Mostrando entradas con la etiqueta 2aso. Mostrar todas las entradas
Mostrando entradas con la etiqueta 2aso. Mostrar todas las entradas

domingo, 9 de octubre de 2011

Administración de dominios Windows 2003

En un dominio de sistemas, la información administrativa y de seguridad se centraliza en uno o varios servidores. Windows 2003 utiliza el concepto de directorio para implementar dichos dominios.
Active Directory es el servicio de directorio de una red de Windows 2003, almacena información de los recursos de la red y permite el acceso de los usuarios a dichos recursos.

Al instalar Windows 2003 en nuestro sistema, lo convertimos en un servidor de dominio, el resto de equipos se convierten en clientes.
Una ventaja es que separa la estructura lógica de la organización (dominios) de la estructura física (topología de red).

Windows 2003 proporciona compatibilidad con un buen número de protocolos y estándares: DHCP, DNS, ,LDAP, Certificado X.509

DNS almacena zonas y registros de recursos y el Directorio Activo guarda dominios y objetos de dominio. El directorio activo utiliza DNS para tres funciones principales:

-Resolución de nombres
-Definición del espacio de nombres
-Búsqueda de los componentes físicos de AD

La estructura lógica del Directorio Activo se centra en la administración de los recursos de la red organizativa

Dentro de un dominio es posible subdividir lógicamente el directorio mediante el uso de unidades organizativas, que permiten una administración independiente sin la necesidad de crear múltiples dominios. Sin embargo, si la organización desea estructurarse en varios dominios, también puede  hacerlo mediante árboles y bosques.

Una Unidad Organizativa es un objeto del Directorio Activo que puede contener a otros objetos del directorio. Su objetivo es estructurar el conjunto de los objetos del directorio, agrupándolos de forma coherente.

La estructura física de Active Directory se compone de sitios y controladores de dominio. La estructura física de Active Directory define dónde y cuándo se producen el tráfico de replicación y de inicio de sesión.

Dicha estructura física se compone de:

-Sitios
-Controladores de dominio
-Servidor de catálogo global
-Operaciones de maestro único

Existen diversos tipos de objetos que pueden crearse que pueden crearse en el Directorio Activo de Windows 2003, son los siguientes:

-Usuarios
-Grupos
-Equipos
-Unidades Organizativas

Cuando un sistema Windows 2003 participa en una red, puede compartir sus recursos con el resto de ordenadores.
Cuando compartimos recursos a otros usuarios en la red hay que tener en cuenta no sólo los permisos del recurso y su contenido, sino también los derechos del ordenador que comparte el recurso.

La compartición de recursos en Windows 2003 puede realizarse en línea de órdenes utilizando los mandatos net share y net use.

Los derechos de administración (o control) sobre un dominio o unidad organizativa funcionan de forma similar a los permisos sobre una carpeta o archivo: existe una DACL propia y otra heredada, que contienen como entradas aquellos usuarios/grupos que tienen concedida (o denegada) una cierta acción sobre la unidad organizativa o sobre su contenido
En resumen, la delegación de control sobre una unidad organizativa puede hacerse de forma completa (ofreciendo el Control Total sobre la unidad) o de forma parcial (permitiendo la lectura, modificación y/o borrado de los objetos de la misma).

Publicado por en 1 comentario:
Etiquetas:

Protección local en Windows 2003

Un usuario en windows 2003 es una persona que entra al sistema.
Dichos usuario cuentan con (un nombre de usuario, contraseña, directorio de conexión, etc.) El más importante de todos ellos es el SID que es el identificador seguro que sirven de identificación exclusiva para cada usuario.
Existen dos usuario iniciales (built-in-users) cuando se instala 2003: el administrador y el invitado. El administrador tiene derechos administrativos sobre el sistema y la cuenta invitado normalmente se usa para aquellas personas que no tienen un usuario.

Los grupos de usuarios permiten agrupar de forma lógica a los usuarios de un sistema, y establecer permisos y restricciones a todo el grupo de una vez. También posee un SID propio. En Windows 2003 se recomienda asignar los permisos a los grupos en vez de asignar permisos a usuarios individualmente ya que al asignarlos al grupo automáticamente afecta a todos los usuarios de dicho grupo.
También existen una serie de grupos creados por el sistema (built-in-groups):

-Administradores: Contiene el usuario administrador
-Invitados: Contiene el usuario invitado
-Usuarios: Son usuarios normales que tienen permisos para conectarse al sistema interactivamente.
-Operadores de copia: Son usuario que pueden hacer copias del sistema y restaurarlo.
-Usuarios Avanzados: Son usuarios con ciertas capacidades administrativas.

Un derecho o privilegio de usuario es un atributo de un usuario que le permite realizar una acción que afecta al sistema en su conjunto.
Un permiso es una característica de cada recurso (carpeta,archivo…) del sistema que concede o deniega el acceso al mismo a un usuario/grupo concreto.

A cada usuario de 2003 se le asigna un SAT (security Access token) que contiene la información de protección del usuario.
El SAT contiene los siguientes atributos:
-SID
-SID de sus grupos
-Derechos: Lista los derechos del usuario

Un derecho es un atributo de un usuario o grupo de usuarios que le confiere la posibilidad de realizar una acción concreta sobre el sistema en conjunto. Distinguimos entre 2 tipos de derechos: derechos de conexión y privilegios.
Los derechos de conexión establecen las diferentes formas en que un usuario puede conectarse al sistema y los privilegios hacen referencia a ciertas acciones predefinidas que el usuario puede realizar una vez conectado al sistema.

Cuando se crea un nuevo archivo o carpeta, por normal general, adquiere como permisos los permisos heredados y explícitos de su carpeta padre.

Existen una serie de reglas de protección que son las siguientes:

1. Cada permiso involucrado en la acción solicitada está concedido explícitamente al SID del usuario o de algún grupo al que el usuario pertenece. En ese caso, se permite la acción.

2. Alguno de los permisos involucrados está explícitamente denegado para el SID del usuario o para alguno de sus grupos. En este caso, se deniega la acción.

3. La lista (DACL) ha sido explorada completamente y no se ha encontrado una entrada (ni positiva ni negativa) correspondiente a alguno de los permisos involucrados en la acción para el SID del usuario o sus grupos. En este caso, se deniega la acción.



Publicado por en No hay comentarios:
Etiquetas:
Suscribirse a: Entradas (Atom)