VII - Usuarios y Grupos

La cuenta de un usuario del dominio registra toda la información necesaria para su definición en Windows Server 2008:

• Nombre de usuario y contraseña (necesarios para iniciar sesión)
• Grupos a los que pertenece el usuario
• Derechos y permisos que tiene el usuario para utilizar el equipo y la red, así como para tener acceso a sus recursos.

En un DC de WS 2008, la herramienta Usuarios y equipos de Active Directory permite administrar usuarios y equipos del dominio creando por ejemplo grupos de usuarios y equipos.

Los usuarios y los equipos del dominio son objetos del Directorio Activo del DC de WS 2008 y pueden ser incluidos en los grupos de usuarios y/o equipos del dominio que se desee. Por defecto si no se indica lo contrario son incluidos en los grupos de seguridad Usuarios del dominio y Equipos del dominio respectivamente.

El objetivo de los grupos es lograr una eficaz gestión del dominio a través de la asignación de permisos sobre los recursos al propio grupo en lugar de hacerla de forma individual sobre cada uno de sus componentes.

Los usuarios y los equipos pueden pertenecer a más de un grupo y a un determinado recurso pueden acceder  usuarios y equipos de varios grupos. También podemos hacer que un determinado grupo pertenezca a otros grupos ya existentes.

Esquema usuarios - grupos - recursos

Cuando se crea un grupo se debe seleccionar un tipo y un ámbito del grupo. 

Tipos

Active Directory trabaja con dos tipos de grupos predeterminados:

• Grupos de seguridad:  Se usan para otorgar permisos y así, obtener acceso a los recursos.
• Grupos de distribución:  Se usan por aplicaciones Windows para realizar funciones no relacionadas con la seguridad, como enviar mensajes de correo electrónico a grupos de usuarios. No se puede otorgar permisos a estos grupos.

Ámbito

Los ámbitos de los grupos permiten utilizar los grupos de forma diferente para asignar permisos. El ámbito de un grupo determina dónde se puede utilizar el grupo en la red. Los tres ámbitos de los grupos son dominio local, global y universal.

• Dominio local:  Se pueden añadir miembros desde cualquier dominio pero solo se pueden asignar permisos para acceder a recursos ubicados en el mismo dominio donde se ha creado el grupo. Se recomienda utilizarlos para agrupar cuentas con función similar. Por ejemplo, un sector, un cargo, etc.
• Global: Se pueden añadir miembros solo desde el dominio donde se creó pero se pueden asignar permisos para acceder a recursos ubicados en cualquier dominio del bosque.  Se recomienda utilizarlos para asignar permisos y derechos.
• Universal: Se pueden añadir miembros desde cualquier dominio y se pueden asignar permisos para acceder a recursos ubicados en cualquier dominio del bosque o dominio de confianza. Se recomienda la utilización cuando se requiere agrupar grupos globales de diferentes dominios.

Nota: Los grupos de seguridad universales solo están disponibles en modo nativo

Estrategia

Para una empresa mediana, la preferencia es:  A–> G –> DL <–P, que significa agrupar las cuentas en Grupos Globales, agrupar los Grupos Globales en Grupos Locales de Dominio y a estos últimos asignarle los Permisos.

Estrategia de uso de grupos

VI - Terminal Services

Proporciona acceso a programas basados en Windows que están instalados en un Servidor de Terminal Server o a todo el Escritorio de Windows. El acceso puede realizarse desde una red corporativa o desde Internet.

Cuando el usuario accede a un programa del servidor, la ejecución de éste se produce en el servidor y solo se transmite a través de la red la información de teclado, ratón y pantalla.

El usuario ve únicamente su sesión individual que se administra con transparencia por el SO del servidor y es independiente de cualquier otra sesión de cliente.

Terminal Services resulta especialmente útil cuando se tienen programas que se actualiza a menudo, se usan muy poco o son difíciles de administrar.

Ventajas

• Se pueden implementar rápidamente programas basados en Windows en todo tipo de dispositivos informáticos de la empresa.
• Se reduce considerablemente el ancho de banda necesario para tener acceso a aplicaciones remotas.
• Se puede acceder desde todo tipo de dispositivos, hardware de baja potencia e incluso SO diferentes de Windows.
• En el caso de software que gestione bases de datos centralizadas puede ocurrir que funcione mejor a través de TS que a través de la propia WAN.

Esquema de TS Gateway

Servicios

TS consta de los siguientes componentes o servicios:

• Terminal Server Permite al servidor hospedar programas basados en Windows o en su Escritorio. Los usuarios se conectaran al servidor para ejecutar programas, guardar archivos y usar los recursos del servidor.
• Acceso Web TS Permite a los usuarios obtener acceso a programas de acceso remoto y conectarse por escritorio remoto con el servidor de TS a través de un sitio web.
• Administrador de licencia de TS Licencias de Terminal Services (Licencias de TS) administra licencias de acceso al cliente de TS (TSCAL) que son necesarios para la conexión de cada dispositivo o usuario a un servidor de TS. Se usa este componente para para instalar emitir y supervisar la disponibilidad de TS CAL en un servidor de licencias de TS.
• Puerta de enlace de TS Permite a los usuarios remotos autorizados conectarse a recursos de una red corporativa desde cualquier dispositivo conectado a Internet.
• Agente de sesión de TS Admite el equilibrio de carga de sesión entre los servidores de TS de un conjunto de servidores y la reconexión a una sesión existente en un conjunto de servisores de TS con equilibrio de carga.

V - Windows Deployment Services (WDS)

Podemos definir los servicios WDS como el software que permite que un administrador configure nuevos equipos cliente de forma remota, sin necesidad de estar ubicados directamente en cada equipo cliente, para lo cual los clientes de destino deben admitir inicio remoto.

La tecnología de inicio remoto entorno de ejecución de inicio previo (PXE, Preboot eXecution Environment) basada en DHCP, se utiliza para instalar el SO en el equipo cliente desde un origen remoto. El origen remoto es el servidor de Servicios de Implementación de Windows, que contiene la imagen del SO que va a ser instalado en el equipo cliente.

WDS permite desplegar SO clientes tales como: WXP ó W7 aunque también admite SO servidores, como Windows Server 2008.

Esquema de imagen personalizada por WDS

Requisitos

El uso de los Servicios de Implementación de Windows requiere de varios roles o servicios  componentes que deben estar instalados previamente:

• Directorio Activo
• DNS.
• DHCP.

Además, el servidor WDS debe instalarse en una partición o unidad distinta de aquella en la que se ha instalado el SO Windows Server 2008

Componentes

• Componentes del servidor
  
  Entre ellos destacan un servidor PXE (Pre-Boot Execution Environment) y un servidor TFTP (Trivial File Transfer Protocol) para el arranque del sistema cliente desde la red y las primeras fases de carga e instalación de un sistema operativo. Se incluye además una carpeta compartida en la cual se ubica un conjunto de imágenes de arranque, de imágenes de instalación y de archivos que se precisan durante el proceso de arranque de red.

• Componentes del cliente
  
  Entre ellos destaca una interfaz gráfica de usuario (GUI) que se ejecuta con Windows PE (Entorno de Preinstalación de Windows), de modo que cuando un usuario selecciona la imagen del sistema operativo que desea instalar sobre el equipo cliente, los componentes del cliente se comunican con los del servidor para que sea instalada esa imagen.

• Componentes de gestión
  
  Básicamente son un conjunto de herramientas para administrar el servidor y las imágenes de SO cliente.

Funcionamiento

• La solicitud del equipo cliente de un inicio de servicio de red suele iniciarla el BIOS del sistema al arrancar por PXE, de modo que cuando el equipo cliente solicita un inicio de servicio de red, recibe una dirección IP por medio de DHCP.
• WDS responde a la solicitud de inicio y descarga el asistente para instalación de clientes.
• Después de que un usuario se autentique en el dominio con unas credenciales válidas para llevar a cabo la instalación se puede seleccionar la imagen que deseamos instalar de entre las que se encuentran disponibles en el servidor WDS.
• Para finalizar comienza el proceso de instalación desatendida de la imagen seleccionada en el servidor sobre la estación de trabajo cliente.

Esquema de funcionamiento WDS

WDS instalará de forma remota el SO deseado en la estación de trabajo de modo desatendido sin intervención del administrador; además la instalación será independiente del hardware propio de la máquina destinataria, es decir, si la imagen del SO que va ser instalado dispone de los drivers propios del hardware de la máquina destinataria, tras completarse la instalación la máquina quedará perfectamente operativa e integrada en el dominio.

WDS también puede crear imágenes personalizadas para los equipos de nuestro centro a partir de la configuración existente en uno de ellos.

Mejoras 

WDS  son la evolución natural de RIS, los Servicios de Instalación Remota (Remote Install Services) que se instalaban en la versión anterior del SO Windows 2003 Server. Las mejoras que ofrece WDS frente a su predecesor RIS son las siguientes:

• Posibilidad de desplegar como SO clientes Windows Vista, Windows 7 y Windows Server 2008.
• Sistema operativo de arranque basado en Windows PE.
• Imágenes creadas con archivos de Imágenes de Windows (WIM).
• Posibilidad de transmisión de los datos por multicast.
• Formato gráfico del menú de arranque.
• Interface gráfica de usuario para el despliegue de imágenes.

Terminología

Protocolo de inicio BOOTP

Es un protocolo estándar TCP/IP utilizado para la configuración de host que precede a DHCP, y que será utilizado por los servicios de instalación remota para atender las peticiones de instalación desatendida de los clientes.

Arranque por PXE

• Al encender el equipo, la BIOS solicita al servidor DHCP una IP y el nombre del servidor de inicio.
• El DHCP contesta a esta petición enviándole la dirección IP del servidor de inicio, así como información adicional.
• La BIOS solicita al servidor de inicio la rutina de inicio.
• El servidor de inicio le responde enviándole dicha rutina mediante el protocolo TFTP (Trivial File Transfer Protocol)
• El equipo cliente comienza el proceso de arranque.

En el caso de que el arranque PXE sea para WDS, tras enviarle la rutina de inicio al equipo cliente, el servidor le envía también una serie de programas adicionales, como el asistente para instalación de clientes de WDS, que pone a disposición del usuario el menú de imágenes existentes en el servidor. 

El cliente no necesita ningún controlador de ninguna marca determinada, ya que las tarjetas NIC compatibles con PXE utilizan la interfaz UNDI (Interfaz Universal de Controladores de Red).