viernes, 30 de septiembre de 2022

I - Introducción a las técnicas de red

Los diseñadores de redes han ido construyendo diferentes estrategias con la idea de simplificar el uso de redes complejas y facilitar la ubicación de los recursos de cara a los usuarios. Una LAN (Local Área Network, red de área local) puede ofrecer servicios de muy diversas maneras dependiendo del método empleado por la red. En esta entrada se describen 3 técnicas que han sido utilizadas para organizar los recursos en red: Servicios individuales, Grupos de trabajo y Servicios de directorio (LDAP)

Servicios individuales

La gran mayoría de las primeras redes incorporaban un solo servidor, de manera que los usuarios tenían poca dificultad para ubicar archivos, impresoras u otros recursos compartidos. Todo estaba situado en el servidor central, y los equipos individuales no podían compartir absolutamente nada con el resto de la red.

NetWare fue el SO dominante en redes pequeñas, normalmente con un único servidor y 30 o menos estaciones de trabajo. N
o requería un sofisticado servicio de administración de recursos, dado que todos los recursos que se compartían estaban conectados directamente al servidor pero si se necesitaba agregar un segundo servidor, el acceso a los recursos por parte de los usuarios y la administración se complicaban significativamente.

Como cada servidor individual mantenía su propia lista de usuarios y recursos, los usuarios tenían que tener cuentas independientes y también saber que recursos se alojaban en cada servidor. Por ello, no es una solución válida para la mayoría de las situaciones actuales y ha hecho que este tipo de redes hayan quedado obsoletas.

Esquema de Servicio individual

Grupos de trabajo

Los grupos de trabajo son conceptualmente opuestos a los servicios individuales. Los servicios individuales son formales y están administrados de forma centralizada por un único servidor; los grupos de trabajo son informales y operados por los usuarios que comparten sus propios recursos locales y no cuentan con ningún servidor. Este tipo de redes se conocen como redes peer to peer, entre pares o entre iguales (no confundir con punto a punto).


Las redes entre iguales se topan con dos problemas en las grandes organizaciones: hay tantos recursos disponibles que los usuarios pueden tener problemas para su localización y los usuarios no disponen de un método fácil para compartir los recursos sólo con un grupo limitado de compañeros

Una posible solución sería el uso de contraseñas para restringir el acceso a los recursos, por ejemplo mediante el cifrado. Sin embargo no es buena idea porque habría tantas contraseñas como recursos y si cambiamos alguna tendríamos que informar a todos los usuarios del recurso. Sería complicada la administración y no tendríamos buen nivel de seguridad.

Otra posible solución sería usar las ACL para controlar el acceso a los recursos sin tener que establecer contraseñas a los recursos. Para cada recurso indicaríamos que usuarios pueden acceder al mismo, pero tenemos el problema que sólo podremos escoger usuarios locales. Esto implica que si queremos acceder desde la red a un recurso compartido de una máquina tenemos que usar el nombre de usuario y la contraseña de un usuario local de dicha maquina.

Las organizaciones grandes o las que quieren más control sobre sus redes requieren algo más que grupos de trabajo. Por ello, Microsoft ha incorporado el concepto de dominio desde Windows NT Server. 

Observación

Los grupos de trabajo de Windows utilizan SMB (Server Message Block) como software para la conexión en red. Este software SMB corre sobre otro software conocido como NetBIOS (Network Basic Input Output System), y a su vez NetBIOS estaba diseñado para funcionar sobre el protocolo NetBEUI (NetBIOS Extended User Interface) aunque también existen implementaciones de NetBIOS sobre IPX/SPX y sobre TCP/IP que es la más usada hoy en día. Este software NetBIOS al ser muy antiguo (1984) es un protocolo de red bastante inseguro y sobre todo, tremendamente ruidoso (utiliza mucho el broadcast en red).
Servicios de directorio

Bajo este sistema, los recursos pueden estar situados en varios equipos, tanto servidores como no servidores, pero se recogen todos en una única lista o directorio (1). Los recursos pueden agruparse de manera lógica en dicho directorio para que los usuarios los localicen más fácilmente.

Los usuarios en vez de conectarse a los recursos de diversos servidores por separado tienen acceso a los recursos de la red a través del servicio de directorio, sin importar cuál servidor ofrezca el servicio o recurso.
El usuario ve el directorio de la red de una forma lógica y puede acceder a los recursos sin preocuparse de quien comparte dichos recursos e iniciar sesión una única vez en cualquier servidor siendo reconocido automáticamente por todos los servidores.
 
Algunos ejemplos de servicios de directorios de red son Banyan, X.500 o NetWare Directory Services, pero por su importancia actual estudiaremos LDAP, un estándar basado en X.500, pero bastante mejorado y simplificado, y que está diseñado para trabajar sin problemas en TCP/IP. 

(1) Directorio es un conjunto de objetos con atributos organizados en una manera lógica y jerárquica. Un ejemplo podría ser la guía telefónica, que consiste en una serie de nombres (personas u organizaciones) ordenadas alfabéticamente y a las que le corresponden una dirección y un número de teléfono adjuntos. 

LDAP 

LDAP (Lightweight Directory Access Protocol, Protocolo Ligero de Acceso a Directorios) es un protocolo a nivel de aplicación que permite el acceso a un servicio de directorio ordenado y distribuido para buscar diversa información en un entorno de red.
 
Los despliegues actuales de LDAP tienden a usar Sistema de Nombres de Dominio (DNS) para estructurar los niveles más altos de la jerarquía. Conforme se desciende en el directorio desde los componentes del dominio (dc) pueden aparecer entradas que representan organizaciones (o), unidades organizacionales (ou), impresoras, documentos, grupos de personas o cualquier cosa que representa una entrada dada en el árbol (o múltiples entradas).

Jerarquía LDAP

Habitualmente almacena la información de autenticación (usuario y contraseña) y es utilizado para autenticarse aunque es posible almacenar otra información (datos de contacto del usuario, ubicación de diversos recursos de la red, permisos, certificados, etc.). A manera de síntesis, LDAP es un protocolo de acceso unificado a un conjunto de información sobre una red.
 
Existen diversas implementaciones y aplicaciones reales del protocolo LDAP como pueden ser: 
  • Active Directory (Directorio Activo)
  • OpenLDAP
  • Red Hat DS.
  • Novell Directory Services
  • IPLanet, 
La implementación que vamos a estudiar en este tema es la de Active Directory, utilizada por Microsoft en sus versiones servidores y basada en LDAP versión 3. AD permite integrar otros sistemas que soporten el protocolo. En este LDAP se almacena información de usuarios, recursos de la red, políticas de seguridad, configuración, asignación de permisos, etc.
Dominio 

En los grupos de trabajo todas las cuentas de usuario son locales y se almacenan en cada equipo individual. Al ser una red entre iguales, ningún equipo confía en los demás y no se permite entrar en la maquina a usuarios que no estén en la lista de usuarios locales de dicha máquina. 

Una solución para este problema es crear cuentas globales o comunes, es decir cuentas que no pertenezcan a una sola máquina, sino que sean reconocidas en todas las máquinas de la red. Para hacer esto, necesitamos establecer un ordenador especial que va a ser el encargado de almacenar todas estas cuentas globales, mientras que las cuentas locales seguirán estando almacenadas en cada equipo normal.
Este ordenador especial en el que todos los demás ordenadores confían pasa a ser un servidor y nuestro grupo de trabajo se convierte en un dominio, dado que se ha establecido una relación de dominio de un equipo sobre los demás.

Dominio frente a Grupo de trabajo

Si queremos trabajar en un dominio, hay que indicar en todos los equipos que dejamos de trabajar en un grupo de trabajo, y queremos conectarnos a un dominio. Podemos decir que los equipos deben decidir dejar de ser independientes para pasar a ser dominados por el servidor.
Es importante visualizar que un dominio toma conceptos de los grupos de trabajo y de los servicios de directorio. Por tanto el hecho de que una máquina pase a formar parte de un dominio y disfrutar de los recursos puestos por el servidor no significa que ya no pueda compartir sus propios recursos. Ahora podrá hacer las dos cosas. Los usuarios reciben privilegios de conexión a un dominio más que a un servidor individual. Debido a que un dominio controla los recursos de varios servidores, es más fácil de administrar que una red con muchos servidores individuales.

Los servidores, dentro del dominio, anuncian sus servicios a los usuarios, que se conectan a todos los recursos del dominio para el cual han recibido autorización de acceso, sin importar desde que servidor se conectaron ni que servidor está prestando el recurso.

Cuando las redes se vuelven lo suficientemente amplias como para requerir varios dominios, los administradores pueden establecer relaciones de confianza (trust) entre los dominios. Estas relaciones simplifican la administración, ya que un usuario sólo requiere una cuenta en uno de los dominios. Los otros dominios que confían en el dominio de conexión del usuario pueden depender de que el dominio de conexión autentifique dicha conexión.

Esquema de dominio con un DC

Los servidores dentro del dominio pueden tener uno de los papeles siguientes:
  • Controladores de dominio: Pertenecen al dominio y contienen una copia de las cuentas de usuario y otros datos del Directorio Activo. Es obligatorio que haya al menos un controlador de dominio.
  • Servidores miembro: Pertenecen al dominio y no contienen una copia de las cuentas de usuario y de otros datos del Directorio Activo. Se usan para almacenar archivos y otros recursos de la red.
  • Servidores independientes: Otros servidores fuera del dominio que pueden pertenecer a otros grupos de trabajo.

jueves, 29 de septiembre de 2022

II - Active Directory (AD)

Directorio activo es el término que usa Microsoft para referirse a su implementación de servicio de directorio en una red distribuida de computadores. Utiliza distintos protocolos (como LDAP, DNS, DHCP, Kerberos, etc.). Su estructura jerárquica permite mantener una serie de objetos relacionados con componentes de una red, como usuarios, grupos de usuarios, permisos y asignación de recursos y políticas de acceso.

Características
  • Se basa en el uso de dominios, cada dominio contiene una serie de máquinas clientes, unos recursos y al menos un servidor que domina a los equipos clientes, este servidor se conoce como Controlador de Dominio (DC).
  • Podemos agrupar varios dominios formando árboles de dominio, estructuras donde cada uno de estos dominios cuenta con su propio DC. Esta agrupación de dominios se realiza de forma anidada, de la misma forma que anidamos carpetas en un volumen de datos. Cada dominio puede tener dominios padres y dominios hijos, y todos los dominios tienen un dominio padre menos el dominio raíz, que es el primero de todos.
  • Es posible crear una estructura que cuente con más de un árbol, estas estructuras de carácter superior al árbol se conocen como Bosque.
  • Para facilitar la administración podemos a su vez dividir un dominio en partes más pequeñas conocidas como Unidades Organizativas (OU).
  • Estas divisiones que hemos visto hasta ahora son divisiones “lógicas”, es decir, no tienen en cuenta donde están situados los equipos físicamente. AD también nos permite crear Sitios, estructuras de equipos “bien conectados” (que tienen un gran ancho de banda entre ellos).


Observación: Windows 2008 utiliza una nueva versión de AD conocida como Active Directory Domain Server (ADDS). Además para la comprensión del AD es necesario definir algunos elementos muy importantes: Catálogo global y Esquema.

Catálogo Global

El Catálogo global (CG) contiene una réplica completa de todos los objetos de directorio del dominio en que se aloja además de una réplica parcial de todos los objetos de directorio de cada dominio del bosque.
El objetivo de un CG es proporcionar autenticación a los inicios de sesión. Además, como un CG contiene información sobre todos los objetos de todos los dominios del bosque, la búsqueda de información en el directorio no requiere consultas innecesarias a los dominios. Una única consulta al CG produce la información sobre donde se puede encontrar el objeto.
El primer controlador de dominio Windows Server de un bosque es automáticamente un servidor de Catálogo global. De forma predeterminada, habrá un CG, pero cualquier controlador de dominio se puede configurar como servidor de Catalogo global. Si se necesitan servicios de inicio de sesión y búsqueda adicionales, se pueden tener múltiples servidores de Catalogo global en el dominio.

Esquema

Es una lista general de clases de objetos y atributos que se utilizan para crear todos los objetos de Active Directory como, por ejemplo, usuarios, equipos, impresoras...
Es un archivo de texto que los usuarios pueden leer y así saber que objetos y propiedades del AD se encuentran disponibles. El esquema se puede desactivar o cambiar, para que administradores avanzados puedan personalizar sus características. Solo hay un esquema para todo un bosque.
Árbol de Dominios

Es una estructura jerárquica de dominios que comparten un espacio de nomenclatura contiguo (1), un esquema común y un catálogo global común.
Por ejemplo, los dominios dominio.local y subdominio.dominio.local pueden formar parte de un árbol ya que comparten una nomenclatura contigua y puede tener un esquema y catálogo global comunes.


(1) Espacio de nomenclatura es el conjunto de nombres que representan a un dominio y que sea contiguo significa que la primera parte del nombre del dominio es común (por ejemplo, dominio.local).
Bosque

Colección de árboles de dominio que aunque no comparten un espacio de nomenclatura contiguo, tienen un esquema común y un catálogo global. Por ejemplo, los dominios de dominio.local y s3v.local pueden formar parte de un bosque ya que no comparten una nomenclatura contigua, pero pueden tener un esquema común y un catálogo global común.


Unidades Organizativas

Es la unidad más pequeña en la que se divide un dominio y a la que se puede delegar el control administrativo. Son contenedores del AD en los que se pueden colocar usuarios, grupos, equipos y otras unidades organizativas del dominio donde se encuentran definidas (Una OU no puede contener objetos de otros dominios)

Con las Unidades Organizativas se pueden crear contenedores dentro del dominio que representen las estructuras lógicas y jerárquicas de la organización. De esta forma, el control administrativo de cada OU se puede delegar en personas específicas, distribuyendo las tareas del dominio entre varios administradores.


Si se necesita dividir una parte de la red en dominios o unidades organizativas se deben tener en cuenta las siguientes recomendaciones:
  • Si se trata de una organización descentralizada en la que los distintos usuarios y recursos son administrados por grupos totalmente diferentes de administradores, es conveniente dividir la red en dominios independientes.
  • Si dos partes de la misma red están separadas por un vínculo lento que hace prácticamente imposible que el tráfico de una replicación completa pueda atravesarlo, conviene dividir la red en dominios independientes.
  • Si se desea delegar el control administrativo en pequeños conjuntos de usuarios, grupos y recursos conviene dividir el dominio en unidades organizativas.
  • Si se necesita reflejar la estructura de la organización, conviene dividir el dominio en unidades organizativas.
  • Si la estructura de esa parte específica de la organización puede sufrir modificaciones futuras, conviene dividir el dominio en unidades organizativas.

miércoles, 28 de septiembre de 2022

III - Domain Name System (DNS)

Todos los hosts con TCP/IP tienen una dirección de IP única que se utiliza para la comunicación con otros equipos de la red. Un equipo trabaja fácilmente con direcciones IP, pero estas direcciones son muy difíciles de usar para las personas, ya que los usuarios suelen identificar los sistemas por un nombre. Para facilitar una comunicación efectiva y eficiente, los usuarios deben poder referirse a los equipos por un nombre y permitir que su equipo use su dirección de IP transparentemente.

DNS es un servicio de nombres estándar que permite que un equipo cliente de la red registre y resuelva nombres de dominio de DNS. Estos nombres se utilizan para encontrar y acceder a recursos de otros equipos de la red o de otras redes como Internet.

Los tres componentes principales de DNS son los siguientes: 
  • Clientes DNS: Un programa cliente DNS que se ejecuta en la computadora del usuario y que genera peticiones DNS de resolución de nombres a un servidor DNS (Por ejemplo: ¿Qué dirección IP corresponde al nombre www.asirlasgalletas.com?).
  • Servidores DNS: Que contestan las peticiones de los clientes. Los servidores recursivos tienen la capacidad de reenviar la petición a otro servidor si no disponen de la dirección solicitada.
  • Zonas de autoridad: Son porciones del espacio de nombres de dominio que almacenan los datos. Cada zona de autoridad abarca al menos un dominio y habitualmente sus subdominios siempre que estos no sean delegados a otras zonas de autoridad.

El espacio de nombres de dominio está estructurado de manera jerárquica en un árbol que empieza en una raíz sin nombre para todas las operaciones de DNS. En el espacio de nombres DNS cada nodo y cada hoja en el árbol del espacio de nombres de dominio representan un dominio con nombre. Cada dominio puede tener dominios hijos adicionales.

Ejemplo de Espacio de nombres

Un nombre de dominio concreto es la lista de etiquetas en la ruta desde el nodo nombrado hasta la raíz del árbol de DNS. La convención de DNS es que las etiquetas que componen un nombre de dominio se leen de izquierda a derecha, desde lo más concreto hasta la raíz, por ejemplo, sanson.dit.upm.es

Este nombre completo se denomina  
FQDN (Fully Qualified Domain Name)La parte más a la izquierda del dominio suele expresar el nombre de la máquina (hostname), sanson en el ejemplo de arriba. Más a la izquierda aún se puede colocar un prefijo como www, ftp, etc. Estos prefijos no forman parte real del nombre DNS y solo se utilizan para indicar qué tipo de protocolo se va a usar para la conexión.
En la práctica configuraremos un servidor DNS local, es decir, las entradas existentes en nuestro DNS no serán visibles en Internet y resolverán direcciones de recursos de nuestra red local (equipos, impresoras, servidores web, servidores ftp, etc).
  • Si el usuario intenta acceder a un recurso local, podrá utilizar la resolución creada para tal fin en el DNS local, y acceder así al recurso deseado mediante su nombre en vez de utilizar su dirección IP.
  • Si el usuario desea acceder a algún recurso no perteneciente a nuestra red local, sino situado en Internet, el DNS local nunca podrá llevar a cabo dicha resolución y trasladará dicha solicitud al siguiente servidor DNS (que sí estará en Internet) en su jerarquía de servidores DNS, y así sucesivamente hasta que resuelva dicha resolución.


Ejemplo de jerarquía DNS

Cada vez que una estación de trabajo se agregue al dominio quedará registrada una entrada en el DNS
del servidor Windows Server 2008 con el nombre de dicha máquina y su dirección IP, de modo que podremos acceder a dicho equipo desde nuestro dominio a través de su nombre en vez de utilizar su dirección IP.

El servicio DNS es extremadamente útil cuando las estaciones de trabajo reciben su dirección IP dinámicamente mediante el servicio DHCP ya que el comando "ping" podría fallar al ejecutarlo sobre la IP pero no fallaría si se ejecuta contra el nombre del equipo en el dominio, pues dicho nombre de equipo es invariable, y por lo tanto el comando "ping" siempre obtendría respuesta positiva en este segundo caso.
Antes de comenzar con los procesos de instalación y configuración de nuestro DNS, vamos a definir algunos términos que utilizaremos a lo largo de dicho proceso.
  • Zona de Búsqueda Directa: Este tipo de zona realiza las resoluciones que esperan como respuesta la dirección IP de un determinado recurso en función de su nombre.
  • Zona de Búsqueda Inversa: Este tipo de zona realiza la resoluciones que esperan como respuesta un nombre de recurso en función de su dirección IP.
  • Reenviador DNS: Servidor DNS designado por otros servidores DNS para ser invocado en consultas de resolución de recursos que se encuentran ubicados en dominios que no son gestionados por el DNS local.

DNS y el Directorio activo

DNS es el ubicador de Active Directory en Windows. Los clientes y las herramientas de cliente de Active Directory usan DNS para ubicar los controladores de dominio para tareas de administración e inicios de sesión. Para que AD funcione correctamente, deberá tener un servidor DNS instalado y configurado.

martes, 27 de septiembre de 2022

IV - Dinamic Host Configuration Protocol (DHCP)

Cada equipo de una red TCP/IP debe tener un nombre y una dirección IP únicos. La dirección IP, junto con su máscara de subred relacionada, identifica al equipo host y a la subred a la que está conectado. DHCP permite asignar dinámicamente los parámetros de red a los clientes, a partir de una base de datos de direcciones IP del servidor DHCP de la red local.



Las estaciones de trabajo solicitan al servidor DHCP su dirección IP y demás configuraciones, el cual les va asignando direcciones del rango que sirve, de entre aquellas que le quedan libres; es necesario que los clientes estén configurados para utilizar un servidor DHCP, en lugar de estar configurados manualmente con una dirección IP estática.


Ventajas
  • Administración centralizada: El administrador de DHCP puede administrar de manera centralizada toda la información de configuración de IP. De esta forma se elimina la necesidad de configurar manualmente los hosts individualmente cuando se implanta por primera vez TCP/IP o cuando se necesitan cambios en la infraestructura de IP.
  • Sencillez y seguridad de configuración: DHCP asegura que los clientes obtienen parámetros de configuración de IP precisos y en tiempo, sin intervención del usuario. Como la configuración es automática se elimina gran parte de los problemas como puedan ser conflictos de direcciones.
  • Flexibilidad. Utilizando DHCP, el administrador aumenta su flexibilidad para el cambio de la información de configuración de IP, lo que permite que el administrador cambie la configuración de IP de manera sencilla cuando se necesitan los cambios.
Observación
Si por error algún equipo de la red estuviera configurado con un direccionamiento IP estático del rango gestionado por nuestro servidor DHCP, podría ocurrir que cuando nuestro servidor DHCP alquilase una dirección IP a la estación de trabajo solicitante, dicha dirección IP estuviese siendo utilizada por el equipo con direccionamiento estático, provocándose un conflicto de direccionamiento IP; en ese caso el cliente DHCP solicitará otra dirección IP y la probará, hasta que obtenga una dirección IP que no esté asignada actualmente a ningún otro equipo de la red; por cada conflicto de direcciones IP, el cliente volverá a intentar configurarse automáticamente hasta con 10 direcciones IP.

Funcionamiento

1) El cliente DHCP ya ha obtenido anteriormente una concesión de licencia de un servidor DHCP.
Cada vez que el cliente arranque de nuevo, se comportará del siguiente modo:
  • Si la concesión de alquiler de licencia ha caducado, el cliente solicitará una nueva licencia al servidor DHCP (la asignación de la dirección IP que haga el servidor podría coincidir con la anterior).
  • Si la concesión de alquiler no ha caducado  intentará que le sea asignada la misma dirección IP. Si no puede localizar un servidor DHCP hará un "ping" a la puerta de enlace. Si el "ping" es satisfactorio, el cliente DHCP supone que sigue ubicado en la misma red en que obtuvo su concesión actual y continuará utilizándola. Si el "ping" es erróneo, el cliente supone que ha sido movido a otra red en que los servicios DHCP no están disponibles, y configura automáticamente su dirección IP a una dirección de la red de clase B reservada de Microsoft, 169.254.0.0, con máscara de subred 255.255.0.0 (obviamente el equipo no conectará con la red). Después buscará un servidor DHCP en segundo plano cada cinco minutos para obtener una concesión.

2) El cliente nunca ha obtenido una concesión de licencia de un servidor DHCP.
El cliente intenta localizar un servidor DHCP y obtener una configuración del mismo. Si no lo encuentra configura automáticamente su dirección IP a una dirección de la red de clase B reservada de Microsoft, 169.254.0.0, con máscara de subred 255.255.0.0 (obviamente el equipo no conectará con la red). Después buscará un servidor DHCP en segundo plano cada cinco minutos para obtener una concesión.
Algunos  términos que utilizaremos a lo largo del proceso de instalación y configuración del DHCP:
  • Ámbito servidor DHCP: Un ámbito es un agrupamiento administrativo de equipos o clientes de una subred que utilizan el servicio DHCP.
  • Rango servidor DHCP: Grupo de direcciones IP en una subred determinada que el servidor DHCP puede conceder a los clientes.
  • Concesión o alquiler de direcciones: Período de tiempo que los servidores DHCP especifican, durante el cual un equipo cliente puede utilizar una dirección IP asignada.
  • Autorización servidor DHCP: Habilitación del servidor DHCP instalado para que sirva direcciones IP a los clientes pertenecientes al dominio gestionado por Active Directory.
  • Servidor WINS: Permite registrar nombres de recursos de red NetBIOS, y resolver éstos a sus direcciones IP correspondientes; se suele utilizar en estaciones de trabajo que ejecutan versiones antiguas de sistemas operativos de Microsoft.
  • Reserva: es un mecanismo que permite a DHCP servir siempre a un equipo la misma dirección IP utilizando la dirección MAC de su tarjeta de red.
  • Exclusión: Dirección o rango de direcciones que el servidor DHCP no va a repartir de forma dinámica y que habitualmente se usan para ser asignadas de forma estática a determinados equipos o periféricos de red.

lunes, 26 de septiembre de 2022

VI - Usuarios y Grupos del dominio

La cuenta de un usuario del dominio registra toda la información necesaria para su definición en Windows Server:
  • Nombre de usuario y contraseña (necesarios para iniciar sesión)
  • Grupos a los que pertenece el usuario
  • Derechos y permisos que tiene el usuario para utilizar el equipo y la red, así como para tener acceso a sus recursos.
En un DC de WS, la herramienta Usuarios y equipos de Active Directory permite administrar usuarios y equipos del dominio creando por ejemplo grupos de usuarios y equipos.

Los usuarios y los equipos del dominio son objetos del Directorio Activo del DC de WS y pueden ser incluidos en los grupos de usuarios y/o equipos del dominio que se desee. Por defecto si no se indica lo contrario son incluidos en los grupos de seguridad Usuarios del dominio y Equipos del dominio respectivamente.

El objetivo de los grupos es lograr una eficaz gestión del dominio a través de la asignación de permisos sobre los recursos al propio grupo en lugar de hacerla de forma individual sobre cada uno de sus componentes.
Los usuarios y los equipos pueden pertenecer a más de un grupo y a un determinado recurso pueden acceder  usuarios y equipos de varios grupos. También podemos hacer que un determinado grupo pertenezca a otros grupos ya existentes.
Esquema usuarios - grupos - recursos

Cuando se crea un grupo se debe seleccionar un tipo y un ámbito del grupo. 

Tipos

Active Directory trabaja con dos tipos de grupos predeterminados:
  • Grupos de seguridad:  Se usan para otorgar permisos y así, obtener acceso a los recursos.
  • Grupos de distribución:  Se usan por aplicaciones Windows para realizar funciones no relacionadas con la seguridad, como enviar mensajes de correo electrónico a grupos de usuarios. No se puede otorgar permisos a estos grupos.
Ámbito

Los ámbitos de los grupos permiten utilizar los grupos de forma diferente para asignar permisos. El ámbito de un grupo determina dónde se puede utilizar el grupo en la red. Los tres ámbitos de los grupos son dominio local, global y universal.
  • Dominio local:  Se pueden añadir miembros desde cualquier dominio pero solo se pueden asignar permisos para acceder a recursos ubicados en el mismo dominio donde se ha creado el grupo. Se recomienda utilizarlos para agrupar cuentas con función similar. Por ejemplo, un sector, un cargo, etc.
  • Global: Se pueden añadir miembros solo desde el dominio donde se creó pero se pueden asignar permisos para acceder a recursos ubicados en cualquier dominio del bosque.  Se recomienda utilizarlos para asignar permisos y derechos.
  • Universal: Se pueden añadir miembros desde cualquier dominio y se pueden asignar permisos para acceder a recursos ubicados en cualquier dominio del bosque o dominio de confianza. Se recomienda la utilización cuando se requiere agrupar grupos globales de diferentes dominios.
Nota: Los grupos de seguridad universales solo están disponibles en modo nativo

Estrategia

Para una empresa mediana, la preferencia es:  A–> G –> DL <–P, que significa agrupar las cuentas en Grupos Globales, agrupar los Grupos Globales en Grupos Locales de Dominio y a estos últimos asignarle los Permisos.
Estrategia de uso de grupos

viernes, 23 de septiembre de 2022

VII - Perfiles de Usuario

En Windows, un perfil de usuario consiste en un espacio de almacenamiento donde se guardan los documentos del usuario, distintas preferencias, la organización de su escritorio, los favoritos del navegador web, las configuraciones del registro de sistema de dicho usuario, etc.

Cuando trabajamos con un SO cliente, este perfil se almacena localmente (en la maquina donde trabajamos) en una carpeta determinada, Usuarios\Nombre del usuario en Vista, Windows 7, Windows 8. 

Una de las ventajas de montar un dominio, es que podemos utilizar perfiles que no se almacenen localmente. En un dominio podemos utilizar:
  • Perfiles de usuario locales
  • Perfiles de usuario móviles
  • Perfiles de usuario obligatorios

Perfiles Locales

Estos perfiles son los habituales, cada usuario guarda su perfil en un directorio de la maquina local donde inicia sesión. Es un tipo de perfil que precisa que los usuarios siempre usen el mismo ordenador si quieren poder acceder a sus documentos.

Es la opción por defecto del dominio si no configuramos nada, pero usar perfiles locales en un dominio tiene desventajas claras:

  • Si los usuarios suelen cambiarse de ordenador se van creando perfiles en cada máquina diferentes.
  • Si el ordenador local se estropea o tiene que ser cambiado, el usuario se encontrará con que ha perdido sus datos (salvo que haya hecho copia).
  • Cada vez que queramos hacer una copia de seguridad de todo, tendremos que ir ordenador por ordenador copiando sus perfiles, y nos encontraremos con diferentes versiones de un mismo fichero.

Si en la ruta de acceso del perfil no ponemos nada, se configura el perfil como local y se almacena en el propio equipo local del usuario como hemos comentado.
Perfiles Móviles

Este tipo de perfil se almacena en una carpeta de red, normalmente ubicada en el propio controlador de dominio.

Un perfil móvil funciona de la forma siguiente:
  • 1) Cuando el usuario abre sesión en una maquina cliente del dominio, se carga su perfil móvil desde el servidor, y se guarda una "copia" en la maquina cliente.

  • 2) El usuario trabaja en la maquina cliente, y trabaja sobre dicha "copia", por lo que en realidad se comporta como si fuera un perfil local, es decir, cuando se guarda un documento se guarda localmente, no en el servidor.

  • 3) Cuando el usuario cierra sesión, el perfil local se sincroniza con el perfil que está almacenado en el servidor, añadiendo todos los nuevos documentos, modificaciones, cambios en la configuración, etc.

Da la impresión de que el perfil se “mueve” entre los ordenadores siguiendo al usuario, es por ello que se le da el nombre de perfil móvil.

Respecto al punto 2 el funcionamiento es así por dos razones:
  • Para no sobrecargar la red ni el dominio, si el usuario trabajara sobre el perfil móvil del servidor directamente, habría que estar continuamente enviando información entre la máquina y el servidor y sería muy lento desde el punto de vista del usuario.
  • Para poder seguir trabajando aunque el servidor deje de estar operativo momentáneamente.
Consideraciones:
  • El perfil local es una copia del perfil móvil que está almacenado en el servidor. ¿Pero qué ocurre si cuando llega el momento de cerrar sesión el servidor no está operativo y no se puede sincronizar?
  • Si un usuario puede iniciar sesión en cualquier máquina del dominio, ¿Qué ocurre si inicia sesión más de una vez?
Perfiles Obligatorios

Un perfil móvil nos permite que un usuario pueda iniciar una sesión desde diferentes clientes, manteniendo su escritorio de trabajo. Sin embargo, en muchas ocasiones esto no es suficiente y necesitamos además que el usuario no pueda realizar cambios en ese perfil.
Para ello, sólo tenemos que convertir el perfil móvil en obligatorio. Algo que se consigue sólo con modificar el nombre del un archivo oculto, que inicialmente se llama NTUSER.DAT por el de NTUSER.MAN. Un único perfil obligatorio "de solo lectura" se suele compartir con múltiples usuarios.

jueves, 22 de septiembre de 2022

VIII - Directivas de grupo (GPO)

Las políticas o directivas de grupo son un conjunto de reglas que controlan el entorno de trabajo de cuentas de usuario y de equipo cuando se accede de forma autenticada a un dominio. Permiten  gestionar de forma centralizada la configuración de Sistemas Operativos, Aplicaciones y Usuarios en un entorno de Active Directory.

Por ejemplo se puede bloquear el Administrador de tareas, restringir el acceso a determinadas carpetas, deshabilitar la descarga de archivos ejecutables, etc.

Las GPO se puede vincular a Sitios, Dominios y OU de Active Directory. 
  • Dentro de AD, un dominio representa el límite de seguridad en una red y tiene sus propias Directivas y Relaciones de Seguridad con otros dominios de AD.
  • Mientras que los dominios pueden abarcar más de una ubicación física y representan la estructura lógica de la organización, los sitios representan la estructura física de red y están formados por un conjunto de equipos en una o varias subredes IP.
  • A su vez las OU son los contenedores de menor nivel en AD y se usan para organizar equipos, usuarios, grupos y otras OU de acuerdo con las necesidades administrativas.

Aplicación de GPO. Herencia

Al igual que los permisos, las Políticas que apliquen a un contenedor superior serán también aplicadas a los contenedores inferiores siguiendo un mecanismo de herencia

Por ejemplo todas las GPO aplicadas a nivel de dominio aplicarán a las UO de dicho dominio. Todas las GPO aplicadas a nivel de UO principal aplicarán a también a sus UO secundarias y así sucesivamente.

Orden de aplicación entre contenedores
A un determinado usuario o equipo, se le pueden aplicar diferentes directivas de grupo a distinto nivel, de modo que si existen el orden en que éstas son aplicadas será el siguiente: local, sitio, dominio, unidad organizativa principal, unidad organizativa secundaria, etc. siempre siguiendo el orden especificado administrativamente.

Recordar: Cuando existan directivas definidas en varios contenedores las GPO más cercanas al equipo destino tienen preferencia sobre las más alejadas en la estructura organizativa.
Si nos fijamos en un contenedor específico, lo fundamental es entender la manera que tiene WS de implementar el orden de procesamiento de las directivas: siempre desde abajo hacia arriba, es decir comenzando con  la directiva que tiene un mayor número de precedencia hasta llegar a la directiva con menor número de precedencia (el 1).

En el caso de que un contenedor tenga vinculada una lista de directivas, donde algunas de ellas se contradigan (incoherentes), prevalecerá la que esté más alta en dicha lista (menor número de precedencia). Si las directivas no se contradicen se irán acumulando.

Orden de precedencia de directivas
Nota-1: Pese a su nombre, directivas de grupo, no pueden ser vinculadas a grupos de usuarios o equipos, sino que deben ser aplicadas exclusivamente sólo a Sitios, Dominios o UO, afectando el resultado de su aplicación a los usuarios y a los equipos de Active Directory.

Nota-2: Las directivas de grupo tienen prioridad sobre las opciones de configuración del perfil del usuario en caso de que se cree un conflicto entre ambas configuraciones.

Exigir o Bloquear

Como hemos podido comprobar AD está estructurado jerárquicamente y si aplicamos una GPO en un contenedor (sitio, dominio y UO) se propagará a todos los elementos inferiores y se aplicará de forma predeterminada.

Existe la posibilidad de 
Bloquear la herencia en un determinado contenedor, lo que implica que las GPO que se propaguen desde contenedores superiores no le afecten ni a él ni a ninguno de sus elementos descendientes si los tuviera. Un ejemplo común es impedir la aplicación de directivas del dominio por ejemplo a los Administradores.


Bloquear la herencia en un contenedor
También se puede Exigir la propagación de GPO's sobre un contenedor, lo que significará que se aplicarán a todos los contenedores inferiores de la jerarquía incluso si alguno trata de bloquear la herencia.

Exigir una directiva

Gpo de Inicio

Las starters o GPOs de inicio son unas directivas especiales que se crean previamente basadas en un conjunto de Plantillas Administrativas muy concretas y a las que luego podemos incorporar todas aquellas directivas que nos interesen.
Las Plantillas administrativas inicialmente se pueden basar en:
  • Equipo: Componentes de Windows, Impresoras, Panel de control, Red o Sistema.
  • Usuario: Escritorio Activo, Carpetas compartidas, Componentes de Windows, Menú inicio y barra de tareas, Panel de control, Red o Sistema.
Las GPOs de inicio se pueden guardar en archivos comprimidos .cab y se pueden importar en otro entorno diferente que requiera de las mismas características.

Existen una serie de GPOs de inicio de recomendación del fabricante, que pueden resultarnos bastante útiles para distintos clientes o entornos.

Starters recomendadas por Microsoft

Si necesitamos que un conjunto de equipos de nuestro AD posean una característica común, y esa característica puede ser establecida mediante una plantilla de GPO, podemos definir una GPO de inicio que incorpore dicha característica, probarla, ver que funciona correctamente y usarla para que sea la base de una GPO más completa a la que yo quiero que se vean sometidos, por ejemplo los equipos que pertenezcan a una UO concreta.

El uso de las GPOs de inicio se recomienda para crear por ejemplo un grupo de ajustes, quizás de seguridad, que afecten a un grupo concreto de equipos o de usuarios.
Filtros WMI

Son unas consultas en un lenguaje próximo a SQL (WQL) que nos van a permitir variar el ámbito de aplicación de las GPO's interactuando con los equipos a los que se apliquen las políticas.

Por ejemplo, supongamos que generamos una directiva para instalar un Service Pack de Windows, asignamos el MSI a la misma y la aplicamos a toda la OU de equipos de nuestro entorno. Pero ¿qué pasa si tenemos equipos en nuestro entorno con poco espacio en disco C como para instalarse el Service Pack? No sería adecuado hacer la instalación. En ese caso podemos utilizar un filtro WMI que se fije el espacio en disco libre y solo si supera la cantidad que nosotros designemos se aplicará la política.

Una directiva solo puede tener un único filtro WMI asociado, sin embargo un filtro puede estar afectando a varias directivas. Los filtros pueden ser consultas sencillas o más complejas y además se pueden exportar e importar.

Algunos ejemplos de aplicación de filtros son los que se aplican en función de: Espacio libre en disco, tipo de Sistema Operativo, nombres de equipo, actualizaciones instaladas, marca y modelo del fabricante, etc.

Ejemplo Filtro WMI

WMI= Windows Management Instrumentation
Ver también WMI Code Creator

miércoles, 21 de septiembre de 2022

IX - Directivas de Instalación de Software

Se trata de directivas que nos van a permitir que el servidor WS distribuya software a las estaciones de trabajo y/o usuarios del dominioEl software se distribuye en forma de MSI, que son unos paquetes informáticos de instalación de Microsoft que contienen toda la información necesaria para automatizar la instalación del software correspondiente sin necesidad de intervención manual del usuario.

Windows Installer

Es la tecnología que permite realizar las instalaciones desatendidas. El nombre se debe al servicio de WS necesario para que funcione.

Se compone de dos partes: 
Servicio de instalador de cliente (Msiexec.exe) y un Archivo de paquete (.MSI).
  • El instalador realiza todas las tareas de la instalación: copiar archivos a un disco duro, realizar modificaciones de registro, crear accesos directos en el escritorio, etc.
  • El MSI contiene una base de datos que almacena todas las instrucciones y los datos requeridos para instalar y desinstalar el programa: número de serie del producto, lugar de instalación, etc.
Ventajas
  • Instalaciones y desinstalaciones desatendidas de software
  • Actualizaciones y modificaciones de los paquetes previamente instalados
  • Personalización de los paquetes mediante ficheros MST
Procedimiento

Tanto si distribuyo un paquete a un usuario o a un equipo a través de una directiva los pasos son similares
  • Compartir una carpeta en una unidad de red, ubicada normalmente en el Servidor y con permisos de lectura para los usuarios del dominio.
  • Crear una carpeta en la carpeta compartida anteriormente y copiar el MSI y el resto de ficheros que conforman el software que va a ser distribuido.
  • Crear una nueva directiva de grupo sobre el Dominio (a través de default domain policy si se desea) o sobre la UO destinataria del paquete.
  • Configurar el paquete a instalar a través de la nueva directiva de grupo creada.

Importante
: En este último paso dependiendo si la directiva se aplica a un usuario o equipo es cuando seleccionaremos el  tipo de instalación: Asignar a equipos o Asignar/Publicar a usuarios.

Selección del tipo de instalación


Asignar a equipos

La aplicación se anuncia e instala cuando es seguro hacerlo. Normalmente esto ocurre cuando el equipo se inicia, de manera que no hay procesos compitiendo en el equipo.


Asignar o Publicar a usuarios

Asignar
instalará la aplicación por primera vez cuando el usuario la active desde el menú de Inicio. Publicar requiere que el usuario la instale 
mediante Agregar o quitar programas en el Panel de control del equipo cliente.

Tanto asignar como publicar podrían desatar la instalación de la aplicación automáticamente si el usuario hace clic sobre un archivo asociado con dicha aplicación. Las aplicaciones publicadas almacenan sus atributos en AD.

Observaciones: 

Si por ejemplo distribuyo un programa a estaciones de trabajo del dominio, al integrar una nueva estación de trabajo en el dominio, etc., el programa se reinstalará de forma automática.

Si se produce un problema en un paquete MSI instalado en una estación de trabajo, el usuario podrá solventarlo reinstalando el paquete por medio de la opción de reparación del Panel de Control de su estación de trabajo.

Tipos de archivo

Finalmente indicaremos que para realizar una gestión centralizada de la instalación del software mediante directivas de grupo, podemos utilizar los siguientes tipos de archivo: 

Instalación (MSI)

Estos archivos los proporciona normalmente el distribuidor de software para facilitar la instalación de una aplicación concreta. Hay que mantener estos archivos, con cualquier otro archivo necesario, en el punto de distribución del software administrado.

Transformación (MST)

Estos archivos, también llamados modificaciones, personalizan la instalación de un paquete de Windows Installer al realizarse la asignación o publicación. Por ejemplo, pueden especificar un subconjunto de una serie de aplicaciones.

Revisión (MSP)

Se pueden distribuir de esta forma los archivos de solución de problemas, paquetes de servicio y otros archivos similares. Las revisiones no deben usarse para cambios importantes y sus efectos están limitados.

Archivos ZAP (ZAP)

Son similares a los archivos .INI, se crean con un editor de textos como el Bloc de notas. Sólo se pueden publicar (no asignar) y especifican un programa de instalación ejecutable que aparece en Agregar o quitar programas del Panel de control del usuario. El usuario que realice la instalación debe tener derechos administrativos para ello en el equipo local.

martes, 20 de septiembre de 2022

X - Servicios de Impresión

Windows Server permite compartir recursos de impresión en toda la red, de modo que clientes de una gran variedad de equipos y SO podrán enviar trabajos de impresión a impresoras conectadas localmente a servidores, equipos o a impresoras conectadas directamente a la red o incluso a través de internet.

En referencia al término impresoras hay que distinguir entre impresora física y lógica.

Impresora física: Es el dispositivo hardware real que hace posible la impresión
Impresora lógica: Son cada unos de los posibles interfaces de impresión que el SO permite implementar sobre la impresora física. 

Se pueden tener varias impresoras lógicas actuando sobre una sola impresora física y como los trabajos se colocan en la colas de las impresoras lógicas antes de enviarse a la impresora física este mecanismo permite la posibilidad de asignar prioridades diferentes a las colas independientemente de como esté compartida la impresora.

Servidor de impresión

Un servidor de impresión abarca cualquier dispositivo capaz de administrar trabajos de impresión y permite administrar la configuración de los controladores y compartir los dispositivos de impresión.
Hasta ahora hemos usado los servidores de impresión de los equipos clientes (Windows 10) que disponen de ciertas características avanzadas (comunes también a Windows Server) como son:
  • Posibilidad de administrar otros servidores de impresión Windows que se encuentre en cualquier ubicación de la red.
  • Permitir que un equipo cliente pueda utilizar la impresora sin que sea necesario instalar de forma expresa un controlador para dicha impresora en ese equipo sino que el controlador se descargue automáticamente cuando el cliente se conecte al servidor de impresión.
Además de estas características los servicios de impresión en Windows Server con el rol AD permiten publicar impresoras el el directorio, implementar impresoras en el dominio a través de GPO y centralizar el control y uso de los dispositivos de impresión sobre la figura del administrador del dominio 

Modos de compartir una impresora
  • Conectada locamente al servidor: La impresora se instala, configura y comparte en el servidor donde esta conectada que hará de servidor de impresión de la misma.
  • Conectada a otro equipo remoto: El servidor de impresión de Windows Server en este caso gestiona una impresora que físicamente se encuentra instalada y compartida en otro equipo.
  • Conectada a la red: El servidor de impresión de Windows Server gestiona una impresora que está conectada directamente a la red porque bien dispone de un interfaz de red propio o lo hace a través de un dispositivo específico que realiza dicha función (Print server o "servidor de impresión físico")
¿Con o sin servidor de impresión Windows Server?

Independientemente de como esté compartida la impresora los clientes se pueden conectar a las impresoras publicadas AD a través de los servicios de impresión de Windows Server o a través de los servicios de otro equipo que no sea el servidor. 

Por ejemplo, el acceso de un cliente del dominio a una impresora conectada directamente a la red puede configurarse de dos maneras:
  • Sin servidor Windows Server: Agregando la impresora directamente a cada equipo del dominio. En este caso, el cliente accede directamente a la impresora de red o al Print Server correspondiente sin que el equipo "SERVIDOR" tenga conocimiento alguno de los procesos de impresión que se ejecutan.
  • Con servidor Windows Server: Se agrega la impresora al servidor de impresión lógico de Windows Server y posteriormente el usuario la usa a través de dicho servidor de impresión lógico. Los equipos clientes tienen que conectarse al servidor de impresión lógico de Windows Server para imprimir.

Ventajas de utilizar el servidor de Windows Server para imprimir
  • Una sola cola de impresión para todos los equipos (en vez de una para cada equipo) lo que permitiría a los usuarios comprobar dónde se encuentra su trabajo de impresión respecto al resto de los trabajos en espera y conocer el verdadero estado de la impresora. En múltiples colas sólo se mostrarán los trabajos de impresión enviados desde el equipo en cuestión, no siendo posible determinar dónde se encuentra el trabajo de impresión en relación con los demás, ni se podrán ver mensajes de error (atascos, bandeja vacía, etc.)
  • Parte del procesamiento se transferirá del equipo cliente al servidor de impresión y así el equipo cliente no asumirá toda la carga.
  • Puede ser establecido un registro único para aquellos administradores que deseen auditar los sucesos de la impresora.
La única desventaja de utilizar un servidor de impresión lógico es que se requiere un equipo que funcione como tal. Sin embargo, no es necesario que sea un equipo dedicado pues por lo general, los servidores de impresión se implementan en servidores que también realizan otras tareas.

Configurar el cliente de impresión en un equipo del dominio

En principio un usuario del dominio puede agregar una impresora desplegando el asistente para agregar impresoras y seleccionando cualquiera de las impresoras disponibles a través del servidor de impresión de forma que ya la tendría disponible en esa máquina o en cualquier máquina del dominio si dispone de perfil móvil.

Evidentemente este trabajo manual, usuario a usuario no es lo más apropiado, siendo lo más interesante para el administrador la capacidad de implementar desde el servidor de impresión directivas para asignar (mapear) las impresoras que desee, sobre el dominio o sus unidades organizativas, automatizando todo el proceso.


Echa un vistazo al siguiente recurso:      Implementar impresoras por GPO