Administración de Políticas de Grupo Windows 2003

Las políticas de grupo permiten establecer de forma centralizada múltiples aspectos de la configuración que reciben los usuarios cuando se conectan a una máquina del dominio.

Cuando hay muchos equipos que administrar en un dominio, resultaría incómodo tener que establecer este comportamiento uno por uno. Por este motivo, las políticas de grupo se han integrado dentro de la administración del Directorio Activo como una herramienta de configuración centralizada en dominios Windows 2003.

Las políticas se especifican mediante objetos de directorio denominados Objetos de Política de Grupo (Group Policy Objects), o simplemente GPOs. Un GPO es un objeto que incluye como atributos cada una de las políticas (también denominadas directivas) que puede establecerse en Windows Server 2003 para equipos y usuarios. Los GPOs se crean y posteriormente se vinculan a distintos contenedores del Directorio Activo (sitios, dominios y unidades organizativas), de forma que los usuarios y equipos que se ubican dentro de estos contenedores reciben los parámetros de configuración establecidos en dichos GPOs.

Dentro de cada GPO, las políticas se organizan jerárquicamente en un árbol temático en el que existen dos nodos principales que separan las configuraciones para equipos y para usuarios.

Las políticas de grupo son heredables y acumulativas. Eso quiere decir que, desde el punto de vista de un equipo o de un usuario concreto, la lista de GPOs que les afecta depende de su ubicación en Directorio Activo.

Resulta necesario que exista un orden de aplicación concreto y conocido, de forma que se sepa finalmente qué política afectarán a cada usuario y equipo. Este orden es el siguiente:

1. Se aplica la política de grupo local del equipo (denominada Local Group Policy

Object, o LGPO).

2. Se aplican los GPOs vinculados a sitios.

3. Se aplican los GPOs vinculados a dominios.

4. Se aplican los GPOs vinculados a unidades organizativas de primer nivel. En su caso, posteriormente se aplicarían GPOs vinculados a unidades de segundo nivel, de tercer nivel, etc.

Este orden de aplicación decide la prioridad entre los GPOs, puesto que una política que se aplica más tarde prevalece sobre otras establecidas anteriormente (las sobrescribe).

Este comportamiento puede ser refinado mediante los siguientes dos parámetros:

1.     Forzado (Enforced)

2.     Bloquear herencia de directivas

Como todos los objetos del Directorio Activo, los GPOs poseen listas de control de acceso (o DACLs). En general, estas DACLs establecen qué usuarios y grupos pueden leer, escribir, administrar, etc., dichos objetos. En el caso concreto de los GPOs, esta asociación de permisos a grupos de usuarios (o grupos de seguridad) permite filtrar el ámbito de aplicación de un GPO y delegar su administración.

Es posible delegar la administración de GPOs a otros usuarios y grupos. En realidad, la administración de un GPO consta de dos actividades distintas y complementarias, que pueden delegarse independientemente:

-Creación de un GPO.

-Vinculación de un GPO a un contenedor.

Las principales políticas incluidas en un GPO

-Configuración de Software

-Configuración de Windows

-Plantillas Administrativas

Las configuraciones de seguridad que se pueden establecer son las siguientes:

-Políticas de cuentas

-Políticas locales

-Registro de eventos

Mediante este apartado se puede asignar y/o publicar aplicaciones a equipos o a usuarios en el dominio:

1.     Asignar una aplicación significa que los usuarios que la necesitan la tienen disponible

            en su escritorio sin necesidad de que un administrador la instale.

2.     Publicar una aplicación a un equipo o usuario le da la oportunidad al usuario

de instalar dicha aplicación bajo demanda (a voluntad), pero no se realiza ninguna

acción automática en el equipo

Se pueden asignar scripts a equipos o usuarios. En concreto, existen cuatro tipos de scripts principales:

-Inicio (equipo)

-Apagado (equipo)

-Inicio de sesión (usuario)

-Cierre de sesión (usuario)

Existe también una política denominada redireccionamiento de carpetas.

Este grupo de políticas permite redirigir la ubicación local predefinida de ciertas carpetas particulares de cada usuario (como "Mis Documentos" o el menú de inicio) a otra ubicación, bien sea en la misma máquina o en una unidad de red.

Existen otras políticas como el mantenimiento de internet explorer y los servicios de instalación remota.

DHCP

DHCP es un protocolo de red que permite a los clientes de una red IP obtener sus parámetros de configuración automáticamente. Se trata de un protocolo de tipo cliente/servidor en el que generalmente un servidor posee una lista de direcciones IP dinámicas y las va asignando a los clientes conforme éstas van estando libres, sabiendo en todo momento quién ha estado en posesión de esa IP, cuánto tiempo la ha tenido y a quién se la ha asignado después.

Sin DHCP, cada dirección IP debe configurarse manualmente en cada dispositivo y, si el dispositivo se mueve a otra subred, se debe configurar otra dirección IP diferente. El DHCP le permite al administrador supervisar y distribuir de forma centralizada las direcciones IP necesarias y, automáticamente, asignar y enviar una nueva IP si fuera el caso en el dispositivo es conectado en un lugar diferente de la red.

El protocolo DHCP incluye tres métodos de asignación de direcciones IP:

• Asignación manual o estática: Asigna una dirección IP a una máquina determinada. Se suele utilizar cuando se quiere controlar la asignación de dirección IP a cada cliente, y evitar, también, que se conecten clientes no identificados.

• Asignación automática: Asigna una dirección IP de forma permanente a una máquina cliente la primera vez que hace la solicitud al servidor DHCP y hasta que el cliente la libera. Se suele utilizar cuando el número de clientes no varía demasiado.

• Asignación dinámica: el único método que permite la reutilización dinámica de las direcciones IP. El administrador de la red determina un rango de direcciones IP y cada dispositivo conectado a la red está configurado para solicitar su dirección IP al servidor cuando la tarjeta de interfaz de red se inicializa. El procedimiento usa un concepto muy simple en un intervalo de tiempo controlable. Esto facilita la instalación de nuevas máquinas clientes a la red.

Administración de dominios Windows 2003

En un dominio de sistemas, la información administrativa y de seguridad se centraliza en uno o varios servidores. Windows 2003 utiliza el concepto de directorio para implementar dichos dominios.

Active Directory es el servicio de directorio de una red de Windows 2003, almacena información de los recursos de la red y permite el acceso de los usuarios a dichos recursos.

Al instalar Windows 2003 en nuestro sistema, lo convertimos en un servidor de dominio, el resto de equipos se convierten en clientes.

Una ventaja es que separa la estructura lógica de la organización (dominios) de la estructura física (topología de red).

Windows 2003 proporciona compatibilidad con un buen número de protocolos y estándares: DHCP, DNS, ,LDAP, Certificado X.509…

DNS almacena zonas y registros de recursos y el Directorio Activo guarda dominios y objetos de dominio. El directorio activo utiliza DNS para tres funciones principales:

-Resolución de nombres

-Definición del espacio de nombres

-Búsqueda de los componentes físicos de AD

La estructura lógica del Directorio Activo se centra en la administración de los recursos de la red organizativa

Dentro de un dominio es posible subdividir lógicamente el directorio mediante el uso de unidades organizativas, que permiten una administración independiente sin la necesidad de crear múltiples dominios. Sin embargo, si la organización desea estructurarse en varios dominios, también puede  hacerlo mediante árboles y bosques.

Una Unidad Organizativa es un objeto del Directorio Activo que puede contener a otros objetos del directorio. Su objetivo es estructurar el conjunto de los objetos del directorio, agrupándolos de forma coherente.

La estructura física de Active Directory se compone de sitios y controladores de dominio. La estructura física de Active Directory define dónde y cuándo se producen el tráfico de replicación y de inicio de sesión.

Dicha estructura física se compone de:

-Sitios

-Controladores de dominio

-Servidor de catálogo global

-Operaciones de maestro único

Existen diversos tipos de objetos que pueden crearse que pueden crearse en el Directorio Activo de Windows 2003, son los siguientes:

-Usuarios

-Grupos

-Equipos

-Unidades Organizativas

Cuando un sistema Windows 2003 participa en una red, puede compartir sus recursos con el resto de ordenadores.

Cuando compartimos recursos a otros usuarios en la red hay que tener en cuenta no sólo los permisos del recurso y su contenido, sino también los derechos del ordenador que comparte el recurso.

La compartición de recursos en Windows 2003 puede realizarse en línea de órdenes utilizando los mandatos net share y net use.

Los derechos de administración (o control) sobre un dominio o unidad organizativa funcionan de forma similar a los permisos sobre una carpeta o archivo: existe una DACL propia y otra heredada, que contienen como entradas aquellos usuarios/grupos que tienen concedida (o denegada) una cierta acción sobre la unidad organizativa o sobre su contenido

En resumen, la delegación de control sobre una unidad organizativa puede hacerse de forma completa (ofreciendo el Control Total sobre la unidad) o de forma parcial (permitiendo la lectura, modificación y/o borrado de los objetos de la misma).

Protección local en Windows 2003

Un usuario en windows 2003 es una persona que entra al sistema.

Dichos usuario cuentan con (un nombre de usuario, contraseña, directorio de conexión, etc.) El más importante de todos ellos es el SID que es el identificador seguro que sirven de identificación exclusiva para cada usuario.

Existen dos usuario iniciales (built-in-users) cuando se instala 2003: el administrador y el invitado. El administrador tiene derechos administrativos sobre el sistema y la cuenta invitado normalmente se usa para aquellas personas que no tienen un usuario.

Los grupos de usuarios permiten agrupar de forma lógica a los usuarios de un sistema, y establecer permisos y restricciones a todo el grupo de una vez. También posee un SID propio. En Windows 2003 se recomienda asignar los permisos a los grupos en vez de asignar permisos a usuarios individualmente ya que al asignarlos al grupo automáticamente afecta a todos los usuarios de dicho grupo.

También existen una serie de grupos creados por el sistema (built-in-groups):

-Administradores: Contiene el usuario administrador

-Invitados: Contiene el usuario invitado

-Usuarios: Son usuarios normales que tienen permisos para conectarse al sistema interactivamente.

-Operadores de copia: Son usuario que pueden hacer copias del sistema y restaurarlo.

-Usuarios Avanzados: Son usuarios con ciertas capacidades administrativas.

Un derecho o privilegio de usuario es un atributo de un usuario que le permite realizar una acción que afecta al sistema en su conjunto.

Un permiso es una característica de cada recurso (carpeta,archivo…) del sistema que concede o deniega el acceso al mismo a un usuario/grupo concreto.

A cada usuario de 2003 se le asigna un SAT (security Access token) que contiene la información de protección del usuario.

El SAT contiene los siguientes atributos:

-SID

-SID de sus grupos

-Derechos: Lista los derechos del usuario

Un derecho es un atributo de un usuario o grupo de usuarios que le confiere la posibilidad de realizar una acción concreta sobre el sistema en conjunto. Distinguimos entre 2 tipos de derechos: derechos de conexión y privilegios.

Los derechos de conexión establecen las diferentes formas en que un usuario puede conectarse al sistema y los privilegios hacen referencia a ciertas acciones predefinidas que el usuario puede realizar una vez conectado al sistema.

Cuando se crea un nuevo archivo o carpeta, por normal general, adquiere como permisos los permisos heredados y explícitos de su carpeta padre.

Existen una serie de reglas de protección que son las siguientes:

1. Cada permiso involucrado en la acción solicitada está concedido explícitamente al SID del usuario o de algún grupo al que el usuario pertenece. En ese caso, se permite la acción.

2. Alguno de los permisos involucrados está explícitamente denegado para el SID del usuario o para alguno de sus grupos. En este caso, se deniega la acción.

3. La lista (DACL) ha sido explorada completamente y no se ha encontrado una entrada (ni positiva ni negativa) correspondiente a alguno de los permisos involucrados en la acción para el SID del usuario o sus grupos. En este caso, se deniega la acción.