuarios encontrarlos. Podemos publicar información sobre impresoras y carpetas compartidas mediante Administración de equipos o Usuarios y equipos de Active Directory.

Publicar un recurso como un objeto de servidor:

En Administración de equipos, en el árbol de la consola, expandimos carpetas compartidas y pulsamos en recursos.
Click derecho en una carpeta compartida y pulsamos en propiedades.
En las propiedades del cuadro de diálogo, en la ficha publicar, marcamos la casilla de 'Publicar este recurso en Active Directory', y pulsamos en Aceptar.

Publicar un recurso como una Unidad Organizativa:

En Usuarios y equipos de Active Directory, en el árbol de la consola, click derecho en la carpeta que queremos añadir al recurso compartido, seleccionamos nuevo, y pulsamos en Carpeta compartida.
En el cuadro de diálogo del nuevo objeto-recurso compartido, en el cuadro nombre, escribimos el nombre de la carpeta que queremos que usen los clientes.
En el cuadro ruta de red, escribimos el nombre UNC que queremos publicar en AD y pulsamos en Aceptar.

Recursos compartidos II

Tue, 10 Jan 2006 17:58:30 GMT

En principio los únicos grupos que tienen acceso a los recursos compartidos son Administradores, Operadores de Servidor y los grupos de usuarios avanzados. Estos grupos se encuentran en la carpeta grupos de Administración de equipos o en la carpeta built-in de Usuarios y grupos de Active Directory. Dependerá pues si nos hallamos ante un servidor independiente o servidor miembro, o es un Controlador de Dominio.

Cómo crear un recurso compartido.

Cuando creamos un recurso compartido le damos nombre y una descripción del recurso y su contenido. También podemos limitar el número de usuarios que pueden acceder, conceder permisos, y compartir dicho recurso múltiples veces.

Desde Administración de equipos (Computer management): En el árbol de la consola, expandimos carpetas compartidas y pulsamos en recursos compartidos , luego desde el menú Acción pulsamos en Nuevo recurso, desde aquí seguiremos los pasos del asistente de creación del recurso.
Desde el Explorador de Windows (Windows Explorer): Pulsamos con el botón derecho del ratón en la carpeta deseada y seleccionamos del menú contextual compartir y seguridad... en las propiedades del cuadro de diálogo, ficha Compartir, configuraremos las opciones: Marcaremos 'compartir esta carpeta', cambiaremos el nombre en 'recurso compartido' (o dejaremos el predefinido), teclearemos una descripción en 'Comentario', estableceremos el límite de usuarios que simultáneamente podrán acceder al recurso o lo dejaremos en máximo permitido. Luego tenemos la parte de 'Permisos', estos no se refieren a los que hemos visto anteriormente y que también conocemos como NTFS, sino que son los permisos que se aplican solamente cuando se accede al recurso desde la red. -En principio el grupo 'todos' tiene el permiso de lectura predefinido en todos los recursos al crearse-. Sólo los cambiaremos si nos es necesario.
Usando la Línea de comandos (command line): El comando usado es net share, podemos crear, borrar o mostrar los recursos. 'net share nombre_recurso=unidad:ruta' Crearía un recurso.

Net Share

Crea, elimina o muestra recursos compartidos.

net share recurso_compartido

net share recurso_compartido=unidad:ruta_de_acceso [/users:número | /unlimited] [/remark:"texto"]

net share recurso_compartido [/users:número | unlimited] [/remark:"texto"]

net share {recurso_compartido | unidad:ruta_de_acceso} /delete

Parámetros

ninguno

Escriba net share sin parámetros para mostrar información acerca de todos los recursos compartidos en el equipo local.

recurso_compartido

Es el nombre de red del recurso compartido. Escriba net share con un recurso_compartido únicamente para mostrar información acerca de dicho recurso compartido.

unidad:ruta_de_acceso

Especifica la ruta de acceso absoluta del directorio que va a compartirse.

/users:número

Establece el número máximo de usuarios que pueden tener acceso simultáneamente al recurso compartido.

/unlimited

Especifica que puede tener acceso simultáneamente al recurso compartido un número ilimitado de usuarios.

/remark:"texto"

Agrega un comentario descriptivo acerca del recurso. Escriba el texto entre comillas.

/delete

Deja de compartir un recurso.

Carpetas administrativas compartidas

Tue, 10 Jan 2006 17:57:40 GMT

Windows Server 2003 comparte automáticamente carpetas para permitirte realizar tareas administrativas. Se reconocen por que tienen añadido el signo dollar '$' al final del nombre. Al llevar este signo, el recurso no aparece a la vista de los usuarios cuando navegan por 'Mis sitios de red'. Los administradores pueden rápidamente administrar archivos y carpetas en servidores remotamente usando estos recursos ocultos.

Predefinidamente, los miembros del grupo Administradores tienen el permiso 'Control total' en las carpetas compartidas administrativamente. No puedes modificar los permisos para estos recursos. La siguiente tabla describe los propósitos de estos recursos administrativos que Windows Server 2003 asigna automáticamente.

C$ D$ E$	Podemos utilizarlos para acceder remotamente y realizar tareas administrativas. La raíz de cada partición (que tiene una letra de unidad asignada) en un disco duro es automáticamente compartida. Cuando conectas con este recurso tienes acceso total a la partición.
Admin$	Esta es la carpeta raíz del sistema, que es C:\Winnt o C:\Windows normalmente. Los administradores pueden acceder a este recurso para administrar Windows sin conocer la carpeta en la que está instalado.
Print$	Esta carpeta provee acceso a los controladores de impresión para los equipos cliente. Cuando instalas una impresora compartida, la carpeta Systemroot\System32\Spool\Drivers se comparte como Print$. Sólo miembros de los grupos de administradores, operadores del servidor, y operadores de impresión tienen el permiso de 'control total' en esta carpeta. El grupo 'Todos' tiene el permiso de lectura.
IPC$	Esta carpeta es usada durante la administración remota de un equipo y cuando se están viendo los recursos compartidos del equipo
FAX$	Los clientes de fax utilizan el recurso compartido FAX$ cuando envían un fax. Esta carpeta compartida almacena en caché los archivos y tiene acceso a las portadas que estén almacenadas en un servidor de archivos.

Los recursos compartidos administrativos ocultos creados por el equipo (como ADMIN$ y C$) pueden eliminarse, pero el sistema vuelve a crearlos después de detener y reiniciar el servicio Servidor o después de reiniciar el equipo. Los recursos compartidos ocultos creados por los usuarios pueden eliminarse y no vuelven a crearse después de reiniciar el equipo.

Podemos conectarnos con un recurso de este tipo con la forma \\servidor\tipo$ .

Es muy 'muy' importante ser precisos y minuciosos en los privilegios y permisos que se les conceden a los usuarios, sino cualquiera de ellos podría acceder a la totalidad del equipo utilizando estas conexiones a los recursos administrativos compartidos.

Recursos compartidos

Mon, 09 Jan 2006 10:20:33 GMT

El acceso a recursos compartidos.

Windows Server 2003 organiza los archivos dentro de directorios que representa gráficamente como carpetas. Estas contienen todo tipo de archivos y pueden contener subcarpetas. Algunas de éllas están reservadas para archivos del sistema o archivos de programas. Los usuarios no deberían poder crear o mover datos en las carpetas de programas o del sistema.

Los recursos compartidos ofrecen a los usuarios acceso a archivos y carpetas mediante la red. Los usuarios pueden conectar con el recurso compartido por la red y acceder a lo que contienen: aplicaciones y datos publicos o del usuario. Utilizando carpetas de aplicaciones compartidas centralizas la administración y puedes instalar y mantener aplicaciones en el servidor de equipos clientes. Usando las carpetas de datos compartidas ofreces un lugar central para el acceso común de los usuarios a los archivos y facilitar las copias de seguridad de los datos contenidos en dichos archivos.

Un recurso compartido es cuando hacemos que una carpeta sea accesible desde la red y para múltiples usuarios simultáneamente. Después de que una carpeta se comparte, los usuarios podrán acceder a todos los archivos y subcarpetas que contiene, si estos tienen los permisos adecuados.

Podemos tener los recursos compartidos en un servidor de archivos o en cualquier máquina de la red. Almacenar los archivos según categoría o función.

Las características más comunes de los recursos compartidos son:

Aparece en Windows Explorer como un icono de una mano ofreciendo una carpeta.
Sólo podemos compartir carpetas, no archivos individualmente. Si varios usuarios han de acceder al mismo archivo, se coloca en una carpeta y se comparte la misma.
Cuando compartimos una carpeta, el permiso de lectura se asigna al grupo 'Todos' como un permiso predefinido. Quitar el predefinido y asignar otros permisos a los grupos deseados es necesario.
Si añadimos usuarios o grupos a una carpeta compartida, el permiso predefinido es de lectura.
Cuando copiamos una carpeta compartida, la original continua compartida pero no así la copia. Si movemos la carpeta a otra situación, perderá el atributo de compartida.
Podemos ocultar un recurso compartido colocando el signo dollar '$' al final del nombre de recurso. Este no será visible desde la interfaz gráfica, pero es accesible utilizando el nombre UNC, por ejemplo: \\servidor\recurso$

Estados del permiso

Wed, 04 Jan 2006 19:53:18 GMT

Estados del permiso

Si nos fijamos en los permisos observaremos que hay dos casillas de verificación en cada uno de éllos, cada una corresponde a una columna cuyos títulos son 'allow' y 'deny', o sea 'permitir' y 'denegar'.

Las posibilidades en que nos podemos encontrar dichas casillas son los estados del permiso al que marcan, y que son:

casilla permitir marcada - casilla denegar no marcada

Cuando marcamos permitir sobre el permiso de un archivo o carpeta, para un usuario o grupo, estos tienen el acceso que concede el permiso. Un permiso es explícito cuando está concedido para un archivo o carpeta específica.

casilla permitir no marcada - casilla denegar marcada

Cuando marcamos denegar en el permiso de un archivo o carpeta para un usuario o grupo, estos no tienen el acceso que deniega el permiso. Denegar siempre precede sobre permitir. (Atentos)

casilla permitir no marcada - casilla denegar no marcada

Si no se marca ninguna de las dos casillas, implícitamente el valor que tomará es denegar.

casilla permitir marcada en difuminado - casilla denegar no marcada

Los archivos y carpetas heredan permisos desde sus contenedores, en este caso permitir es el heredado, aunque podrás marcar denegar para un usuario o grupo.

casilla permitir no marcada - casilla denegar marcada en difuminado

En este caso se ha heredado el denegar, aunque podemos marcar permitir para un usuario o grupo.

veamos unos ejemplos para entenderlo mejor.(siento que no pueda poner imágenes)

grupo contabilidad	permitir	denegar
control total
modificar
lectura y ejecución
leer	X
escribir		X

El grupo de contabilidad tiene permitido leer el archivo 'sólo', porque explicítamente tiene denegado escribir e implicítamente denegado el resto.

usuario pepe(que pertenece al grupo contabilidad), tiene, aparte del grupo con el estado anterior, lo siguiente:

	permitir	denegar
control total
modificar
lectura y ejecución
leer	X
escribir	X

Aquí nos encontramos que el usuario pepe, aún cuando le hemos marcado permitir en escribir, tiene los mismos permisos que el grupo al que pertenece, contabilidad y es así porque como hemos dicho denegar precede a permitir y el grupo tiene 'explicítamente' denegado escribir, lo que precederá al de permitir al usuario pepe escribir.

3) imaginemos por un momento que el usuario pepe pertenece a contabilidad y almacen, es decir dos grupos y cada uno tiene los siguientes permisos:

	contabilidad		almacen
	permitir	denegar	permitir	denegar
control total	X
modificar	X
lectura y ejecución	X		X
leer	X		X
escribir	X			X

Bien, esto se complica, ¿como lo veis? :-)

Pues está claro, hay un denegar explícito en uno de los grupos para el permiso escribir, por tanto el usuario pepe tiene ese permiso denegado.

Administrando el acceso a los recursos

Tue, 03 Jan 2006 20:16:18 GMT

Componentes del control de acceso

Security principals
Security Identifiers
Discretionary acces control list

Security principals: Son la parte a la que se les asigna permisos para el acceso a los recursos, es decir, las cuentas de usuario, los grupos y las cuentas de equipo.

Security Identifiers o SID, es algo que identifica a los Security principals de forma únivoca e irrepetible, consiste en una estructura alfanumérica emitida cuando se crea una cuenta.

DACL, cada recurso está asociado a una lista de control de acceso, que identifica a los usuarios y grupos que están autorizados o restringidos en el acceso a un recurso.

Las DACL contienen ACEs, o Entradas de Control de Acceso, cada una especifica un SID, la lista de permisos especiales, información de herencia, y un permiso de autorización o negación.

Los permisos

Los permisos definen el tipo de acceso concedido a un usuario, grupo o equipo a un objeto.

Cuando se configuran los permisos, especificas el nivel de acceso para grupos y usuarios. Los permisos de aplicables a un objetos dependen del tipo del objeto, por ejemplo los aplicables a un archivo son distintos a los aplicables a una clave del registro. Algunos, sin embargo, son comunes a la mayoría de tipos de objeto, como pueden ser:

- Permisos de lectura

- Permisos de Escritura

- Permisos de Borrado(Eliminación)

Permisos estándar y Permios especiales

Puedes conceder permisos estándar o permisos especiales para los objetos. Los más frecuentes, como puedes imaginar, son los estándar, mientras los especiales nos ofrecen, como una sintonía fina para centrar la frecuencia, afinar el control de acceso a los mismos objetos.

El sistema tiene un nivel predefinido de configuración de seguridad para un objeto específico. Es el conjunto común de permisos que un administrador usa diariamente. La lista de los permisos estándar que se encuentran disponibles varía dependiendo a que tipo de objeto le modificas la seguridad.

Los permisos especiales son una lista más detallada de permisos. El permiso de lectura NTFS estándar está relacionado con los siguientes permisos especiales:

Listar carpeta/leer datos
Leer atributos
Leer atributos extendidos
Permisos de lectura

Si el administrador elimina un permiso especial esto se relaciona con un permiso estándar, la casilla de verificación del segundo deja de estar marcada. La casilla del permisos especial bajo la lista del permiso estándar está marcada.

--> Estados del permiso...

Consejos para administrar grupos

Mon, 02 Jan 2006 17:42:02 GMT

Crea grupos basados en necesidades administrativas. Cuando creas un grupo basado en una función y otra persona va a desempeñar dicha función, sólo necesitas cambiarlo de grupo o añadirlo al que necesitas. No necesitas cambiar los permisos concedidos a la cuenta de usuario. Muchas veces es más ventajoso crear un grupo que sólo tenga un miembro que cambiar permisos individualmente.

Utiliza los grupos locales para dar acceso a los recursos en los equipos locales cuando el equipo no sea miembro de un dominio.

Si tienes múltiples grupos a los que puedes añadir las cuentas de usuarios, hazlo siempre al más restrictivo. Sin embargo, asegurate que concedes los derechos de usuario y permisos correctos para que los usuarios puedan realizar su tarea.

Siempre que dispongas de un grupo que permita realizar las tareas que necesita el usuario utilizalo en lugar de crear un grupo nuevo. Crea grupos sólo cuando no tengas ninguno que cumpla las necesidades del usuario.

Usa la identidad especial 'usuarios autenticados' en lugar de 'todos' para conceder los máximos permisos y derechos de usuario. Haciéndolo así minimizas el riesgo de accesos no autorizados, porque Windows Server 2003 sólo añade cuentas de usuarios válidos a dicha identidad especial.

Limita el número de usuarios en el grupo de Administradores. Los miembros de éste grupo en un equipo local tienen todo el control. Une sólo a un usuario cuando el mismo tenga que realizar tareas administrativas solamente.

Identidades especiales

Wed, 28 Dec 2005 16:07:06 GMT

Grupos del Sistema. (Identidades especiales)

Estos grupos representan diferentes usuarios varias veces.

Puedes conceder derechos de usuario y permisos a los grupos de sistema, pero no puedes modificar o ver sus miembros.

Los ámbitos de grupos no se aplican a los grupos de sistema.

Los usuarios son automáticamente asignados a los grupos de sistema siempre que inician sesión o acceden a algún recurso en particular.

No podemos cambiar los miembros de los grupos de sistema. El sistema operativo los crea y no podemos cambiarlos o configurarlos. Es importante entender estos grupos, porque pueden usarse para propósitos de seguridad.

Los servidores que ejecutan Windows Server 2003 incluyen varias identidades espaciales además de los grupos en los contenedores Usuarios y Builtin. Por conveniencia, estas identidades son generalmente llamadas grupos del sistema.

Inicio de sesión anónimo (S-1-5-7): Un usuario que se ha conectado al equipo sin proporcionar un nombre de usuario y una contraseña.
Todos (S-1-1-0): En equipos con sistemas operativos de servidor Windows Server 2003, el grupo Todos incluye Usuarios autenticados e Invitado. En equipos con versiones anteriores del sistema operativo, el grupo Todos incluye Usuarios autenticados e Invitado más Inicio de sesión anónimo.
Red (S-1-5-2): Incluye todos los usuarios que inician la sesión a través de una conexión de red. Los testigos de acceso de usuarios interactivos no contienen el SID de red.
Interactivo (S-1-5-4): Incluye todos los usuarios que inician la sesión localmente o a través de una conexión de Escritorio remoto.
Usuarios autenticados (S-1-5-11): Incluye todos los usuarios y equipos cuyas identidades se han autenticado. No incluye autenticación de Invitado aunque la cuenta Invitado tenga una contraseña.
Propietario creador (S-1-3-0): Un marcador de posición en una entrada de control de acceso (ACE) heredable. Cuando la ACE se hereda, el sistema reemplaza este SID por el del propietario actual del objeto.
Lotes (S-1-5-3): Incluye todos los usuarios que han iniciado la sesión en un recurso de cola de proceso por lotes, por ejemplo trabajos del programador de tareas.
Grupo creador (S-1-3-1): Un marcador de posición en una ACE heredable. Cuando la ACE se hereda, el sistema reemplaza este SID por el del grupo principal del propietario actual del objeto.
Marcado (S-1-5-1): Incluye todos los usuarios que han iniciado sesión en el sistema mediante una conexión de acceso telefónico.
Sistema local (S-1-5-18): Una cuenta de servicio que utiliza el sistema operativo.
Automático (o Automático principal) (S-1-5-10): Un marcador de posición en una ACE de un objeto de usuario, grupo o equipo de Active Directory. Cuando se otorgan permisos a Automático principal, se otorgan al principal de seguridad que el objeto representa. Durante una comprobación de acceso, el sistema operativo sustituye el SID de Automático principal por el SID del principal de seguridad representado por el objeto.
Servicio (S-1-5-6): Un grupo que incluye todos los principales de seguridad que han iniciado la sesión como un servicio. El sistema operativo controla la pertenencia.
Usuarios de Servicios de Terminal Server (S-1-5-13): Incluye todos los usuarios que han iniciado sesión en un servidor de Servicios de Terminal Server que está en modo de compatibilidad de aplicaciones con la versión 4.0 de Servicios de Terminal Server.
Otra organización (S-1-5-1000): Hace que se realice una comprobación para asegurar que un usuario de otro bosque o dominio tiene permiso para autenticarse en un determinado servicio.
Esta organización (S-1-5-15): Lo agrega el servidor de autenticación a los datos de autenticación de un usuario, siempre que el SID de Otra organización no esté ya presente.

Notas sobre grupos y nociones de seguridad.

Wed, 28 Dec 2005 15:17:37 GMT

¿Cuándo usar grupos predefinidos?

Los grupos predefinidos se crean durante la instalación del sistema operativo o cuando se añaden servicios como Active Directory o DHCP. De manera automática asignan un conjunto de derechos de usuario.

Estos grupos te ayudan a controlar el acceso a recursos compartidos y a delegaciones administrativas específicas a lo largo del dominio. Muchos de éllos se les asignan automáticamente cierto conjunto de derechos de usuario que autorizan a sus miembros a configurar o realizar acciones dentro del dominio como iniciar sesión local o realizar copias de seguridad de archivos y carpetas.

Cuando añadimos un usuario a uno de estos grupos, el usuario recibe todos los derechos de usuario y permisos asignados para el grupo para cualquier recurso compartido.

Como buena práctica de seguridad ya sabéis que se recomienda que los miembros de grupos predefinidos con acceso administrativo utilicen el comando ‘Run as’ para realizar dichas tareas administrativas.

Consideraciones de seguridad para uso de grupos predefinidos.

Emplaza un usuario en un grupo predefinido cuando estés seguro que quieres darle:

Todos los derechos asignados a dicho grupo en AD.
Todos los permisos asignados al grupo para cualquier recurso compartido asociado con el grupo predefinido.

En otro caso, cread un nuevo grupo de seguridad y asignadle al grupo sólo aquéllos derechos de usuario o permisos que el usuario necesitará únicamente.

Reitero, los usuarios con tareas administrativas y que pertenezcan a grupos predefinidos, en lugar de iniciar sesión interactiva, considerar utilizar el comando ‘Run as’.

Administrando grupos X -grupos por defecto-

Tue, 27 Dec 2005 14:37:07 GMT

Default groups

Grupos por defecto en Active Directory.

Como ya se dijo los grupos por defecto son lo Grupos que automáticamente son creados cuando se instala Windows Server 2003 o, como los que vamos a ver, cuando se instala Active Directory.

Estos grupos predefinidos podemos usarlos para administrar recursos compartidos y delegar 'roles' administrativos en un dominio específico.

Muchos de estos grupos predefinidos les son asignados conjuntos de derechos de usuario, automáticamente, que determinan que cada uno y sus miembros pueden hacer dentro de su ámbito en el dominio o bosque. Los derechos de usuario autorizan a los miembros de un grupo a realizar acciones específicas, como iniciar sesión en local o realizar copia de seguridad de archivos y carpetas. Un ejemplo: un miembro del grupo Operadores de Copia tiene el derecho de realizar copias de seguridad en todos los controladores de dominio en el dominio.

La mayoría de grupos predefinidos estan disponibles en los contenedores de Usuarios y Builtin de Active Directory. El contenedor Builtin contiene los grupos de dominio local. El contenedor de Usuarios contiene los grupos globales y grupos de dominio local. Los grupos pueden moverse de estos contenedores a otros grupos o unidades organizativas en el dominio, pero nunca a otros dominios.

Grupos en el contenedor builtin:

Operadores de cuentas: Sus miembros pueden crear, modificar y eliminar cuentas de usuarios, grupos y equipos que se encuentran en los contenedores Usuarios o Equipos y en las unidades organizativas del dominio, excepto la unidad organizativa Controladores de dominio. Los miembros de este grupo no tienen permiso para modificar los grupos Administradores o Administradores del dominio ni las cuentas de los miembros de dichos grupos. Los miembros de este grupo pueden iniciar la sesión de forma local en los controladores del dominio y apagarlos. Como este grupo tiene una autoridad considerable en el dominio, hay que ser prudente al agregarle usuarios.

Creadores de confianza de bosque de entrada (sólo aparece en el dominio raíz del bosque): Sus miembros pueden crear confianzas de bosque de entrada unidireccionales en el dominio raíz del bosque. Por ejemplo, los miembros de este grupo que residen en el Bosque A pueden crear una confianza de bosque de entrada unidireccional desde el Bosque B. Esta confianza de bosque de entrada unidireccional permite a los usuarios del Bosque A tener acceso a recursos ubicados en el Bosque B. Los miembros de este grupo disponen del permiso Crear confianza de bosque de entrada en el dominio raíz del bosque. Este grupo no tiene ningún miembro predeterminado.

Acceso compatible con versiones anteriores a Windows 2000: Sus miembros tienen acceso de lectura en todos los usuarios y grupos del dominio. Este grupo se proporciona para garantizar la compatibilidad con versiones anteriores en los equipos con Windows NT 4.0 y anteriores. De forma predeterminada, la identidad especial Todos es miembro de este grupo.

Operadores de servidores: En los controladores de dominio, los miembros de este grupo pueden iniciar sesiones interactivas, crear y eliminar recursos compartidos, iniciar y detener varios servicios, hacer copias de seguridad y restaurar archivos, formatear el disco duro y apagar el equipo. Este grupo no tiene ningún miembro predeterminado. Dado que este grupo tiene mucha importancia para los controladores de dominio, agrega los usuarios con precaución.

Administradores: Los miembros de este grupo controlan por completo todos los controladores del dominio. De forma predeterminada, los grupos Administradores del dominio y Administradores de organización son miembros del grupo Administradores. La cuenta Administrador es miembro de este grupo de forma predeterminada.

Operadores de copia de seguridad: Sus miembros pueden realizar copias de seguridad y restaurar todos los archivos en los controladores del dominio, independientemente de sus permisos individuales en esos archivos. Los Operadores de copia de seguridad también pueden iniciar la sesión en los controladores de dominio y apagarlos. Este grupo no tiene ningún miembro predeterminado.

Invitados: De forma predeterminada, el grupo Invitados del dominio es un miembro de este grupo. La cuenta Invitado (que está deshabilitada de forma predeterminada) también es un miembro predeterminado de este grupo.

Operadores de configuración de red: Sus miembros pueden modificar la configuración TCP/IP, así como renovar y liberar las direcciones TCP/IP en los controladores del dominio. Este grupo no tiene ningún miembro predeterminado.

Usuarios del monitor de sistema: Sus miembros pueden supervisar los contadores de rendimiento en los controladores del dominio, tanto de forma local como desde clientes remotos, sin ser miembros de los grupos Administradores o Usuarios del registro de rendimiento.

Usuarios del registro del rendimiento: Sus miembros pueden administrar los contadores de rendimiento, los registros y las alertas de los controladores del dominio, tanto de forma local como desde clientes remotos, sin ser miembros del grupo Administradores.

Operadores de impresión: Los miembros de este grupo pueden administrar, crear, compartir y eliminar impresoras que están conectadas a los controladores del dominio. También pueden administrar objetos de impresora de Active Directory en el dominio. Los miembros de este grupo pueden iniciar la sesión de forma local en los controladores del dominio y apagarlos. Este grupo no tiene ningún miembro predeterminado. Puesto que los miembros de este grupo pueden cargar y descargar controladores de dispositivos en todos los controladores del dominio, agregale usuarios con precaución.

Usuarios de escritorio remoto: Los miembros de este grupo pueden iniciar la sesión en los controladores del dominio de forma remota. Este grupo no tiene ningún miembro predeterminado.

Replicador: Este grupo admite funciones de replicación de directorio y el Servicio de replicación de archivos lo utiliza en los controladores del dominio. Este grupo no tiene ningún miembro predeterminado. No agregues usuarios a este grupo.

Usuarios: Los miembros de este grupo pueden realizar las tareas más habituales, como ejecutar aplicaciones, utilizar impresoras locales y de red, así como bloquear el servidor. De forma predeterminada, el grupo Usuarios del dominio, Usuarios autenticados e Interactivo son miembros de este grupo. Por tanto, todas las cuentas de usuario que se crean en el dominio son miembros de este grupo.

Grupos en el contenedor Usuarios:

Publicadores de certificados: Los miembros de este grupo tienen permitida la publicación de certificados para usuarios y equipos. Este grupo no tiene ningún miembro predeterminado.

DnsAdmins (instalado con DNS): Los miembros de este grupo tienen acceso administrativo al Servidor DNS. Este grupo no tiene ningún miembro predeterminado.

DnsUpdateProxy (instalado con DNS): Los miembros de este grupo son clientes DNS que pueden realizar actualizaciones dinámicas en lugar de otros clientes, como los servidores DHCP. Este grupo no tiene ningún miembro predeterminado.

Administradores de dominio: Los miembros de este grupo controlan el dominio por completo. De forma predeterminada, este grupo pasa a ser miembro del grupo Administradores en todos los controladores, estaciones de trabajo y servidores miembro del dominio en el momento en que se une al dominio. De forma predeterminada, la cuenta Administrador es miembro de este grupo. Puesto que el grupo controla el dominio por completo, agrega usuarios con precaución.

Equipos del dominio: Este grupo contiene todas las estaciones de trabajo y los servidores unidos al dominio. De forma predeterminada, todas las cuentas de equipo creadas pasan a ser miembros de este grupo automáticamente.

Controladores de dominio: Este grupo contiene todos los controladores del dominio.

Invitados del dominio: Este grupo contiene todos los invitados del dominio.

Usuarios del dominio: Este grupo contiene todos los usuarios del dominio. De forma predeterminada, todas las cuentas de usuario creadas en el dominio pasan a ser miembros de este grupo automáticamente. Este grupo se puede utilizar para representar todos los usuarios del dominio. Por ejemplo, si desea que todos los usuarios del dominio tengan acceso a una impresora, puede asignar permisos para la impresora a este grupo (o puede agregar el grupo Usuarios del dominio en un grupo local del servidor de impresoras que disponga de los permisos para utilizarla).

Administradores de organización (sólo aparece en el dominio raíz del bosque): Los miembros de este grupo controlan por completo todos los dominios del bosque. De forma predeterminada, este grupo es un miembro del grupo Administradores en todos los controladores de dominio del bosque. De forma predeterminada, la cuenta Administrador es miembro de este grupo.

Propietarios del creador de directiva de grupo: Los miembros de este grupo pueden modificar la Directiva de grupo en el dominio. De forma predeterminada, la cuenta Administrador es miembro de este grupo. Como este grupo tiene una autoridad considerable en el dominio, sea prudente al agregar usuarios.

IIS_WPG (instalado con IIS): El grupo IIS_WPG es el grupo de procesos de trabajo de los Servicios de Internet Information Server (IIS) 6.0. El funcionamiento de IIS 6.0 incluye procesos de trabajo para espacios de nombres específicos. Este grupo no tiene ningún miembro predeterminado.

Servidores RAS e IAS: Los servidores de este grupo tienen permitido el acceso a las propiedades de acceso remoto de los usuarios.

Administradores de esquema (sólo aparece en el dominio raíz del bosque): Los miembros de este grupo pueden modificar el esquema de Active Directory. De forma predeterminada, la cuenta Administrador es miembro de este grupo.

---continuará---

Administrando Grupos IX -Grupos por defecto-

Fri, 23 Dec 2005 11:19:14 GMT

Default groups.

Grupos por defecto en un servidor miembro

Estos grupos se crean automáticamente cuando instalamos un servidor con Windows Server 2003, y se encuentran en usuarios locales y grupos de Administración de equipos. Estos grupos locales pueden contener cuentas de usuario, cuentas de usuario de dominio, cuentas de equipos y otros grupos globales.

Veamos cuales son y una pequeña descripción:

Administradores(Administrators): Los miembros de este grupo tienen acceso total al servidor, asignan derechos de usuario y permisos o ACL. Por defecto es la cuenta que tiene control total, así que ojo a quien hacemos miembro de este grupo. Si unimos el servidor a un dominio, automáticamente el grupo Administradores del Dominio pasa a ser miembro de este grupo.
Invitados(Guests): Cuando un miembro de este grupo inicia sesión se crea un perfil temporal que será automáticamente eliminado al cerrar sesión. Por defecto la cuenta de invitado esta deshabilitada.
Usuarios del registro de rendimiento(Performance Log Users): Los miembros de este grupo pueden administrar los contadores de rendimiento, registros y alertas del servidor, tanto de forma local como de forma remota, sin ser miembros del grupo Administradores.
Usuarios del monitor del sistema(Performance Monitor Users): Los miembros de este grupo pueden supervisar los contadores de rendimiento del servidor, tanto de forma local como de forma remota, sin ser miembros de los grupos Administradores o Usuarios del registro de rendimiento.
Usuarios avanzados(Power users): Los miembros del grupo Usuarios avanzados pueden crear cuentas de usuario y modificarlas y eliminarlas. Pueden crear grupos locales y quitarles o añadirles usuarios. También pueden añadir o quitar usuarios de los grupos Usuarios avanzados, Usuarios e Invitados. Pueden crear recursos compartidos y administrarlos. No pueden tomar la propiedad de archivos, realizar copias de seguridad o restaurar directorios, cargar o descargar controladores de dispositivos ni administrar la seguridad y los registros de auditoría.
Operadores de impresión(Print Operators): Los miembros de este grupo pueden administrar las impresoras y las colas de impresión.
Usuarios(Users): Los miembros del grupo Usuarios pueden realizar las tareas más habituales, como ejecutar aplicaciones, utilizar impresoras locales y de red, y bloquear la estación de trabajo. No pueden compartir directorios ni crear impresoras locales. Los grupos Usuarios de dominio, Usuarios autenticados e Interactivo son miembros de este grupo de forma predeterminada. Así que todas las cuentas de usuario que se crean en el dominio son miembros de este grupo.
Operadores de copia de seguridad(Backup Operators): Los miembros de este grupo pueden realizar copias de seguridad y restaurar archivos del servidor, independientemente de los permisos que protejan dichos archivos. Es así porque el derecho a realizar una copia de seguridad tiene preferencia sobre todos los permisos de archivo. No pueden cambiar la configuración de seguridad.
HelpServicesGroup: Este grupo permite que los administradores establezcan permisos comunes para todas las aplicaciones de soporte técnico. De forma predeterminada, el único miembro del grupo es la cuenta que se asocia a las aplicaciones de soporte técnico de Microsoft, como Asistencia remota. No agregues usuarios a este grupo.
Operadores de configuración de red(Network Configuration Operators): Los miembros de este grupo pueden modificar la configuración TCP/IP y renovar y liberar las direcciones TCP/IP. Este grupo no tiene ningún miembro predeterminado.
Usuarios de escritorio remoto(Remote Desktop Users): Los miembros de este grupo pueden iniciar sesión en un servidor de forma remota.
Replicador(Replicator): El grupo Replicador admite funciones de replicación. El único miembro del grupo Replicador debe ser una cuenta de usuario de dominio que se utilice para iniciar los servicios Replicador de un controlador de dominio. No agregues a este grupo las cuentas de usuario de los usuarios reales.
Usuario de Terminal Server(Terminal Server Users): Este grupo contiene todos los usuarios que iniciaron sesión en el equipo que utiliza Servicios de Terminal Server actualmente.
Administradores de DHCP (se instala con el servicio Servidor DHCP): Los miembros de este grupo tienen acceso como administradores al servicio Servidor de Protocolo de configuración dinámica de host (DHCP, Dynamic Host Configuration Protocol). El grupo proporciona una forma de conceder acceso administrativo limitado solamente al servidor DHCP, sin proporcionar acceso completo al equipo servidor. Los miembros de este grupo pueden administrar DHCP en el servidor mediante la consola DHCP o los comandos Netsh, pero no pueden realizar otras tareas administrativas en el servidor.
Usuarios de DHCP (se instala con el servicio Servidor DHCP): Los miembros de este grupo tienen acceso de sólo lectura al servicio Servidor DHCP. De este modo, los miembros pueden ver la información y las propiedades almacenadas en un servidor DHCP especificado. Esta información resulta útil para que el personal del departamento de soporte técnico realice informes de estado de DHCP.
Usuarios de WINS (se instala con el servicio WINS): Los miembros de este grupo tienen acceso de sólo lectura al Servicio de nombres Internet de Windows (WINS). De este modo, los miembros pueden ver la información y las propiedades almacenadas en un servidor WINS especificado. Esta información resulta útil para que el personal del departamento de soporte técnico realice informes de estado de WINS.

---seguiremos con grupos por defecto en un dominio.---

Administrando Grupos VIII

Wed, 21 Dec 2005 16:02:16 GMT

Dependiendo de lo grande de la Organización se recomienda asignar un Administrador al grupo (a cada grupo), AD permite hacerlo como una propiedad más del grupo, con lo que puedes hacer un seguimiento de responsables por grupos y delegar a estos la autoridad de añadir usuarios o de quitarlos del grupo.

Para evitar que la gente en organizaciones grandes esté añadiendo o quitando usuarios de los grupos muy seguido, algunas organizaciones delegan estas tareas administrativas a alguien que represente al grupo. Si se documenta quien es el administrador del grupo, tienes la información de contacto necesaria. Si el grupo no necesita nunca ser cambiado a otro dominio, o ser eliminado, el administrador de la red tiene un registro de quien representa al grupo y su información de contacto. Al mismo tiempo, el administrador de la red puede llamarle o enviarle un correo electrónico para notificarle cambias que hayan de realizarse en el grupo.

Asignar un administrador al grupo.

En el snap-in Usuarios y equipos de Active Directory, en el árbol de la consola (izquierda) doble clic sobre el grupo al que le vamos a asignar un administrador.
En las propiedades de la ventana de diálogo, ficha Administrado por, pulsamos en cambiar para añadir un administrador o cambiar el que tenga.
En la ventana de diálogo Seleccionar Usuario o Contacto, escribiremos el nombre de usuario en el recuadro Escriba el nombre del objeto a seleccionar que deseamos que administre el grupo y pulsamos Aceptar.
Seleccionamos la casilla de verificación El Administrador puede actualizar la lista de miembros, si queremos que pueda añadir y quitar usuarios y grupos.
Pulsamos Aceptar en la ventana Propiedades.

Administrando Grupos VII

Tue, 20 Dec 2005 17:32:31 GMT

Modificar el ámbito o tipo de un Grupo.

Cuando creamos un grupo, por defecto, se configura como un grupo de seguridad con ámbito global, independientemente del nivel de funcionalidad del dominio.

Aunque no puedes cambiar el ámbito de un grupo en dominios con nivel de funcionalidad mixta, puedes hacer los siguientes cambios en el ámbito de los grupos en los niveles nativo 2000 y 2003:

- Global to Universal. Esto sólo está permitido si el grupo a cambiarle el ámbito no es miembro de ningún otro grupo global.

Nota: No puede cambiarse el ámbito de global a dominio local directamente. Para hacerlo, debe cambiarse primero a universal y de éste a dominio local.

- Domain Local to Universal. Esto está permitido sólo si el grupo a cambiarle el ámbito no contiene otro grupo de dominio local como miembro.

- Universal to Global. Esto sólo se permite si el grupo a cambiarle el ámbito no contiene otro grupo Universal como miembro.

- Universal to Domain Local. No hay ninguna restricción para este cambio.

Podemos convertir un grupo desde grupo de seguridad a grupo de distribución y viceversa en cualquier momento, pero sólo si el nivel de funcionalidad del dominio es 2000 nativo o superior. No siendo posible en nivel mixto.

Cambiando el ámbito.

Para cambiarle el ámbito o tipo a un grupo, siendo el nivel de funcionalidad 2000 nativo o superior, seguiremos los siguientes pasos:

En Usuarios y equipos de Active Directory, en el árbol de la consola (izquierda), pulsaremos en la carpeta que contenga el grupo.
En los detalles que muestra el panel (derecha), pulsaremos con el botón derecho del ratón sobre el grupo y seleccionaremos Propiedades.
En la ventana de diálogo propiedades, ficha General, bajo Tipo de Grupo, pulsamos sobre el tipo del grupo al que cambiarlo.
Bajo Ámbito de Grupo, pulsamos en el ámbito al que cambiarlo.

Nota: Recuerda que para estos procedimientos es necesario contar con ciertos privilegios, en este caso al menos pertenecer al grupo de operadores de cuentas, Administradores del dominio o superior, de AD, o en su caso tener delegadas la autoridad apropiada. Se recomienda como siempre el uso del comando 'Run as' para este procedimiento.

Estrategias utilizando Grupos

Mon, 19 Dec 2005 14:27:05 GMT

Estrategias utilizando grupos en un dominio simple.

En inglés lo denominan A G DL P, y sería el anidamiento adecuado.

A = Users Accounts

G = Global Groups

DL= Domain Local Groups

P = Permissions

Lo que vendría a decir qué:

Agrupamos a los usuarios en un Grupo Global, y éstos se agrupan en un grupo local de dominio, ya sea uno de los existentes o cualquier otro que hayamos creado nosotros, toda vez que tenemos el anidamiento aplicaríamos los permisos a los recursos, archivos, impresoras, etc... al Grupo Local de Dominio, y no a los grupos globales ni a los usuarios.

Ahora veamos el anidamiento y las diversas estrategias posibles en múltiples dominios.

¿Qué es el anidamiento de grupos?

Al utilizar el anidamiento de grupos lo que haces es hacer a un grupo miembro de otro.

Las opciones dependerán del nivel de funcionalidad del dominio establecido.

E un nivel mixto no se pueden crear grupos de seguridad de ámbito universal.

Un grupo Universal puede contener cuentas de usuario, cuentas de equipo, otros grupos universales y globales de cualquier dominio.

Un grupo global puede contener cuentas de usuario, cuentas de equipo, grupos universales y globales del mismo dominio del grupo global.

Un grupo de dominio local puede contener cuentas de usuario, grupos universales y globales de cualquier dominio. Además pueden contener otros grupos de dominio local del mismo dominio.

Consejo: Minimiza el anidamiento, un sólo nivel de anidamiento es el más efectivo método, porque el seguimiento de los permisos se complica con múltiples niveles.

Estrategias de grupo

Si queremos utilizar grupos de forma efectiva necesitaremos pensar en unas estrategias para aplicarlas a los diferentes ámbitos de grupo. La elección de éstas depende del entorno de la Red Windows de tu empresa. En un dominio simple, la practica más común es utilizar grupos globales y de dominio local para asignar permisos a los recursos de la red. En entornos de múltiples dominios, se pueden añadir grupos globales y universales en la estrategia.

Con A G P , emplazas cuentas de usuarios(A) en grupos globales(G) y les asignas permisos(P) a los grupos globales. La limitación de ésta es que se complica su administración en múltiples dominios. Si los grupos globales de varios dominios requieren los mismos permisos, entonces debes asignarlos a cada grupo global individualmente.

Esta estrategia (A G P) se puede utilizar en bosques de un sólo dominio y pocos usuarios y al que no se añadirán otros dominios.

- Tiene las ventajas de que los grupos no necesitan anidamiento y por tanto la solución de problemas es más fácil, y las cuentas pertenecen a un ámbito de grupo sólo.

- Las desventajas son que cada vez que un usuario se autentica en un recurso, el servidor debe comprobar el grupo global al que pertenece para determinar si el usuario todavía es miembro del grupo. Y el funcionamiento se degrada ya que un grupo global no se guardá en caché.

Con A DL P, emplazamos cuentas de usuario(A) en grupos de dominio local(DL) al que damos permisos(P). Una limitación de ésta estrategia es que no podemos asignar permisos a recursos fuera del dominio. Por lo tanto, esto reduce la flexibilidad según la red va creciendo.

Podemos utilizarla en un bosque donde se cumple lo siguiente:

- Sólo hay un dominio y pocos usuarios.

- Nunca añadirás otros dominios al bosque.

- No hay servidores miembros con Windows NT en el dominio.

Tiene las ventajas de que las cuentas pertenecen a un ámbito de grupo sólo y los grupos no están anidados facilitando la resolución de problemas.

En cambio, el funcionamiento se degrada, porque cada grupo de dominio local tiene demasiados miembros que deben ser autenticados.

A G DL P, aquí emplazamos cuentas de usuario(A) en grupos globales(G), y a éstos en grupos de dominio local(DL) a los que damos permisos(P). Esta estrategia quizás ofrece mayor flexibilidad para el crecimiento de la red y reduzca el número de veces en que necesitamos configurar permisos.

Podemos utilizarla en un bosque consistente en uno o más dominios y al que añadiremos otros en el futuro.

Cuenta con las ventajas de que los dominios son flexibles y los propietarios de los recursos requieren menor acceso a Active Directory para asegurar la flexibilidad de sus recursos.

Como desventaja diremos que es una estructura escalonada más compleja en su inicio, pero más fácil de manejar al pasar el tiempo.

A G U DL P, emplazamos cuentas de usuarios(A), en grupos globales(G), estos en grupos Universales(U), que a su vez emplazamos en grupos de dominio local(DL), a los que les asignamos permisos(P).

Dicha estrategia se utilizaría en un bosque con más de un dominio donde los administradores necesitan administración centralizada para muchos grupos globales.

- Sus ventajas serían una flexibilidad a lo largo del bosque y la administración estaría centralizada.

(Los grupos de dominio local no deberían usarse para asignar permisos a objetos de AD en un bosque con más de un dominio. Más info http://support.microsoft.com/kb/231273/en-us)

Como desventajas nos encontramos con:

- que los miembros de los grupos universales se almacenan en el catálogo global. (El catálogo global es un DC que almacena una copia de TODOS los objetos del AD en un bosque. El catálogo global almacena copia completa de todos los objetos de AD de su propio dominio y una copia parcial de todos los objetos de los otros dominios del bosque)

- Puede ser necesario añadir más servidores catálogo global.

- Se aumenta la latencia de la replicación de catálogo global, refereido al tiempo que se tarda en replicar cada servidor catálogo global en el bosque.

Hay una desventaja al usar grupos Universales, sólo si estos tienen muchos miembros dinámicos con un tráfico alto de replicación de catálogo global, por los cambios en sus miembros, en un bosque multidominios. Con G U DL P, esto es menor porque los miembros de los grupos universales son relativamente estáticos (esto es, contiene grupos globales, no usuarios individuales).

A G L P, esta estrategia está limitada a los recursos del equipo local.

Puede utilizarse el mismo grupo global en múltiples equipos locales.

Esta estrategia podría usarse si el dominio cumple ciertas características:

- Se ha actualizado desde Windows NT a Windows Server 2003

- Contiene un sólo dominio

- Tiene pocos usuarios

- No se añadirán nunca otros dominios.

- Para mantener estrategia de grupos de Windows NT

- Para mantener centralizada la administración de usuarios y descentralizada la de recursos

Es recomendable en todo caso si hay servidores miembros que ejecutan Windows NT server dentro de un AD de Windows Server 2003.

Las ventajas vienen determinadas por la estrategia de mantener los grupos de NT y los propietarios de los recursos son miembros de cada grupo que necesita acceso.

Las desventajas son que AD no mantiene ningún control, se crean grupos repetidos en los servidores miembro y no puede activarse una administración centralizada.

---seguiremos---

Administrando Grupos VI

Thu, 15 Dec 2005 16:55:58 GMT

Muchos usuarios requieren muchas veces acceder a distintos recursos a lo largo de la organización, los administradores pueden conceder membresía a los grupos locales o que residen en AD.

Cuando se añaden o quitan miembros de un grupo en AD, un administrador utiliza Usuarios y equipos de Active Directory puede hacer click sobre una cuenta de usuario y arrastrarla y soltarla sobre el grupo en el que queremos. Es una forma rápida de añadir un usuario a un grupo.

Si se añaden o quitan miembros a un grupo en un equipo local, entonces se usa Administración de equipos.

Veamos las propiedades 'miembros' y 'miembros de' mediante una tabla:

Usuarios/grupos 'miembros' 'miembros de'

juan, pepe BCN Admin

johan, Salva TAR Admin

BCN Admin juan, pepe OU CAT Admins

TAR Admin johan, Salva OU CAT Admins

OU CAT Admins BCN Admin

TAR Admin

Usando estas propiedades 'members' y 'member of' podemos determinar los miembros de un grupo o a que grupos pertenecen usuarios y/o otros grupos.

Utilizando Usuarios y equipos de active Directory podemos ver de donde es 'miembro de' un usuario, pero rápidamente, desde la línea de comandos utilizando el comando dsget user Usuario -memberof; para ver la sintaxis completa podemos teclear dsget user /?.

---seguimos---

Administrando grupos V

Mon, 12 Dec 2005 17:31:56 GMT

En la mayoría de los entornos empresariales se crean los grupos en los dominios. Active Directory tiene funionalidades de seguridad y seguimiento que limitan la creación de usuarios y grupos. AD también ofrece a las empresas la flexibilidad para usar grupos en servidores miembro. Las empresas suelen tener servidores expuestos en Internet y quieren usar grupos locales en servidores miembros en lugar de grupos locales de dominio para limitar la exposición de los grupos, y sus miembros, internos.

Para la creación de un grupo en un dominio Active Directory utilizaremos Usuarios y equipos de Active Directory, en el árbol de la consola pulsaremos con el botón derecho del ratón en la carpeta donde deseamos añadir el nuevo grupo, pulsamos en Nuevo y seleccionamos grupo.

Seguiremos los cuadros de diálogo, escribiremos el nombre para el grupo, su alcance y su tipo.

- Recordemos que hemos de ser miembros de alguno de los grupos con privilegios para realizar estos procedimientos, como Operadores de cuentas, Administradores del dominio, etc... o tener delegadas dichas funciones. (Considerad la utilización de 'Run as')

- Si la funcionalidad del dominio es mixto, no tendremos todas las posibilidades y sólo podremos seleccionar grupos de seguridad con ámbito de dominio local o global.

Si queremos utilizar comandos para crear grupos en AD podemos hacerlo con dsadd.

dsadd group nombre -samid nombreSAM -secgrp yes|no -scope l|g|u

dsadd group /? mostrará información completa sobre el comando.

Para eliminar un grupo, podemos seleccionarlo, click derecho y seleccionar Borrar/Eliminar, o también el comando dsrm.

dsrm /? muestra todos los parámetros del comando.

Si hemos de crear un grupo local en un servidor miembro lo haremos mediante Administración de Equipos, pulsando en grupos en el árbol de la consola, luego en Acción pulsaremos Nuevo grupo, seguiremos los cuadros de diálogo para introducir nombre, descripción, añadiremos usuarios si lo deseamos y pulsaremos en crear, finalizamos con Cerrar.(Puede que sea Aceptar, yo uso la versión USA)

--seguiremos--

Administrando grupos IV

Tue, 06 Dec 2005 14:59:14 GMT

¿Donde creamos los grupos?

En Active Directory los grupos son creados en los dominios. Utilizaremos Usuarios y equipos de Active Directory para éllo. Si contamos con los permisos adecuados, podremos crear grupos en cuaquier otro dominio del bosque o en Unidades Organizativas.

Además del dominio en que se crea, un grupo también se caracteriza por su ámbito, que determina desde que dominio se le pueden agregar usuarios y el dominio en que los derechos y permisos asignados serán válidos.

Escoge el dominio o unidad organizativa donde crearás el grupo, basándote en los requerimientos administrativos para el mismo.

Por ejemplo: Supongamos que tu directorio contiene multiples unidades organizativas, cada una tiene un administrador distinto. Puedes querer crear grupos globales en aquéllas unidades organizativas en que sus administradores pueden administrar los componentes del grupo.

Si los grupos se necesitan para controlar el acceso fuera de la Unidad Organizativa, puedes anidar los gruposde la Unidad Organizativa dentro de un grupo Universal(o con ámbito global) que pueda ser utilizado también en el bosque. Puede ser más eficiente anidar grupos globales si el nivel de funcionalidad del dominio es Windows 2000 Nativo o superior, el dominio contiene una jerarquía de Unidades Organizativas, y la administración está delegada a administradores de cada Unidad Organizativa.

Líneas generales para la creación de grupos:

- Añadir al nombre del grupo su ámbito.

- Un nombre descriptivo del grupo que contendrá.(referido a los usuarios/componentes, e.g. departamento_IT_global)

- Añadir nombres del dominio o abreviaturas al principio del nombre.)

- Descriptores de los permisos máximos que el grupo puede tener.

Ejemplos:

G IT Administradores

G por Global

U por Universal

DL por Dominio Local.