Indice
1.
Introducción al entorno de windows nt
server
2.
El modelo de Workgroup
4. Instalacion de windows nt
server
5. El
Server
6. Protocolo
Default
7. Instalación de Windows NT
Server
8.
Administracion de
dominios
9.
Administración de las propiedades del
Server
10. Servicio de net
logon
11.
Administrador de usuarios para
dominios
12. Utilizando grupos para administrar
usuarios
13. Grupos
Locales
14. Grupos
Globales
15. Estableciendo relaciones de
confianza
16. Implementación de los
cuatro modelos de
dominios
17.
Protección de los datos del server
1. Introducción al
entorno de windows nt
server
Microsoft Windows NT Server posee avanzadas utilidades
de administración que lo hacen un poderoso
Sistema Operativo
de Red.
Incluye los siguientes servicios:
– Capacidad de controlador de dominio.
– Capacidad de Trust
– Perfiles de usuarios centralizado.
– Replicación de directorio
– Servicio de
Acceso Remoto (RAS)
– Servicios para Macintosh
– Mirroring/duplexing de disco (RAID nivel
1)
– Striping con paridad (RAID nivel 5)
– Directory Host Configuration Protocol (DHCP) y
Windows Internet Named
Services (WINS).
Potente Server para Empresas
En grandes entornos de redes, Windows NT Server da
soporte a los siguientes entornos de computación:
– Server de bases de datos
– Servers de mensajería.
– Servers de archivos y de
impresión.
– Servers de comunicaciones.
– Servers WEB.
Soporte a múltiples plataformas.
– Intel 80386, 80486, Pentium y
procesadores
futuros.
– PowerPC.
– MIPS .
– DEC Alpha AXP.
–Computadoras
con simple o múltiple procesador
(SMP).
Administración Centralizada
Las herramientas
de administración de Windows NT Server hace posible
trabajar con toda la red desde computadoras corriendo:
– Microsoft
Windows 3.x
– Microsoft Windows for Workgroups 3.1x
– Microsoft Windows 95
– Microsoft Windows NT Workstation
– Microsoft Windows NT Server
El modelo de workgroup es un esquema de red en donde los
recursos, la
administración y la seguridad
están distribuidas a través de toda la red. Muchas
computadoras pueden ser utilizadas como server y workstation a la
vez, con sus propias cuentas de
usuarios, administración y políticas
de seguridad.
Un workgroup puede contener computadoras basadas en
Windows NT Server. Estos servers pueden funcionar como servers de
aplicación, con la ventaja que provee NT de RAS y las
posibilidades de tolerancia a
fallas. Al igual que las otras computadoras del workgroup, la
administración de Windows NT está separada de la
adminstración de los otros equipos del workgroup. Cada
computadora
del workgruoup que corra bajo Windows NT necesitará de un
administrador
para crear las cuentas de usuarios y los recursos
compartidos.
Ventajas del modelo de workgroup:
– Facilidad para compartir recursos.
– Recursos distribuídos
– Bajo mantenimiento
para los adminstradores
– Diseño
e implementación simples
– Conveniente para un numero limitado de
computadoras.
– Conveniente para computadoras instaladas en un
ambiente
cercano.
Desventajas del modelo workgroup:
– Administración no centralizada
– Gestión
de cuentas de usuarios no centralizada
– Gestión de acceso a los recursos no
centralizada.
– Gestión de la configuración y seguridad
de las workstations no centralizada
– Ineficiente para redes con muchas
máquinas
– Las cuentas deben ser monitoreadas en cada
computadora
– Numerosas cuentas en cada computadora y cuentas
duplicadas a través de la red
El modelo de dominio es un esquema de red en donde las
administración y la seguridad son centralizadas. Un domino
consiste de workstatios y servers en red que:
– Proveen validación de las cuentas de usuario en
una base de datos SAM
(Security Accounts Manager) común y compartida.
– Definición de permisos a los usuarios para
acceder a los recursos en la SAM
– Puede ser administrado como un grupo
En un dominio, las computadoras basadas en Windows NT
Server como controladores de dominio o servers. El administrador
del dominio crea las cuentas de usuario solamente una vez, en el
Controlador Primario del Domino (PDC). La información de las cuentas se copia
automáticamente a los Controladores de Dominio de Backup
(BDC). Cuando un usuario se logonea al dominio, un controlador de
dominio valida el logon, lo chequea en una copia de la base de
datos de
cuentas de usuarios del dominio para verificar si es correcto el
nombre del usuario, el password y las restricciones de
logon.
Cuando un administrador de alguna computadora con NT del
dominio comparte un recurso de la misma, los permisos pueden ser
asignados directamente desde la base de datos de cuentas de
usuario del dominio.
Los administradores de red deben determinar cuando es
necesario implementar un esquema de dominio. Las computadoras del
grupo que
conforman el dominio son organizadas básicamente para
seguir un propósito común. En una
compañía, por ej, cada departamento puede crear su
propio dominio. En la práctica, el límite de
usuarios para cada dominio depende del hardware destinado para
controlar ese dominio (computadoras controladores de
dominio).
Dos puntos importantes en el establecimiento de un
dominio son:
– Administración centralizada, cuya ventaja es
que todas las cuentas de usuario y las políticas de
seguridad para toda la red pueden ser manejadas desde un
único punto .
– Recursos compartidos, en done la asignación de
los permisos para acceder a los recursos en mas estructurada.
Esto es muy importante cuando la información critica esta
distribuída en muchos puntos de la red.
4. Instalacion de windows nt server
Hay varios puntos a tener en cuenta:
Requerimientos mínimos del sistema
– CPU, uno de
los siguientes procesadores:
– basados en 32 bits x86 (80386/25 o
superior)
– Pentium
– Basado en RISC, como PReP Power PC, MIPS, y DEC Alpha
AXP
– Soporta computadoras hasta con cuatro
procesadores
– Monitor:
– VGA o de mayor resolución
– Espacio de disco:
– Uno o mas discos con aproximadamente 125 MB libres
en la partición que contendrá NT
– Memoria:
– Mínimo de 16 MB para sistemas x86 y
RISC
Nota: Windows NT no puede ser instalado en una
partición que ha sido comprimida utilizando productos de
compresión no basados en Windows NT como Drive Space por
ejemplo.
El server ofrece:
– 402 millones de TB de máxima capacidad de
almacenamiento en
disco
– hasta 4 GB de tamaño máximo de
RAM
– hasta 256 conexiones simultáneas por acceso
remoto
A) Selección del Sistema de
Archivos
NT soporta los siguientes File Systems:
– FAT:
Puede ser accedido por sistemas
operativos como DOS y OS/2. Para tener un doble booteo
entre NT y DOS, una partición en la
computadora debe ser formateada con FAT en donde DOS pueda
correr.
– NTFS:
Solamente es soportado por NT. Cuando la computara es
booteada con otro sistema operativo entonces no se podrá
acceder a las particiones NTFS.
Si en la computadora solamente se usará NT o si
se tienen alguno de estos requerimientos, entonces utilizar
NTFS:
– Se deben utilizar los Servicios para Macintosh y se
deben almacenar los archivos Macintosh en NT.
– Se requiere seguridad a nivel de archivos
– Se deben migrar directorios y archivos desde un
server NetWare y se deben preservar los permisos.
– Se debe utilizar compresión de
archivos
Planificación
Es muy importante planificar la instalación del
File System de NT. Si se necesita cambiar el file system en
alguna partición luego de correr el Setup, se
deberá:
– realizar un backup de todos los archivos
– reformatear la partición (se pierden todos
los archivos)
– recuperar los archivos del backup
Se puede convertir FAT o HPFS a NTFS sin realizar los
pasos previos usando el programa
CONVERT.EXE
Consideraciones:
– Si se necesita booteo doble entre NT y DOS, el disco
C debe ser FAT
– Si se instala en RISC, se requiere que el disco C
sea FAT con un mínimo de 2 MB libre
– NTFS es un file system que solamente provee
seguridad local
– Windows NT puede formatear una partición a
FAT o NTFS, pero no a HPFS
B) Los roles de los severs del dominio
Antes de instalar Windows NT en alguna computadora de
la
organización es importante planificar la
configuración de la red. Un dominio basado en Windows NT
Server puede tener tres tipos de servers:
– Primary Domain Controller (PDC)
– Backup Domain Controller (BDC)
– Server
Estos roles se determinan durante la
instalación.
Primary Domain Controller (PDC)
Una computadora en cada dominio se debe instalar como
PDC, la cuál es responsable del mantenimiento de las
cuentas de usuarios. El PDC se define durante la
instalación y debe estar en línea antes de que un
BDC sea instalado.
El PDC contiene la lista primaria de cuentas y
políticas de seguridad para el dominio. Si algunas de las
cuentas sufre modificaciones, las mismas serán
incorporadas en el PDC.
Backup Domain Controller (BDC)
El PDC periódicamente replica (copia) la base de
datos de cuentas a otras computadoras con Windows NT Server en el
dominio designadas durante la instalación como BDC. Un BDC
puede autenticar y logonear a usuarios del dominio. Es
común tener mas de un BDC.
Si el PDC falla, el administrador puede promover a
alguno de los BDC del dominio como PDC. En este caso se pierden
aquellas cuentas que han cambiado recientemente y no se
habían replicado a los BDC del dominio.
Cualquier BDC puede validar logons de usuarios desde los
siguientes clientes:
– Windows NT
– Windows for Workgroups
– Microsoft LAN Manager
OS/2
– Clientes MS-DOS con el
redirector de red instalado
Otros servers del dominio, conocidos simplemente como
servers, se pueden usar como servidores de
archivos, impresión y aplicación. No participan en
la replicación de cuentas ni en la validación de
logons de usuarios, por lo que de esta forma no tienen el
overhead que posee los controladores de dominio.
Un server tiene todas las posibilidades que brinda
Windows NT Server, incluyendo:
– Soporte para RAS Server hasta 256 conexiones
simultáneas
– Tolerancia a fallas
– Servicios para archivos e impresión
Macintosh
– Servicios para booteo remoto que soporta clientes
MS-DOS y Windows 3.x
Estos servers no pueden ser promovidos a BDC o PDC, sin
reinstalar Windows NT Server.
C) Planificando los Controladores del dominio
Antes de decidir que Servers Windows NT instalar como
PDC o BDC en un dominio en particular, hay que identificar
cuantos dominios vamos a tener en nuestra red. Esto se debe a que
cada dominio es identificado por un SID (Separate Security
Identifier) para el dominio. Este SID, es usado por todas las
cuentas en el dominio.
Importancia de la planificación
En algunos casos , debido a cambios organizacionales, es
necesario mover los servidores PDC o BDC de un dominio a otro
dominio existente. Solamente hay una manera de cambiar el SID de
un controlador de dominio, reinstalando Windows NT Server. La
mejor manera de evitar los problemas
asociados con la migración
es planificar que servidores van a ser PDC o BDC en el dominio.
Ya que un Server tiene su propia base de datos de cuentas y su
propio SID, puede ser migrado de un dominio a otro.
Creación e instalación de un
dominio
En el momento del Setup se muestra un cuadro
de diálogo para:
– Instalar la computadora con PDC o BDC, o Server en un
dominio
– Instalar la computadora en un Workgroup o en un
dominio
Cambiando nombres de dominios
Ya que el SID del dominio identifica unívocamente
al dominio, el administrador puede cambiar el nombre del dominio
sin dificultad. El nuevo nombre se asociará al SID
existente.
Luego de cambiar el nombre en el PDC, el nombre del
dominio deberá ser cambiado en las demás
computadoras del dominio.
Instalando en un dominio
Si el Windows NT Server será un BDC o server en
un dominio, será necesario colocar un nombre de un dominio
existente durante el proceso de
instalación. El administrador del dominio tendrá
que:
– Agregar al dominio, una cuenta para la computadora
antes de la instalación
– Darle privilegios al server para que pueda generar
automáticamente la cuenta en
el momento de la instalación.
Nombrando un dominio
Si está instalando la computadora como PDC en un
nuevo dominio, hay que asegurarse de poner como nombre de dominio
alguno que no coincida con nombres existentes de computadora,
workgroup o dominio. Dos nombres idénticos en la red,
pueden ocasionar serios conflictos.
Modo de licenciamiento
– Licenciamiento por server: cada licencia para acceso
de cliente se asigna
a un server en particular y permite acceder a este equipo para
usar y así utilizar los servicios de red (archivos,
impresión, comunicaciones). La conexión se
establece a un server, y no a un recurso compartido
individual.
Si se especifica este tipo de licenciamiento, entonces
durante la instalación, debemos ingresar el número
de licencias para accesos de clientes (corresponden al
número de conexiones concurrentes) para ese
server.
– Licenciamiento por sitio: una licencia para acceso de
cliente es aplicada a una estación de trabajo en
particular. De esta manera, un ilimitado número de
computadoras pueden acceder al server. Si la computadora
está ejecutando alguno de los sistemas
operativos clientes de Microsoft como WFW, W95, W NT WKS, se
requiere una licencia de acceso al server por cada uno de ellos
antes de que el cliente se conecte y utilice los recursos del
server.
Nota: Por la opción Licenciamiento del Panel de Control
uno puede cambiar del modo de Licenciamiento por Server, al modo
de Licenciamiento por Sitio (la recíproca no está
permitida)
Modos de instalación
– CD-ROM
– Sobre una red
– Diskettes
Instalación sobre una red
Antes de instalar Windows NT Server sobre la red, usted
necesitará los archivos de instalación de Windows
NT Server en un recurso compartido de la red, esto se puede hacer
de dos maneras:
– Copiando la carpeta I386, MIPS, o ALPHA desde el
CDROM al recurso compartido.
– Compartir la carpeta I386, MIPS, o ALPHA en el
CDROM del server de
Sigue los siguientes pasos: (WINNT.EXE)
– crea un set de diskettes para poder bootear
la computadora.
– genera un directorio temporal en donde se copian desde
el recurso compartido todos los archivos necesarios para la
instalación .
– permite al usuario rearrancar desde el primer diskette
de booteo
Modificación del proceso de
instalación:
En el proceso de instalación se debe utilizar
WINNT.EXE (en caso de realizar una instalación desde un
servidor de
red a otro que ya tiene Windows NT, se deberá utilizar
WINNT32.EXE)
Parámetros opcionales de WINNT.EXE y
WINNT32.EXE:
/B Instala sin tener que generar los disquetes.
Será necesario utilizar el parámetro
/S
/C Elimina el control de
espacio disponible en los disquetes de inicio
/ F Desactiva la comprobación de archivos
después de copiarlos a los disquetes de
inicio.
/I: <archivo>
Indica el nombre del archivo de información de la
instalación
/O Crea sólo los disquetes de
inicio
/OX Crea los disquetes de inicio para una
instalación desde CD-ROM o
desde disquetes.
/S:<ruta> Indica la ruta de origen de los
archivos de Windows NT Server
/T:<directorio> Indica el directorio temporal en
el que se guardarán los archivos para la
instalación.
/U Hace posible la instalación
automática si se utiliza junto al parámetro
/S
/X Ejecuta la instalación sin disquetes de
inicio
7. Instalación de
Windows NT Server
Instalación sobre una partición
FAT:
Si la computadora fue instalada con arranque dual entre
MS-DOS y Windows NT Server en una partición FAT, es
posible retornar a un sistema MS-DOS solamente.
Pasos:
1- Bootear la computadora con un disquete con el sistema
DOS. El disco debe contener el SYS.COM
2- Desde el drive A, tipear sys c: (transfiere los
archivos de sistema DOS desde el disquete al disco)
3- Bootear la máquina
4- Para liberar espacio del disco borrar:
– C:PAGEFILE.SYS
– C:BOOT.INI (h,s,r)
– C:NT*.* (h,s,r)
– C:BOOTSECT.DOS (h,s,r)
– Directorio WINNT
Instalación sobre una partición
NTFS:
Pasos:
1- Arrancar la computadora con el disquete de
instalación de NT.
2- Cuando la instalación solicita crear o cambiar
una partición, seleccionar la partición NTFS donde
los archivos de Windows NT, y luego presionar D para deletear la
partición.
3- Luego presionar F3 para salir de la
instalación.
Server Manager
Es una herramienta utilizada para administrar
computadoras y dominios en una red Windows NT Server. Para
administrar un dominio local o remoto, seleccionar el dominio
desde la opción Computer del menú. Usted debe ser
miembro del grupo Administrators (del dominio seleccionado) para
poder administrar las computadoras del dominio
Nota: no confundir la aplicación Server en el
Panel de Control con el Server Manager. La aplicación
Server puede manejar las propiedades solamente de la computadora
local. El Server Manager puede manejar las propiedades de la
computadora local y las computadoras remotas
Funciones del Server Manager:
– Mostrar las computadoras del dominio
– Manejar las propiedades y los servicios de una
computadora seleccionada
– Agregar y remover computadoras del dominio
– Promover BDC a PDC
– Sincronizar los BDC con el PDC
– Administrar los recursos compartidos (directorios,
impresoras,
etc)
– Enviar mensajes a usuarios conectados
Iconos del Server Manager
Agregar una computadora al dominio
Eliminar una computadora del dominio
Cambiar una computadora de dominio
Promoviendo un BDC a PDC
Se necesita promover un BDC a PDC por ejemplo cuando el
PDC debe ser apagado por rutinas de mantenimiento. Si el PDC
está activo es posible intercambiar los roles con
algún BDC.
Importante: el promover un BDC a PDC implica que el PDC
existente pasa a ser BDC. Si el PDC está inactivo en la
red y no se promovió ningún BDC, los cambios en las
cuentas de usuarios y en las políticas de seguridad no
podrán ser implementados, sin embargo los usuarios
podrás ser logoneados y validados al dominio.
Si el PDC está inactivo, un BDC podrá ser
promovido a PDC, pero algunos cambios recientes no tendrán
efecto. Cuando el PDC original ser vuelve a activar, NT le avisa
que ya hay otro PDC en la red, entonces su Net Logon Service
fallará al arrancar y el Server Manager lo mostrará
grisado. Se necesita del administrador para volver al PDC a su
condición original
Sincronizando BDCs con el PDC
La sincronización de la base de datos de cuentas
de usuario copia las nuevas cuentas de usuario, grupos o
información de passwords desde el PDC al
BDC(s).
Dependiendo de la computadora seleccionada, se puede
sincronizar en una o en dos vías:
– Si se selecciona algún BDC, se puede
sincronizar el BDC seleccionado con el PDC.
– Si se selecciona el PDC, se sincronizará desde
el PDC a todos los BDC en el dominio.
La sincronización con el PDC es necesaria cuando
se están realizando cambios en la base de datos de
usuarios y los mismos deben ser testeados inmediatamente. Los BDC
pueden validar logons y brindar información de las cuentas
pero si los cambios hechos en la base de cuentas de usuarios del
PDC no han sido copiados a los BDC que validan logons los tests
sobre ellos fallaran.
La sincronización de BDCs resuelve problemas
relacionados a contraseñas que no coinciden y accesos que
han sido creados por usuarios que no corresponden. También
ayuda a resolver problemas relacionados a el acceso a recursos o
a tareas de red.
9. Administración
de las propiedades del Server
– Sesiones de usuarios: el hecho de poder observar para
cada server las sesiones de usuarios conectados al mismo, nos
puede ayudar a monitorear la performance de la red.
El administrador puede observar:
– todos los usuarios de la red conectados a la
computadora.
– los recursos abiertos por cada usuario.
Además podrá saber:
– que recursos compartidos están en
uso
– cuantos usuarios están conectados a ese
recurso
– cuanto tiempo ha
estado
conectado el usuario a ese recurso
El administrador puede desconectar a uno o a todos los
usuarios, la razón para hacerlo puede ser el bajar el
servicio de server o apagar la computadora.
Nota: debe recordar que la desconexión de los
usuarios es "pasiva", ya que los mismos podrán
reconectarse usando nuevamente una conexión. Para prevenir
esto, se debe pausar el servicio de server.
Usuarios conectados: muestra la lista de los usuarios
conectados a la computadora. Al seleccionar un usuario muestra
los recursos compartidos a los que el usuario está
conectado.
Campos:
– Connected Users: el nombre de usuario del usuario
conectado.
– Computer:el nombre de la computadora donde el usuario
está logoneado.
– Opens:el número de recursos que el usuario ha
abierto en la computadora.
– Time: el tiempo transcurrido desde que se ha
establecido la conexión.
– Idle: el tiempo transcurrido desde el último
acceso del usuario.
– Guest:cuando el usuario se conecta a la máquina
como invitado.
Recursos: al seleccionar el usuario se visualizan los
recursos a los que él está conectado.
Campos:
– Resource el nombre del recurso compartido al que el
usuario está conectado.
– Opens:el numero de "abiertos" que tuvo el usuario para
el recurso.
– Time:el tiempo transcurrido desde que el recurso fue
abierto por primera vez.
Envío de mensajes a los usuarios conectados: en
algunos casos es necesario que los usuario conectados a la
máquina se enteren por ejemplo, que serán
desconectados de un determinado recurso o que el servicio de
server será cerrado.
Para enviar un mensaje a todos los usuarios conectados a
la computadora, desde el menú Computer seleccionar Send
Message. El Messager Service deberá estar corriendo para
enviar mensajes. Este servicio está activo por default en
NT.
Nota: para enviar un mensaje a un usuario en particular,
utilizar el comando net send username message .
– Administración de recursos
compartidos:
Campos:
– Sharename:el nombre del recurso compartido
(directorio, impresora,
named pipe)
– Uses:el número de conexiones al recurso
compartido
– Path: el path del directorio compartido
– Connected Users:el nombre de usuario de los usuarios
conectados al recurso compartido seleccionado
– Time:el tiempo transcurrido desde la primer
conexión del usuario al recurso
– InUse:cuando el usuario tiene algunos archivos
abiertos en el recurso compartido
Un administrador puede usar esta herramienta para
desconectar uno o todos los usuarios conectados a todos los
recursos compartidos de la computadora. Esto es apropiado si el
administrador necesita que otro usuario se conecte a un
directorio compartido que actualmente está en el
máximo permitido en cuanto a conexiones de usuarios.
También es útil en el caso que los usuarios hayan
apagado sus computadoras sin cerrar la sesión de logon o
sin desconectar conexiones a los recursos compartidos de la
computadora.
– Administración de recursos en uso: el
administrador puede cerrar uno o todos los recursos.
Campos:
– Open Resources:el número total de recursos
abiertos en la computadora.
– File Locks:el número total de archivos
bloqueados en los recursos abiertos.
– Opened by:el nombre de usuario que está
abriendo el recurso.
– For:los permisos garantizados para el recurso abierto
por usuario.
– Locks:el número de bloqueos en el recurso para
el usuario.
– Path: el path del recurso abierto.
– Alertas: se pueden enviar a varios usuarios. Usted
puede entrar un nombre de usuario en el New Computer o Username
box, y agregarlo a la lista de destinatarios del alerta
administrativa. Cuando ocurre una alerta administrativa, como la
caída del servicio de la UPS, el destinatario en la lista
recibe el mensaje para poder actuar sobre el alerta
ocurrido.
La comunicación que se establece entre
dominios es gobernada por el servicio de Net Logon. El servicio
de Net Logon es iniciado por default en el arranque de Windows
NT. Este servicio provee tres funciones:
– Validación de logons: cuando algún
usuario se logonea al dominio Windows NT Server, el servicio de
Net Logon valida el usuario.
– Autenticación por Pass-through: cuando una
cuenta de usuario debe ser validada, pero la computadora o
dominio local no pueden validar la cuenta. En este caso, el
nombre de usuario y la password son enviadas a un controlador de
dominio Windows NT Server que pueda validar el usuario, y la
información del usuario es retornada a la computadora que
realizó el requerimiento.
– Sincronización del BDC(s) con el PDC: permite
que las bases de datos de
cuentas de usuario y de seguridad sean sincronizadas entre el
controlador de dominio primario y los controladores de dominio de
backup.
La sincronización (replicación) de base de
datos de cuentas ocurre cuando un PDC copia o replica la base de
datos con los BDCs del mismo dominio. Una sincronización
full ocurre cuando el PDC envía la base de datos entera al
BDC. Una sincronización parcial ocurre cuando el PDC
envía solo los cambios en la base de datos de usuarios. El
servicio de Net Logon controla este proceso de
sincronización.
Cuando la sincronización ocurre, el PDC anuncia
que un cambio en la
base de datos de usuarios ha ocurrido. Un BDC entonces llama al
PDC, solicitándole al PDC que le envíe los
cambios.
No es necesario realizar una sincronización full
cuando la la información del PDC cambia. El PDC puede
variar el nivel de sincronización para cada
BDC.
El PDC envía un mensaje anunciando un cambio en
la base de datos de cuentas de usuarios solamente a los BDC que
necesita el cambio, no a todos los BDC. Estos mensajes son
enviados a un subconjunto de controladores de dominio en cada
pulso (el subconjunto es definido por el parámetro
PulseConcurrency). Esto previene que todos los BDC respondan
simultáneamente, y ayuda a reducir el trafico de red y
también asegura que el PDC no sea saturado por los
BDC.
Sincronización sobre un acceso WAN de baja
velocidad: Un
BDC usa el parámetro ReplicationGovernor, en la Registry
para incrementar la performance de la sincronización sobre
un acceso WAN lento.
Por cada BDC , ReplicationGovernor define el
tamaño de los datos a transferir en cada llamada al PDC, y
la frecuencia de esas llamadas. El ajuste de este
parámetro afecta en dos sentidos. Primero, reduce el
tamaño del buffer usado en cada llamada desde el BDC al
PDC, asegurando que una simple llamada no consuma todo el ancho
de banda del acceso. Segundo, afecta al servicio de Net Logon en
el sentido que le hace hacer una pausa entre una llamada y otra,
permitiendo de esta manera, que otra aplicación pueda
hacer uso del vinculo WAN.
Este parámetro puede ser agregado a la Registry
del BDC bajo la siguiente clave:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesNetLogonParameters
Para agregar este parámetro, asignar REG_DWORD
con un valor entre 0
y 100. Este valor define y porcentaje para la cantidad de
información a transmitir en cada llamada al PDC y la
frecuencia entre esas llamadas. Por ejemplo con un valor de 0 el
Net Logon nunca sincronizará.
11. Administrador de usuarios
para dominios
Una cuenta de usuario de Windows NT consiste en le
nombre del usuario y la contraseña requerida para que el
usuario se pueda logonear, los grupos en donde el usuario es
miembro, y los derechos que posee el
usuario para utilizar el sistema.
También incluye mas información como el
nombre completo del usuario, la descripción de la cuenta,
la información del perfil del usuario, un lista de
workstations logoneadas, un schedule de horas de logon, y
mas.
Dos de las cuentas de usuario, Administrator y Guest son
creadas cuando un dominio Windows NT es instalado. Usted puede
crear cuentas adicionales para otros usuarios que deberán
logonearse al dominio, y además se pueden modificar
cuentas existentes. Por otro lado, se puede crear y administrar
grupos de usuarios, al igual que administrar las políticas
de seguridad.
Nota: no confundir el User Manager for Domains con el
User Manager de Windows NT WKS. User Manager for Domains puede
administrar las propiedades para el dominio local como para
dominios remotos, al igual que puede administrar Servers NT que
no son controladores de dominio.
Cada dominio tiene una base de datos de seguridad,
ubicada en el PDC, que:
– Contiene las cuentas de usuarios y grupos
– Define las políticas de seguridad para el
dominio
Para poder utilizar User Manager for Domains usted debe
ser:
– Un administrator y así tener total
funcionalidad de la herramienta
– Miembro del grupo global Domain Admins – Tiene total
funcionalidad en esta herramienta, ya que este grupo es miembro
del grupo local Administrators.
– Miembro del grupo Accounts Operator con limitaciones
para utilizar esta herramienta.
– Un user – Tiene la habilidad para crear grupos
locales y administrar los grupos locales que el usuario ha
creado.
Si el usuario no posee suficiente autoridad para
ejecutar una determinada acción, el comando y
opción aparece como no disponible. En algunos casos los
comando está disponibles, pero al invocarlos da un mensaje
de acceso denegado.
User Account Properties
– Datos generales
– Groups: permite que la cuenta seleccionada pueda ser
miembro de algún grupo del dominio o de alguna
WorkStation.
– Profile: para definir el path al perfil del usuario,
nombre del logon script y home directory de las cuentas de
usuarios seleccionadas.
– Hours: para restringir los días y horas durante
los cuales el usuario puede logonearse al dominio y conectarse al
server. El default es todas las horas de todos los días de
la semana. Esto no afecta a que el usuario pueda utilizar la
cuenta de la Workstation.
– Logon to: para restringir las Workstations de donde el
usuario podrá logonearse al dominio. El dafault es que
todos los usuarios puedan logonearse a cualquier
workstation.
– Account: para definir un tiempo de expiración
de la cuenta y especificar el tipo de cuenta para las cuentas
seleccionadas. Cuando una cuenta posee fecha de
expiración, la cuenta se desactivará al final del
día de expiración.
Nota: si tenemos un vinculo de baja velocidad en nuestra
red (RAS) se deberá seleccionar la opción Low Speed
Connection (en el menú Options). Esto optimiza la
administración remota al no mostrar la siguiente
información:
– Lista de usaurios
– Lista de grupos
– La opción Select User
– La opción View menu
Profiles
El perfil de usuario guarda información usuario
por usuario para cada computadora con Windows NT. La
información almacenada incluye características del escritorio, grupos de
programas
personales y los programas en estos grupos, colores de
pantalla, protectores de pantalla, conexiones de red, conexiones
de impresoras, seteos del mouse, y
posición y tamaño de la ventanas.
Como administrador del dominio, puede usar el User
Profile Editor,ubicado en la carpeta Administrative Tools para
poder configurar los perfiles de usuario.
Es muy ventajoso para un administrador estructurar el
entorno de red para el usuario. Esto es necesario si se requiere
un control de seguridad total o parcial, o si los usuarios no
están familiarizados con el uso de computadoras y
redes.
Controlando el entorno default para el usuario o
bloqueando un entorno específico, los perfiles pueden
asegurar que varias cuentas de usuarios pueden utilizar el mismo
entorno.
Por ejemplo, si se pretende mantener un estándar
de escritorio de trabajo para toda la empresa, se
pueden usar los perfiles para prevenir que el usuario cambien la
apariencia del escritorio.
Tipos de Perfiles
– System default:Configura el monitor hasta que el
usuario se logonea en la computadora local. Esta
información se almacena el archivo:
winnt_rootSYSTEM32CONFIGDEFAULT
– User default: La configuración default del
escritorio usadas desde el momento que el usuario se logonea en
la máquina. Esto se copia en un perfil local para el
usuario. Esta información es almacenada en el archivo:
winnt_rootSYSTEM32CONFIGUSERDEF
– Local: Es un perfil almacenado localmente y nombrado
luego de que el usuario se halla logoneado en la computadora.
Esto se copia desde el perfile User default cuando el usuario se
logonea.
– Server-based: Perfil creado por el Profile Editor y es
almacenado en el server para controlar la configuración de
los escritorios de los usuarios y sus workstations.
Pefiles Server-based
El usar estos perfiles en Windows NT tiene tres
implicancias en lo que hace a la administración de una
red.
– La ubicación del perfile Server-based
está especificada en la base de datos de cuentas de
usuario para cada cuenta de usuario. En las computadoras con
Windows NT el perfil antes de que el usuario se logonee es el
mismo. Luego de que se logonee el perfil se ajusta a cada
usuario.
– El administrador puede crear un perfil de usuario para
restringir o estructurar el acceso de los usuarios a la
workstation y prevenir al usuario de que pueda cambiar el entorno
de la workstation.
– Un perfil server-based puede se asignado a muchos
usuarios. Esto permite que al cambiar un perfil, el administrador
puede cambiar para varios usuarios el acceso a aplicaciones y
entornos de trabajo
Tipos de perfiles Server-based:
Hay dos tipos de estos perfiles, personal (.USR) y
genérico (.MAN). Un usuario puede tener uno de los dos
perfiles, pero no ambos.
Una cuenta de usuario puede tener solamente un perfil
asignado al mismo tiempo. Se puede asignar el tipo de perfil a un
usuario especificando la ubicación y el nombre del archivo
del perfil en la cuenta del usuario.
Estos perfiles deben ser almacenados en un server al
igual que los seteos y referencias para el usuario. Si un usuario
entra en una nueva computadora (por ejemplo, en el caso de una
actualización), un perfil personal recupera el perfil del
usuario en la nueva computadora.
Perfiles personales
Los usuario pueden cambiar sus perfiles personales. Cada
vez que el usuario se logonea, el perfil es actualizados con los
actuales seteos. Cuando el mismo usuario se logonea nuevamente,
el perfil es cargado tal cual fue guardado por última
vez.. Ya que los usuarios pueden modificar el contenido de un
perfil personal, es recomendado que cada perfil personal sea
asignado solamente a un usuario. Si más de un usuario es
asignado a un perfil personal, los seteos del perfil personal se
ajustarán siempre a la configuración del
último usuario que utilizó el perfil
personal.
La extensión de los archivos de estos perfiles es
.USR
Perfiles genéricos
Los usuarios no pueden cambiar un perfil
genérico. Los cambios realizados por los usuarios durante
una sesión no son grabados en el perfil genérico.
Cuando los usuarios se logonean y luego se logonean, el entorno
que el usuario había creado mientras estuvo trabajando
queda sin efecto y el entorno original es recuperado.
Los perfiles genéricos son utilizados por los
administradores para restringir la habilidad de los usuarios para
cambiar los entornos de trabajo.
Los archivos de perfiles genéricos tienen la
extensión .MAN
Creando perfiles de usuarios con el User Profile
Editor
Los perfiles de usuarios se pueden crear usando las
siguientes herramientas:
– El User Profile Editor (crea el perfil)
– User Manager for Domains (asigna perfiles existentes a
los usuarios)
El primer paso en crear un perfil es logonearse como un
usuario con privilegios de administrador. Se recomienda que
utilize una cuenta administrativa que no se Administrator para
poder crear los perfiles. Cuando se crea un perfil, una copia de
los seteos del entorno existente es gravado como el perfile del
usuario para la computadora.
Para crear perfiles de usuario
1- Entrar el User Profile Editor y usarlo para
implementar los seteos y las restricciones que el usuario va a
tene desde el momento que se logonee en la workstation. Los
seteos que originalmente se presentan son los correspondientes al
usuario que en esos momentos está logoneado.
2- Usar el User Profile Editor para garantizar permisos
para usar el perfil.
3- Grabar la configuración como un perfil
según los siguientes lineamientos:
– Si el perfile es genérico, grabarlo con un
nombre significativo para el grupo donde se va a aplicar. Se debe
grabar con extensión .MAN
– Si es un perfil personal, nombrarlo como el usuario y
con extension .USR
4- Usar el User Manager for Domains para asignar los
perfiles a las cuentas de usuarios. Si la cuenta todavía
no ha sido creada, copiar una cuenta de usuario que ya tenga
asignado el perfile correspondiente. Esto crea
automáticamente el perfil para el usuario.
5- Para verificar que el perfil está configurado
correctamente se debe logonear con algún usuario al que se
le haya asignado el perfil.
Parámetros de configuración:
– Pulse: define la frecuencia del pulso en segundos.
Todos los cambios hechos en la base de cuentas de usuarios a
partir del último pulso son agrupados. Entonces, luego de
que tiempo del pulso ha expirado, un pulso es enviado a cada BDC
que necesite los cambios; no se envían pulso a los BDC que
están actualizados. El rango de valores es de
60 (1 minuto) – 3600 (1 hora)
PulseConcurrency: define el máximo número
de BDCs que el PDC notificará en algún momento
determinado. El servicio de Net Logon envía pulsos
individuales a los BDCs, lo que causa que el BDC responda
requiriendo algún cambio de la base de datos de cuentas.
Para controlar la máxima carga de respuestas de los BDCs
sobre el PDC, el PDC tiene solamente el número de pulsos
pendientes especificado bajo el parámetro
PulseConcurrency en algún determinado momento. El
incrementar este parámetro implica mayor carga en el PDC.
Decrementar este parámetro aumentará el tiempo
-para un dominio con muchos BDC- en que los cambios lleguen a los
BDC.
12. Utilizando grupos para
administrar usuarios
Introduccion a grupos
Un grupo es una cuenta que contiene otras cuentas de
usuario y de grupos. Las cuentas contenidas en un grupo se dicen
miembros del grupo.
Los grupos se usan para:
– Permitir asignar derechos a a los usuarios para poder
ejecutar ciertas tareas como realizar backup o restore de
archivos. Por default, las cuentas de usuario no poseen derechos.
Estos derechos los obtienen al ser miembros de algún grupo
específico.
– Garantizar el acceso a los recursos como archivos,
directorios e impresoras.
Los permisos y derechos garantizados al grupo son
automáticamente aplicados a sus miembros, de esta manera,
para un administrador es mas sencillos administrar a una sola
cuenta, en lugar de hacerlo para muchos usuarios.
Página siguiente  |