-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
1/244
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
2/244
ADMINISTRACIN DEWINDOWS 2003 R2 SERVER
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
3/244
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
4/244
WINDOWS 2003 SERVER R2 418
VERSIONES DE WINDOWS 2003 SERVER 418
WINDOWS 2003 SERVER R2 STANDARDEDITION 418
WINDOWS 2003 SERVER R2 ENTERPRISEEDITION 418
WINDOWS 2003 SERVER R2 DATACENTEREDITION 419
REQUERIMIENTOS DE HARDWARE 419
LISTA DE COMPATIBILIDAD DE HARDWARE 420
H ARD WARE DE MULTIPROCESAMIENTO
SIMTRICO 420
MODELOS DE INSTALACIN DE WINDOWS2003 420
ADMINISTRACIN DE CUENTAS DE USUARIO Y DEEQUIPO 432
INTRODUCCIN 432
CUENTAS DE USUARIO 432
CONVENCIN DE NOMENCLATURA DE CUENTAS DEUSUARIO 434
PRCTICAS RECOMENDADAS PARA CREARCUENTAS DE USUARIO 435CUENTAS DE EQUIPO 436BLOQUEO DE CUENTAS DE USUARIO 437
LOCALIZACIN DE OBJETOS EN ACTIVE
DIRECTORY 438
ndiceINTRODUCCIN 444
GRUPOS 444TIPOS DE GRUPO 445NIVELES FUNCIONALES DE DOMINIO 446
GRUPOS GLOBALES 447
GRUPOS UNIVERSALES 448
GRUPOS LOCALES 449
ANIDAMIENTO DE GRUPOS 450
MODIFICACIN DEL MBITO O TIPO DE UNGRUPO 450
GRUPOS PREDETERMINADOS EN ACTIVEDIRECTORY 452
GRUPOS DEL SISTEMA 452
PERMISOS 460
TIPOS DE PERMISOS 460
PERMISOS ESTNDAR Y ESPECIALES 460
CARPETAS COMPARTIDAS 461
ADMINISTRAR EL ACCESO A ARCHIVOS YCARPETAS MEDIANTE PERMISOS NTFS 464
PERMISOS DE CARPETAS COMPARTIDAS 464
PERMISOS DE ARCHIVO Y CARPETA NTFS 465
EFECTOS PRODUCIDOS EN LOS PERMISOS NTFSAL COPIAR Y MOVER ARCHIVOS Y CARPETAS 466
HERENCIA DE PERMISOS NTFS 468
PERMISOS EFECTIVOS DE ARCHIVOS Y CARPETASNTFS 468
Administracin de Windows 2003 R2 Server
MDULO 3
CLASE TEORICA 25 418
CLASE PRACTICA 26 429
CLASE PRACTICA 26 440
CLASE TEORICA 27 444
CLASE PRACTICA 27 453
CLASE TEORICA 28 460
CLASE PRACTICA 28 470
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
5/244
CLASE TEORICA 29 474
IMPLEMENTACIN Y ADMINISTRACIN DESERVICIOS DE IMPRESIN
INTRODUCCIN 474
IMPRESORA LOCAL E IMPRESORA DE RED 474
REQUISITOS DE HARDWARE PARA CONFIGURARSERVIDORES DE IMPRESIN 474
INSTALAR Y COMPARTIR UNA IMPRESORALOCAL 475
INSTALAR Y COMPARTIR UNA IMPRESORA DERED 475SEGURIDAD EN LAS IMPRESORAS DE RED 476
CONTROLADORES DE IMPRESORAS 478
ADMINISTRACIN DE COLAS DE IMPRESIN 478
UBICACIN DE LA CARPETA DE COLAS DEIMPRESIN 479
CAMBIAR LA UBICACIN DE LA COLA DEIMPRESIN 479
ADMINISTRACIN DEL ACCESO A LOS OBJETOS DELAS OU
INTRODUCCIN 484
PERMISOS ESTNDAR Y ESPECIALES 484
ACCESO AUTORIZADO SEGN PERMISOS 484
PERMISOS DE OBJETO DE ACTIVE DIRECTORY 484
HERENCIA DE PERMISOS 485
MODIFICAR LOS OBJETOS EN LA HERENCIA DEPERMISOS 486
PERMISOS EFECTIVOS PARA LOS OBJETOS DEACTIVE DIRECTORY 487
DELEGACIN DE CONTROL DE UNA UNIDADORGANIZATIVA 488
ASISTENTE PARA DELEGACIN DE CONTROL 489
CLASE PRACTICA 29 482
CLASE TEORICA 30 484
CLASE PRACTICA 30 490
CLASE TEORICA 31 492
CLASE PRACTICA 31 503
CLASE TEORICA 32 506
CLASE PRACTICA 32 514
CLASE TEORICA 33 518
Implementacin de plantillas administrativas y
directivas de auditora
DERECHOS DE USUARIO 518
INTRODUCCIN 492CONFIGURACIN DE USUARIOS Y EQUIPOS 492
CREAR OBJETOS DE DIRECTIVA DE GRUPO 494
ADMINISTRACIN DE OBJETOS DE DIRECTIVA DEGRUPO EN UN DOMINIO 496
VNCULO DE OBJETO DE DIRECTIVA DE GRUPO 497
HERENCIA DEL PERMISO DE DIRECTIVA DE GRUPOEN ACTIVE DIRECTORY 498
OBJETOS DE DIRECTIVA DE GRUPO ENTRAN ENCONFLICTO 499
IMPLEMENTACIN DE UN OBJETO DE DIRECTIVA DE
GRUPO 500
ATRIBUTOS DE UN VNCULO DE OBJETO DEDIRECTIVA DE GRUPO 500
FILTRAR LA IMPLEMENTACIN DE UN OBJETO DEDIRECTIVA DE GRUPO 501
INTRODUCCIN 506
CONFIGURACIN HABILITADA Y DESHABILITADADE LA DIRECTIVA DE GRUPO 507
REDIRECCIN DE CARPETAS 508
CARPETAS QUE PUEDEN REDIRIGIRSE 509
CONFIGURAR LA REDIRECCIN DE CARPETAS 510
GPUPDATE 511
GPRESULT 511
INFORMES DE DIRECTIVA DE GRUPO 512
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
6/244
CLASE PRACTICA 33 527
CLASE TEORICA 34 532
PERMISOS DE USUARIO 518
DIRECTIVAS DE SEGURIDAD 519
DIRECTIVAS DE SEGURIDAD DE ACTIVEDIRECTORY 519
PLANTILLAS DE SEGURIDAD 520Utilizacin de las plantillas de seguridadPlantillas predefinidasValores de configuracin de plantillas de seguridad
HERRAMIENTA CONFIGURACIN Y ANLISIS DESEGURIDAD 522
AUDITORA 523Tipos de sucesos que se pueden auditar
DIRECTIVA DE AUDITORA 524
PLANIFICAR UNA DIRECTIVA DE AUDITORA 524
Migracin de Dominios a Windows 2003 R2Server
INTRODUCCIN 532
SELECCIONAR LA VERSIN DE WINDOWS 2003 R2A LA CUAL MIGRAR 532
MIGRACIN A UN SISTEMA OPERATIVOEQUIVALENTE 532
VERIFIQUE LAS NECESIDADES DE SISTEMA YC O M PATIBILIDAD DE HARDWARE 533
C O M PATIBILIDAD DE HARDWARE 533
DEFINIR LA MEJOR OPCION: ACTUALIZAR,INSTALACIN NUEVA O MIGRAR 534
MOTIVOS PA RA ACTUALIZAR 534
MOTIVOS PARA REALIZAR UNA INSTALACINLIMPIA O MIGRAR 535
HERRAMIENTA DE MIGRACIN DE ACTIVEDIRECTORY (ADMT V2) 535
ROLES DE UN SERVIDOR 537
ELEVAR EL NIVEL FUNCIONAL DE UN BOSQUE 540
CONTROLADORES DE DOMINIO 540
Servicio DNS de Windows 2003 R2
INTRODUCCIN 546
VISIN GENERAL DE LA CONSOLA DNS 546
REGISTRO DE RECURSOS 546
MLTIPLES DIRECCIONES EN UN SERVIDORDNS 548
CONFIGURAR SERVIDORES RACES 548
DNS Y ACTIVE DIRECTORY 549
TRANSFERENCIA DE ZONA 550
TRANSFERENCIA DE ZONA INCREMENTAL 550
CLASE PRACTICA 34 542
CLASE TEORICA 35 546
DNS DINMICO 550
CONFIGURAR DDNS 551
Servicio WINS de Windows 2003 R2 552
INTRODUCCIN 552
EL NUEVO WINS 553
CONEXIONES PERSISTENTES 553
REPLICACIN DE WINS 554
ELIMINACIN MANUAL DE REGISTROS 555
El servicio DHCP de Windows 2003 R2 Server
SOPORTE PAR A DNS DINMICO (DDNS) 562
INTRODUCCIN 562
ASIGNACIN DE DIRECCIONES MULTICAST 563
DETECCIN DE UN SERVIDOR DHCP NOAUTORIZADO 563
CREAR MBITOS 565
CONFIGURAR OPCIONES GLOBALES EN ELSERVIDOR DHCP 565
CLASE PRACTICA 35 556
CLASE TEORICA 36 562
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
7/244
CLASE PRACTICA 36 571
RESERVAS 565
AUTORIZAR EL SERVIDOR 566
DEFINIR Y PONER EN PRCTICA CLASES DEFABRICANTE Y USUARIO 566
CLASES DE FABRICANTE 566
CONFIGURAR UN CLIENTE PARA UTILIZAR ID DECLASES 567
CREAR UN SPER MBITO 569
MANEJAR LA BASE DE DATOS DE DHCP 569
COPIAS DE RESPALDO DE LA BASE DE DATOS DEDHCP Y SU RESTAURACIN 570
Clase terica 37 576
ADMINISTRACIN DE DISCOS 576
ADMINISTRACIN LOCAL Y REMOTA 576
LA HERRAMIENTA DISKPART 576
PARTICIONADO 577
PROPIEDADES DE LOS DISCOS 579
UNIDAD MONTADA 580
DISCOS BSICOS Y DISCOS DINMICOS 580
CONVERSIN DE DISCOS DINMICOS 581
VOLUMEN SIMPLE 582
VOLUMEN EXTENDIDO 582
VOLUMEN DISTRIBUIDO 582
VOLUMEN SECCIONADO 582
DISCO EXTERNO 583
DISCO SIN CONEXIN 583
Clase prctica 37 584
Clase terica 38 590
COMPRESIN DE ARCHIVOS 590
CARPETA COMPRIMIDA (EN .ZIP) 590
EL COMANDO COMPACT 591
MOVER Y COPIAR ARCHIVOS Y CARPETAS
COMPRIMIDOS 592
PRCTICAS RECOMENDADAS PARA COMPRIMIR
ARCHIVOS O CARPETAS 593
CIFRADO EFS 593
Clase prctica 38 597
Clase terica 39 602
COPIA DE SEGURIDAD DE LOS DATOS 603
FRECUENCIA DE LAS COPIAS DE SEGURIDAD 603
D ATOS DE ESTADO DEL SISTEMA 605
LA UTILIDAD DE COPIA DE SEGURIDAD 606
TIPOS DE COPIAS DE SEGURIDAD 607
COPIA DE SEGURIDAD: DE COPIA 607
COPIA DE SEGURIDAD CON NTBACKUP 609
RECUPERACIN AUTOMTICA DEL SISTEMA 610
INSTANTNEAS 610
MODO SEGURO 616
OPCIONES DEL MODO SEGURO 616
LTIMA CONFIGURACIN CORRECTA
CONOCIDA 617
CONSOLA DE RECUPERACIN 618
FUNCIONAMIENTO DE LOS ARCHIVOS DE
INICIO 621
HERRAMIENTAS DE RECUPERACIN EN CASO DE
ERROR DEL SERVIDOR 622
CLASE PRCTICA 37 584
CLASE TEORICA 38 590
CLASE PRACTICA 38 597
CLASE TEORICA 39 602
CLASE TEORICA 37 576
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
8/244
Clase prctica 40 624
Clase terica 41 628
WINDOWS UPDATE 628
WINDOWS UPDATE Y ACTUALIZACIONES
AUTOMTICAS 630
SOFTWARE UPDATE SERVICES 630
PROCESO DE SUS 632
PUNTOS DE DISTRIBUCIN DEL SERVIDOR PARA
SUS 632
REQUISITOS DE HARDWARE PARA LA INSTALACINDE SUS 632
SITIO WEB DE ADMINISTRACIN DE SOFTWARE
UPDATE SERVICES 632
SINCRONIZAR EL CONTENIDO DE SUS 633
REGISTROS DE SOFTWARE UPDATE SERVICES 634
Clase prctica 41 636
Clase terica 42 638
IPSEC Y LA PROTECCIN DEL TRFICO EN LA
RED 639
CONJUNTO DE DIRECTIVAS IPSEC 641
EQUILIBRAR LA SEGURIDAD Y EL
RENDIMIENTO 641
NIVELES DE SEGURIDAD 642
IMPLEMENTACIN DE IPSEC CON
CERTIFICADOS 642
CERTIFICADOS 643
MONITOR DE SEGURIDAD IP 644
Clase prctica 42 646
CLASE PRACTICA 40 624
CLASE TEORICA 41 628
CLASE PRACTICA 41 636
CLASE TEORICA 42 638
CLASE PRACTICA 42 646
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
9/244
MDULO
3Administracin de Windows 2003 R2 Server
Este mdulo lo adentrar en las ltimas tecnologas de
administracin avanzada de infraestructuras de red.
Windows 2003 R2 Server supone un avance en diversos
temas crticos, como ser: Fiabilidad, Escalabilidad y
Seguridad mejorada.
Como administrador de infraestructura de redes es
indispensable mantenerse al da con las ltimas tecnologas
y tendencias que el mercado IT presenta.
Conocer a fondo las caractersticas que Windows 2003 R2
posee, le permitir incrementar de manera exponencial todas
las habilidades adquiridas en el mdulo anterior. Con lapresentacin de esta nueva plataforma tambin se revisaran
las nuevas mejoras en los servicios crticos de red con
respecto a las versiones anteriores.
Orgnizacin
de
Conten
idos
CLASE TERICA 25
WINDOWS 2003 SERVER R2
VERSIONES DE WINDOWS 2003
SERVER
WINDOWS 2003 SERVER R2
STANDARD EDITION
WINDOWS 2003 SERVER R2
ENTERPRISE EDITION
WINDOWS 2003 SERVER R2
D ATACENTER EDITION
WINDOWS 2003 SERVER W E B
EDITION
REQUERIMIENTOS DE HARDWARE
LISTA DE COMPATIBILIDAD DE
HA RD WARE
HA RD WAREDE
M U LTIPROCESAMIENTO
SIMTRICO
MODELOS DE INSTALACIN DE
WINDOWS 2003
ACTUALIZACIONES VS.
INSTALACIONES LIMPIAS 421
ACTUALIZACIN
INSTALACIN LIMPIA
INSTALACIN DESDE UN CD O DVD
INICIAR EL SISTEMA DESDE EL CD /
DVD DE INSTALACIN DE WINDOWS
2003
EJECUTAR EL ARCHIVO SETUP.EXE
DEL CD / DVD
INSTALACIONES A UTO M ATIZADAS
TIPOS DE INSTALACIN
A UTO M ATIZADA
INSTALACIN DESATENDIDA
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
10/244
Clase
Orgnizac
in
de
Con
tenidos
INSTALACIN POR SYSPREP
SERVICIO DE INSTALACIN REMOTA (RIS)
CLASE TEORICA 26
ADMINISTRACION DE CUENTAS DE USUARIO Y
EQUIPO
INTRODUCCIN
CUENTAS DE USUARIO
CONVENCIN DE NOMENCLATURA DE CUENTASDE USUARIO
PRCTICAS RECOMENDADAS PAR A CREARCUENTAS DE USUARIO
CUENTAS DE EQUIPO
BLOQUEO DE CUENTAS DE USUARIO
LOCALIZACIN DE OBJETOS EN ACTIVE
DIRECTO RY
CLASE TEORICA 27
ADMINSITRACION DE GRUPOS
GRUPOS
TIPOS DE GRUPO
NIVELES FUNCIONALES DE DOMINIO
GRUPOS GLOBALES
GRUPOS UNIVERSALES
GRUPOS LOCALES
ANIDAMIENTO DE GRUPOS
MODIFICACIN DEL MBITO O TIPO DE UNGRUPO
GRUPOS PREDETERMINADOS EN ACTIVE
DIRECTO RY
GRUPOS DEL SISTEMA
CLASE TEORICA 28
ADMINISTRACION DE ACCESO A RECURSOSPERMISOS
TIPOS DE PERMISOS
PERMISOS ESTNDAR Y ESPECIALES
CARPETAS COMPA RTIDAS
ADMINISTRAR EL ACCESO A ARCHIVOS Y
CARPETAS MEDIANTE PERMISOS NTFS
PERMISOS DE CARPETAS COMPA RTIDAS
PERMISOS DE ARCHIVO Y CARPETA NTFS
EFECTOS PRODUCIDOS EN LOS PERMISOS NTFS AL
COPIAR Y MOVER ARCHIVOS Y CARPETAS
HERENCIA DE PERMISOS NTFS
PERMISOS EFECTIVOS DE ARCHIVOS Y CARPETAS
CLASE TEORICA 29
IMPLEMENTACION Y ADMINISTRACION DE
SERVICIOS DE IMPRESIN
INTRODUCCIN
IMPRESORA LOCAL E IMPRESORA DE RED
REQUISITOS DE HARDWARE PARA CONFIGURAR
SERVIDORES DE IMPRESIN
INSTALAR Y COMPA RTIR UNA IMPRESORA LOCAL
INSTALAR Y COMPA RTIR UNA IMPRESORA DE RED
SEGURIDAD EN LAS IMPRESORAS DE RED
CONTROLADORES DE IMPRESORAS
ADMINISTRACIN DE COLAS DE IMPRESIN
UBICACIN DE LA CARPETA DE COLAS DE
IMPRESIN
CAMBIAR LA UBICACIN DE LA COLA DE
IMPRESIN
CLASE TEORICA 30
ADMINISTRACIN DEL ACCESO A LOS OBJETOS DE
LAS OU
INTRODUCCIN
PERMISOS ESTNDAR Y ESPECIALES
ACCESO A UTORIZADO SEGN PERMISOS
PERMISOS DE OBJETO DE ACTIVE DIRECTO RY
HERENCIA DE PERMISOS
MODIFICAR LOS OBJETOS EN LA HERENCIA DE
PERMISOS
PERMISOS EFECTIVOS PARA LOS OBJETOS DEACTIVE DIRECTO RY
DELEGACIN DE CONTROL DE UNA UNIDAD
ORGANIZATIVA
ASISTENTE PARA DELEGACIN DE CONTROL
CLASE TEORICA 31
IMPLEMENTACIN DE DIRECTIVAS DE GRUPO
INTRODUCCIN
CONFIGURACIN DE USUARIOS Y EQUIPOS
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
11/244
Orgnizac
in
de
Con
tenidos
CREAR OBJETOS DE DIRECTIVA DE GRUPO
ADMINISTRACIN DE OBJETOS DE DIRECTIVA DEGRUPO EN UN DOMINIO
VNCULO DE OBJETO DE DIRECTIVA DE GRUPO
HERENCIA DEL PERMISO DE DIRECTIVA DE GRUPO
EN ACTIVE DIRECTO RY
OBJETOS DE DIRECTIVA DE GRUPO ENTRAN ENCONFLICTO
IMPLEMENTACIN DE UN OBJETO DE DIRECTIVADE GRUPO
ATRIBUTOS DE UN VNCULO DE OBJETO DE
DIRECTIVA DE GRUPO
FILTRAR LA IMPLEMENTACIN DE UN OBJETO DE
DIRECTIVA DE GRUPO
CLASE TEORICA 32
ADMINISTRACIN UN ENTORNO DE USUARIOMEDIANTE DIRECTIVAS DE GRUPO
INTRODUCCIN
CONFIGURACIN HABILITAD A Y DESHABILITAD ADE LA DIRECTIVA DE GRUPO
REDIRECCIN DE CARPETAS
CARPETAS QUE PUEDEN REDIRIGIRSE
CONFIGURAR LA REDIRECCIN DE CARPETAS
GPUPDATE
GPRESULT
INFORMES DE DIRECTIVA DE GRUPO
CLASE TEORICA 33
IMPLEMENTACIN DE DIRECTIVAS DE GRUPO
DERECHOS DE USUARIO
PERMISOS DE USUARIO
DIRECTIVAS DE SEGURIDAD
DIRECTIVAS DE SEGURIDAD DE ACTIVE DIRECTO RY
PLANTILLAS DE SEGURIDAD
HERRAMIENTA CONFIGURACIN Y ANLISIS DESEGURIDAD
AUDITORA
DIRECTIVA DE AUDITORA
PLANIFICAR UNA DIRECTIVA DE AUDITORA
CLASE TEORICA 34
MIGRACIN DE DOMINIOS A WINDOWS 2003 R2SERVER
MIGRACIN A UN SISTEMA OPERATIVOEQUIVALENTE
VERIFIQUE LAS NECESIDADES DE SISTEMA YC OM PATIBILIDAD DE HARDWAR E
C OM PATIBILIDAD DE HARDWAR E
DEFINIR LA MEJOR OPCION: ACTUALIZAR,INSTALACIN NUEVA O MIGRAR
MOTIVOS PAR A ACTUALIZAR
MOTIVOS PAR A REALIZAR UNA INSTALACIN
LIMPIA O MIGRAR
HERRAMIENTA DE MIGRACIN DE ACTIVE
DIRECTO RY (ADMT V2) Migracin en el mismo bosque
ROLES DE UN SERVIDOR
ELEVAR EL NIVEL FUNCIONAL DE UN BOSQUE
CONTROLADORES DE DOMINIO
CLASE TEORICA 35
SERVICIO DNS DE WINDOWS 2003 R2
INTRODUCCIN
VISIN GENERAL DE LA CONSOLA DNS
REGISTRO DE RECURSOS
M LTIPLES DIRECCIONES EN UN SERVIDOR DNS
CONFIGURAR SERVIDORES RACES
DNS Y ACTIVE DIRECTO RY
TRANSFERENCIA DE ZONA
TRANSFERENCIA DE ZONA INCREMENTAL
DNS DINMICO
CONFIGURAR DDNS
SERVICIO WINS DE WINDOWS 2003 R2
INTRODUCCIN
EL NUEVO WINS
CONEXIONES PERSISTENTES
REPLICACIN DE WINS
ELIMINACIN MANUAL DE REGISTROS
CLASE TEORICA 36
SERVICIO DHCP DE WINDOWS 2003 R2 SERVER
INTRODUCCIN
SOPORTE PARA DNS DINMICO (DDNS)
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
12/244
Clase
Orgnizac
in
de
Con
tenidos
ASIGNACIN DE DIRECCIONES MULTICAST
DETECCIN DE UN SERVIDOR DHCP NO
AUTORIZADO
CREAR MBITOS
CONFIGURAR OPCIONES GLOBALES EN EL
SERVIDOR DHCP
RESERVAS
AUTORIZAR EL SERVIDOR
DEFINIR Y PONER EN PRCTICA CLASES DE
FABRICANTE Y USUARIO
CLASES DE FABRICANTE
CLASES DE USUARIO
CONFIGURAR UN CLIENTE PARA UTILIZAR ID DE
CLASES
CREAR UN SPER MBITO
MANEJAR LA BASE DE DATOS DE DHCP
CLASE PRACTICA 36
CLASE TERICA 37
ADMINISTRACIN DE DISCOS
ADMINISTRACIN LOCAL Y REMOTA
LA HERRAMIENTA DISKPART
PARTICIONADO
PROPIEDADES DE LOS DISCOS
UNIDAD MONTA D A
DISCOS BSICOS Y DISCOS DINMICOS
CONVERSIN DE DISCOS DINMICOS
VOLUMEN SIMPLE
VOLUMEN EXTENDIDO
VOLUMEN DISTRIBUIDO
VOLUMEN SECCIONADO
DISCO EXTERNO
DISCO SIN CONEXIN
CLASE PRCTICA 37
CLASE TERICA 38
COMPRESIN DE ARCHIVOS
CARPETA COMPRIMIDA (EN .ZIP)
EL COMANDO COMPACT
MOVER Y COPIAR ARCHIVOS Y CARPETASCOMPRIMIDOS
PRCTICAS RECOMENDADAS PARA COMPRIMIR
ARCHIVOS O CARPETAS
CIFRADO EFS
CLASE PRCTICA 38
CLASE TERICA 39
COPIA DE SEGURIDAD DE LOS DATOS
FRECUENCIA DE LAS COPIAS DE SEGURIDAD
D ATOS DE ESTADO DEL SISTEMA
LA UTILIDAD DE COPIA DE SEGURIDAD
TIPOS DE COPIAS DE SEGURIDAD
COPIA DE SEGURIDAD: DE COPIA
COPIA DE SEGURIDAD CON NTBACKUP
RECUPERACIN AUTOM TICA DEL SISTEMA
INSTANTNEAS
MODO SEGURO
OPCIONES DEL MODO SEGUROLTIMA CONFIGURACIN CORRECTA CONOCIDA
CONSOLA DE RECUPERACIN
FUNCIONAMIENTO DE LOS ARCHIVOS DE INICIO
HERRAMIENTAS DE RECUPERACIN EN CASO DE
ERROR DEL SERVIDOR
CLASE PRCTICA 40
CLASE TERICA 41
WINDOWS UPDATE
WINDOW S UPD ATE Y ACTUALIZACIONES
AUTOMTICAS
SOFTWARE UPDATE SERVICES
PROCESO DE SUS
PUNTOS DE DISTRIBUCIN DEL SERVIDOR PARA SUS
REQUISITOS DE HARDWARE PA RA LA INSTALACIN
DE SUS SITIO WEB DE ADMINISTRACIN DE
SOFTWARE UPDATE SERVICES
SINCRONIZAR EL CONTENIDO DE SUS
REGISTROS DE SOFTWARE UPDATE SERVICES
CLASE PRCTICA 41
CLASE TERICA 42
IPSEC Y LA PROTECCIN DEL TRFICO EN LA RED
CONJUNTO DE DIRECTIVAS IPSEC
EQUILIBRAR LA SEGURIDAD Y EL RENDIMIENTO
NIVELES DE SEGURIDAD
IMPLEMENTACIN DE IPSEC CON CERTIFICADOS
CERTIFICADOS
MONITOR DE SEGURIDAD IP
CLASE PRCTICA 42
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
13/244
418 Windows 2003 Server R2
VERSIONES DE WINDOWS 2003 SERVER
Windows Server 2003 se distribuye en cuatro versiones:
Windows 2003 Server R2 Standard Edition (32 y 64 bits)
Windows 2003 Server R2 Enterprise Edition (32 y 64 bits)
Windows 2003 Server R2 Datacenter Edition (32 y 64 bits)
Windows 2003 Server Web Edition
WINDOWS 2003 SERVER R2 STANDARD EDITION
W indows 2003 Server R2 Standard Edition es la versin ms adecuada parasoportar la mayor parte de las tareas de red, ya que soporta SM P de cuatro vas,y 4GB de RAM. Es posible tambin utilizar esta edicin para realizar tareas debalance de carga de red (pero no para servicios de cluster) y como servidor deTerminal Server.
En una organizacin grande, esta versin es perfecta para dar soporte a servicios
de archivos, dando soporte al sistema de archivos distribuidos (DFS), encriptandocopias de sistema de archivos (EFS), y Shadow Copies.
Esta versin es til para dar servicios de instalacin remota (RIS), y serviciosW eb. Adems puede correr todos los servicios de Administracin de red, serviciosde aplicaciones .NET, y multimedia.
Para organizaciones pequeas, la versin estndar trabaja bien en cualquier rol,ya sea proporcionando servicios de archivo e impresin o como controlador dedominio.
WINDOWS 2003 SERVER R2 ENTERPRISE EDITION
La versin Enterprise es la indicada para dar soporte a las necesidades denegocios de infraestructuras de gran tamao, para ello soporta SMP de ochovas, 32GB de la RAM en la versin de 32-bit, y 64GB de la RAM en la versin de64 bit. Estas caractersticas le permiten soportar clusters de servidores,manejando hasta ocho nodos.
Su habilidad de escalar lo indica como una buena eleccin para llevar acabocualquier rol en una organizacin grande, ofreciendo una base slida paraaplicaciones, servicios Web (especialmente si se necesita Web Clusters), y
manejo de infraestructura.
Windows 2003 Server R2
Clase terica 25
Diccionario
S M P
SMP es el acrnimode Symmetric Multi-Processing,multiprocesosimtrico. Un hostcon soporte SMP secompone de
microprocesadoresindependientes quese comunican con lamemoria a travsde un buscompartido. Dichobus es un recursode uso comn. Portanto, debe serarbitrado para quesolamente unmicroprocesador louse en cadainstante de tiempo.
Cluster
Un cluster es ungrupo de mltipleshost unidosmediante una redde alta velocidad,de tal forma que elconjunto es vistocomo un nico host.Un cluster sepresentacombinaciones delos siguientesservicios: Alto rendimiento (High Performance) Alta disponibilidad (High Availability) Equilibrio de carga (Load Balancing) Escalabilidad (Scalability)
Nodo
Host.
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
14/244
419Clase terica 25
Definir DFS:Definir SMP:
Activi
dad
Diccionario
DFS
Distribuited FileSystem - Sistema deArchivos Distribuido.Un sistema dearchivos distribuidosalmacena archivos enuno o ms servidoresy los hace accesiblesa otros host clientes,donde se manipulancomo si fueranlocales.
O E M
En la mayora de loscasos una versinOEM de un Softwareslo se vende encombinacin conalgn tipo deHardware, y sueleestar limitada en
funciones respecto aversiones completaso retail (al pormenor).
WINDOWS 2003 SERVER R2 DATACENTER EDITION
La versin ms poderosa de la plataforma Windows, la versin de Datacentersoporta SMP de 32 vas en la versin de 32-bit, y SMP de 64 vas en la versin de64 bit. Puede manejar RAM de 64GB en la versin de 32-bit, y RAM de 512GB enla versin de 64 bit.
Soporta agrupaciones de hasta 8 nodos en forma estndar.Al igual que suantecesor de Windows 2000, Datacenter solo se comercializa en formato O E M.
WINDOWS 2003 SERVER WEB EDITION
Este producto se encuentra destinado para desarrollar y correr sitios Web. Para
esto, incluye IIS 6.0 y otros componentes que permiten alojar aplicaciones Web,pginas Web, y servicios de Web XML.
La versin Web se encuentra limitada, por lo tanto no puede correr granjas deservicios Web que requieran clusters. Esta versin tampoco puede instalar niadministrar servicios de red como Active Directory, DNS, o DHCP, pero si utilizarloscomo cliente.
La versin Web no se encuentra disponible como un producto de venta en elcanal minorista, solo se distribuye en formato OEM.
REQUERIMIENTOS DE HARDWARE
Ningn sistema operativo funciona correctamente si es instalado en una mquinacon hardware insuficiente. Las diferentes versiones de Windows 2003 requierende ciertos niveles mnimos de hardware para asegurar su funcionalidad.
La siguiente tabla describe las necesidades de hardware para todas las versiones.Es importante mencionar que los requerimientos mnimos muchas vecesson inadecuados para dar soporte a las aplicaciones que corren sobre el servidor,as que se recomienda estudiar los requerimientos del sistema operativo ms lasaplicaciones al momento de realizar una instalacin.
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
15/244
420 Windows 2003 Server R2
Windows Server 2003 R2 Requerimientos del Sistema
Requerimiento
Velocidad de
CPU mnima
Velocidad de
C P U
Recomendada
RAM Mnima
R A MRecomendada
RAM Mxima
Soporte
Multiprocesador
S M P
Espacio
Mnimo en
Disco
Standard
Edition
133 MHz
550 MHz
128 MB
256 MB
4 GB
Hasta 4
1.5 GB
Enterprise Edition
133 MHz para arquitectura
x86733 MHz para arquitectura
Itanium
733 MHz
128 MB
256 MB
32 GB for para arquitectura
x86512 GB para arquitectura
Itanium
Hasta 8
1.5 GB para arquitectura
x862.0 GB para arquitectura
Itanium
Datacenter Edition
400 MHz para arquitectura
x86733 MHz para arquitectura
Itanium
733 MHz
512 MB
1 GB
64 GB para arquitectura
x86512 GB para arquitectura
Itanium
Requerido 8 Mnimo Mximo 64
1.5 GB para arquitectura
x862.0 GB para arquitectura
Itanium
W e b
Edition
133 MHz
550 MHz
128 MB
256 MB
2 GB
Hasta 2
1.5 GB
LISTA DE COMPATIBILIDAD DE HARDWARE
La lista de compatibilidad de hardware de Microsoft (HCL) proporciona una listaextensiva de fabricantes, modelos y tipos de hardware soportado, incluyendosistemas, controladores de disco, clusters y dispositivos almacenamiento masivoen red (SAN). Para ser incluido en el HCL, los fabricantes deben certificar el hechode que su hardware soporta los estndares requeridos por Windows 2003 Server.
El HCL es parte del grupo de laboratorios de calidad de hardware de Microsoft
Windows (WHQL). Las listas HCL actualizadas pueden encontrarse enw w w.microsoft.com.
H A R D WARE DE MULTIPROCESAMIENTO SIMTRICO
El hardware de Multiproceso simtrico (SMP), ha sido soportado por Microsoftdesde las primeras versiones de Windows NT. SMP permite a la computadora,bsicamente, compartir dos o ms microprocesadores, dividiendo la memoria ylos dispositivos de entrada y salida.
MODELOS DE INSTALACIN DE WINDOWS 2003
Windows Server 2003 puede ser instalado en diferentes escenarios, desde instalar
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
16/244
421Clase terica 25
Definir Actualizacin:Definir HCL:
Activi
dad
una simple copia del sistema operativo en una computadora con un disco rgidonuevo sin particionar, hasta para realizar una actualizacin (upgrade) desde unaversin previa de Windows.
Actualizaciones vs. Instalaciones limpias
Windows 2003 soporta tanto, actualizaciones desde versiones anteriores comoas tambin instalaciones limpias. Si se posee una computadora con un sistemaoperativo Windows 2000 funcionando, y el hardware es compatible con Windows2003, entonces es recomendable realizar una actualizacin del sistema. Sinembargo, es realmente necesario estar familiarizado con las ventajas y desventajasde ambos modelos antes de comenzar la instalacin de Windows 2003.
Atencin
Para instalar cualquier versin W indows 2003 R2 es recomendable hacerlo desde una versin W indows 2003previa.
Actualizacin
Las actualizaciones preservan las configuraciones existentes, incluyendo cuentasde usuario y de grupo, perfiles, objetos compartidos, servicios y permisos. Losarchivos y aplicaciones instalados en el sistema se preservan, incluyendo entradas
de registro, conos del escritorio y carpetas. Sin embargo, esto necesariamente noquiere decir que estas aplicaciones son compatibles con Windows 2003.
Si se est actualizando desde servidores de Windows 2000, la decisin podrahacerse en base a la comodidad de esta accin. Por ejemplo, si se ha implementadoun servidor de Windows 2000 para servir una aplicacin compleja desarrollada amedida, y no se posee una buena va para reconstruir los componentes de laaplicacin, actualizar puede ser mucho ms fcil ya que mantendr los servicios,entradas de registro, y otros componentes de la aplicacin que pueden haber sidomejoradospero no debidamente documentados.
Por otra parte, si un servidor de Windows 2000 se actualiza desde Windows NT 4(que a su vez puede haber sido actualizado originalmente desde Windows NT 3.51),es necesario considerar una instalacin limpia. Cada actualizacin subsecuentemantiene componentes del sistema operativo previo, y estos componentes puedentener un efecto adverso en la estabilidad y ejecucin de la instalacin de Windows2003.
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
17/244
422 Windows 2003 Server R2
Instalacin limpia
En una instalacin limpia, no existe ningn remanente del sistema operativoprevio (si hubiese existido), tal como entradas de registro extraas, servicios,carpetas, o archivos.
Las instalaciones limpias aseguran que todos los componentes de un sistemaWindows 2003 funcionen correctamente.
Instalacin desde un CD o DVD
La instalacin de Windows 2003 desde CD o DVD es probablemente el mtodode instalacin ms fcil, ya que no requiere ningn soporte de hardware o red
adicional.
Adems, instalaciones desde CD o DVD son generalmente mucho ms rpidasque otros mtodos de instalacin porque trabajan sobre el BUS de alta velocidadentre el CD / DVD, el procesador y la memoria, en lugar de depender enconexiones de red lentas utilizadas en otros mtodos de instalacin.
Iniciar el sistema desde el CD / DVD de instalacin de Windows 2003
La plataforma Windows ha soportado medios de inicio en CD y ahora en DVD
desde hace muchos aos, Windows 2003 contina proporcionando este mtodode instalacin simple y til.
Con el fin de iniciar el sistema desde un medio como CD o DVD, es necesariodisponer de un dispositivo que soporte las extensiones ISO 9660 para dispositivosde inicio, y el BIOS de la computadora debe estar configurado para el utilicecomo primer dispositivo de arranque la unidad de CD / DVD.
Este mtodo slo puede utilizarse para una instalacin limpia de Windows 2003,y no para actualizar una versin previa de Windows.
Ejecutar el archivo Setup.exe del CD / DVD
Este mtodo se utiliza si se posee ya un sistema operativo de Windows instaladoy se desea actualizar el sistema operativo (si cumple con las normas deactualizacin) o si por el contrario se desea instalar Windows 2003 como unsistema operativo separado mediante una configuracin de arranque dual.
Al insertar el CD / DVD, este automticamente arranca presentado el GUI deinstalacin con un men de opciones, en cambio si la ejecucin automtica nose encuentra habilitada, ser necesario hacer un doble clic sobre Setup.exe enel CD / DVD para lanzar el GUI de instalacin.
Diccionario
ISO 9660
El estndar ISO 9660es una normapublicadainicialmente en 1986por la ISO, queespecifica el formatopara el almacenajede archivos en lossoportes de tipo
disco compacto.
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
18/244
423Clase terica 25
Activi
dad
Defina ISO 9660: Nombre 2 tipos de instalacin automatizada:
Instalaciones automatizadas
Las instalaciones automatizadas de Windows 2003 permiten administradoresde red instalar en forma rpida y simple el sistema operativo a travs de laempresa. Ms importante an es que estas instalaciones son extremadamenteconsistentes, ya que durante el proceso de instalacin automatizado cadacomputadora utiliza la misma informacin de configuracin y los mismos archivosde instalacin.
Otra ventaja importante de realizar instalaciones automatizadas es que eliminanla mayor parte de la interaccin entre el proceso de configuracin y el usuario,como consecuencia, usuarios con conocimiento tcnico relativamente escasodel sistema operativo pueden ejecutar instalaciones de Windows 2003.
Con un mtodo de instalacin automatizado correctamente diseado, el procesoentero de instalacin puede ser reducido a arrancar el sistema con un discoflexible, o realizando un doble clic sobre el icono correspondiente.
Tipos de instalacin automatizada
Las instalaciones automatizadas son soportadas bajo Windows 2003 usandolos siguientes tres mtodos:
Instalacin desatendidaInstalacin por medio de la herramienta de preparacin de sistema
(SYSPREP)Instalacin por medio de un servidor de instalacin remota (RIS)
Cada mtodo tiene ventajas y desventajas. Las herramientas necesarias parallevar a cabo cualquiera de los tres mtodos nombrados, se encuentrandisponibles en el CD / DVD de instalacin.
La idea bsica detrs de las instalaciones automatizadas es proporcionar alprograma de instalacin de Windows 2003 los parmetros de configuracinrequeridos en forma adelantada de modo que, durante el proceso de instalacin,esta informacin pueda combinarse de forma automtica con el proceso de
instalacin.
Debido a que las instalaciones automatizadas trabajan de este modo, esextremadamente importante conocer toda la informacin del sistema antes dela instalacin, incluyendo el nmero y ubicacin de los servidores a ser instalados,opciones de configuracin de red, convenciones de nombres, y servicios
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
19/244
424 Windows 2003 Server R2
instalados.
Adems, cada uno de los mtodos de instalacin automatizados requierensupervisin para determinar factores tales como disponibilidad de ancho de bandade red y tiempo de instalacin.
Dos conceptos claves definen la funcin bsica de las instalacionesautomatizadas:
Instalaciones basadas en imagen: Permiten duplican un servidor Windows 2003totalmente configurado en unos o ms sistemas. SYSPREP es un mtodo deinstalacin con basado en imgenes de disco. RIS puede ejecutar tambin unainstalacin basada en una imagen de disco.
Instalaciones basadas en archivos de respuesta: Se utilizan archivos de textoplano para configurar las instalaciones en computadoras destino. El archivo textocontiene las respuesta a las preguntas que el programa de instalacin realizanormalmente cuando se realiza una instalacin interactiva, tales como nombrede computadora, mtodo de licenciamiento, y los parmetros de red.La instalacin desatendida es un mtodo de instalacin con base en archivo derespuestas. RIS tambin puede ser un mtodo de instalacin con base en archivosde respuesta.
Instalacin Limpia
Actualizacin
Trabaja en red?
Para utilizan en hardware homogneo?
Para utilizar en hardware heterogneo?
Requiere TCP/IP?
Soporte para IP esttico?
Soporte para HALs genricas?
Necesita una N.I.C con PXE para funcionar?
Soporte para controladores de almacenamiento no estndar?
Requiere Active Directory?
Requiere DHCP?
Soporte para aplicaciones pre instaladas en Active Directory?
Soporte para instalaciones automticas en controladores de dominio?
Soporte para instalaciones automticas de servidores de certificados?
Soporte para instalaciones automticas de clusters?
Soporte para aplicaciones de terceros en la instalacin?
Puede utilizarse con Windows 2003 Web Server Edition?
SI
N O
N O
SI
N O
N O
N O
N O
N O
N O
N O
N O
N O
N O
N O
N O
N O
SI
SI
N O
SI
SI
N O
SI
N O
N O
SI
SI
SI
SI
SI
SI
SI
SI
SI
N O
SI
SI
N O
N O
SI
N O
SI
SI
N O
SI
N O
N O
SI
SI
SI
SI
SI
SI
Consideraciones SYSPREP RISInstalacin
Desatendida
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
20/244
425Clase terica 25
Definir HAL:Definir instalacin basada en Imagen:
Activi
dad
Como puede verse en cuadro anterior muchos factores diferentes deben seranalizados para determinar el mejor mtodo de instalacin automatizado parauna infraestructura dada.
Atencin
SYSPREP y RIS solo pueden ser utilizados para realizar instalaciones limpias de sistema y no pueden serutilizados para actualizar un sistema a W indows 2003 La instalacin desatendida es el nico mtodo deinstalacin automatizado que se puede utilizar para actualizar un sistema operativo a W indows 2003.
Ciertas consideraciones adicionales para entornos especficos que deben serconsideradas son las siguientes:
Instalacin con RIS: siempre requieren de un ancho de banda alto, de
esta manera por definicin las imgenes son instaladas de travs de lared. Las instalaciones de SYSPREP y las instalaciones desatendidaspueden requerir tambin ancho de banda alto si el archivo imagen deSYSPREP o los archivos de instalacin de Windows 2003 sonestablecidos en un recurso compartido de la red. Sin embargo, SYSPREPy las instalaciones desatendidas pueden utilizar archivos de medioslocales, tales como unidades de CD / DVD o un disco rgido local.
Soporte de la arquitectura: al utilizar SYSPREP o RIS con la opcin deRIPREP, el host origen debe utilizar una HAL que sea compatible con elhost destino.
Soporte de hardware del adaptador de red: para utilizar RIS, en uno oms adaptadores de red en el host destino, estos deben soportar lanorma (PXE), o el adaptador de red debe estar soportado por el discoflexible que RIS crea utilizando la herramienta generadora de disco dearranque remoto (RBFG.EXE).Esta herramienta slo da soporte a una lista especfica y limitada deadaptadores de red PCI, y no pueda ser modificada para soportaradaptadores adicionales.
Controladores de almacenamiento masivo si el host destino utiliza un
controlador de almacenamiento masivo que no se encuentra listado enel controlador .inf Windows 2003, y se est utilizando un mtodo deinstalacin basado en imagen, ser necesario realizar manualmente unapequea parte de la configuracin de la instalacin. Debido a este pasoadicional, una instalacin desatendida puede ser la opcin ms viable.
Diccionario
H AL
HardwareAbstraction Layer -Capa de Abstraccinde Hardware. Estees un elemento delsistema operativoque funciona comouna interfaz entre elsoftware y elhardware delsistema, proveyendouna plataforma dehardwareconsistente sobre lacual correr lasaplicaciones.
PXE
Preboot ExecutionEnvironment Sistema de pre-ejecucin dearranque. Es unsistema de Intel quegenera un arranque
inteligente a partirde una memoria deslo lectura (ROM)que se encuentra enalgunos adaptadoresde red.
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
21/244
426 Windows 2003 Server R2
Protocolos de red y servicios: RIS requiere del protocolo TCP/IP, DNS,DHCP, y Active Directory para funcionar en una red (no es necesario que
los servicios de DNS y DHCP sean los provistos por Microsoft). Lasinstalaciones de SYSPREP y desatendidas pueden utilizar otros protocolostales como IPX/SPX, y no requieren necesariamente de un servicio DNSo de Active Directory a menos que la imagen que se desea instalar as lorequiera.
Clusters: en un cluster de servidores, los host destino deben tenerconfiguraciones idnticas, excepto por la direccin de red. Lasinstalaciones basadas en SYSPREP pueden ser un mtodo muy eficienteen esta situacin. Es importante recordar, sin embargo, que el balanceode carga de red (NLB) no puede configurarse en la imagen de SYSPREP.
NLB debe ser instalado y configurado en cada sistemaindependientemente, despus del proceso de clonado.
Instalacin desatendida
Como un mtodo de instalacin basado en un archivo de respuestas, la instalacindesatendida trabaja utilizando un archivo de respuestas para proporcionar alprograma de instalacin de Windows 2003 la informacin requerida por lainstalacin. Adems, cualquier instalacin desatendida puede proporcionarcontroladores de dispositivos especficos, y an as instalar aplicaciones sin laintervencin del usuario.
La instalacin desatendida es iniciada con la ejecucin de los archivos deinstalacin Winnt.exe y Winnt32.exe:
Winnt.exe: es utilizado para realizar una instalacin limpia.
Winnt32.exe: es utilizado para realizar la actualizacin del sistema operativodesde una versin anterior.
Instalacin por SYSPREP
Cuando sea necesario instalar Windows 2003 Server en varios host que poseenidntico hardware, uno de los mtodos que se podra utilizar para ello, es laduplicacin de disco.Creando una imagen del disco de una instalacin de Windows 2003 Server, ycopiando esa imagen sobre las computadoras mltiples de destino, se ahorratiempo.
Si en cambio el desafo es instalar Windows 2003 Server en mltiples host queposeen hardware diferente, se recomienda la utilizacin de la herramientaSYSPREP.
Para instalar Windows 2003 Server utilizando SYSPREP, es necesario configuraruna computadora de referencia y luego duplicar una imagen de disco en las
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
22/244
427Clase terica 25
Definir Sysprep:
Activi
dad
computadoras destino. El proceso de la duplicacin de disco consiste en lossiguientes pasos:
Instalar y configurar el sistema operativo en la computadora de referencia
Instalar y configurar los aplicativos en la computadora de referencia.
Ejecutar sysprep.exe en la computadora de referencia.
1- Instalar el sistema operativo en la mquina
origen y ejecutar sysprep.
2- Utilizando una herramienta de clonado de discos
generar una imagen.
3- Copiar la imagen en la mquina destino y
encenderla.4- Por medio del mini-setup que se auto ejecuta
realizar las configuraciones bsicas.
Tambin se puede optar por crear el archivo Sysprep.inf. Sysprep.inf proporcionarespuestas, como por ejemplo, el nombre de computadora al Mini-Setup que seejecuta en las computadoras destino. Adems, este archivo se puede utilizarpara especificar controladores especficos.
El programa de SYSPREP y las herramientas de soporte (incluyendo el programade instalacin) se encuentra ubicado en el archivo\SUPPORT\TOOLS\DEPLOY.CAB en el CD / DVD de instalacin de Windows2003.
Servicio de instalacin remota (RIS)
El Servicio RIS permite a las host cliente conectarse con un servidor durante lafase de inicial de encendido e instalar remotamente Windows 2003 (32 y 64 Bit).Es un proceso totalmente diferente a la instalacin desde la red ya que sta serealiza ejecutando Winnt.exe.
Una instalacin remota no requiere que los usuarios sepan dnde se encuentranlos archivos de instalacin o la informacin a suministrarle al programa deinstalacin.RIS permite configurar las opciones de la instalacin. Por ejemplo, se podratener una alternativa que provea a los usuarios una instalacin mnima sin
1
2
3 4Origen
Destino
I m a g e n
de Disco
Definir Ris:
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
23/244
428 Windows 2003 Server R2
Para que una implementacin por medio de RIS sea exitosa, deben encontrarsefuncionando en la red servidores DHCP, DNS y una implementacin de ActiveDirectory.
opciones y otra que provea a los usuarios opciones adicionales.Por defecto, todas las imgenes estn disponibles para todos los usuarios. Sinembargo, se puede restringir el acceso a las imgenes que estn disponibles
para los usuarios utilizando permisos NTFS en el archivo de respuesta.
Cliente Servidor
D H C P
Servidor
RIS
Active
Directory
D C
1
2
63
5
4
1- El cliente solicita una Direccin IP
2- El DHCP Server entrega una
direccin IP
3- El cliente contacta al RIS Server
4- El RIS Server valida en Active
Directory5- RIS responde o redirecciona el
pedido a otro RIS Server
6- El RIS Server enva el rom de inicio
al cliente - El cliente elije el SO
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
24/244
Clase prctica 25 429
Clase prctica 25
Instalacin Windows 2003
Para la siguiente prctica se asumir que el alumno dispone de un cd booteable de Windows2003 Server y que el disco del equipo se encuentra limpio (sin ninguna particin).
Instalacin del Servidor 4 (MGP-SRV04):Ejercicio 1:
Iniciar la maquina desde el CD de arranque de Windows 2003 (estableciendo la secuenciacorrecta de arranque en el setup)
Una vez iniciado el programa de instalacin proceder de la siguiente manera:
Presionar la tecla ENTER Instalar Windows 2003 Presionar la tecla F8 Aceptar el contrato de licencia Presionar la tecla C para crear una nueva particin y establecer la siguiente
configuracin: Tamao de la particin a crear (en MB): 2000 Presionar la tecla ENTER Volver al men anterior Seleccionar la opcin C: Particin1 [Nueva (original)] 2000 MB y presionar
ENTER establece cual ser la particin de destino Seleccionar la opcin Formatear la particin utilizando el formato de archivos NTFS y
presionar ENTER establece el sistema de archivos a NTFS, comienza el proceso deformateo y copia de archivos de instalacin al disco.
Una vez finalizada la copia se procede a cargar el programa de instalacin con interfazgrfica (segunda instancia de instalacin)
Hacer clic en el botn Siguiente comienza el proceso de deteccin de dispositivos. Hacer clic en el botn Personalizar en la seccin Configuracin regional Seleccionar la opcin Espaol (Argentina) en el apartado Su idioma (ubicacin): Hacer clic en el botn Aceptar Realiza el cambio y vuelve a la ventana principal
Hacer clic en el botn Siguiente Establecer la siguiente configuracin en la ventana de personalizacin de Software:
Nombre: Eduardo Cabaas Organizacin: MegaPack
Hacer clic en el botn Siguiente Introducir la clave del producto (por ejemplo: JB88F-WT2Q3-DPXTT-Y8GHG-7YYQY) Hacer clic en el botn Siguiente Seleccionar el licenciamiento Por Servidor. Numero de conexiones concurrentes y
establecer el valor a 70 Indica que las conexiones mximas al servidor ser de 70simultaneas.
Hacer clic en el botn Siguiente Establecer la siguiente configuracin en la ventana de Nombre de equipo y contrasea
del administrador: Nombre de equipo: MGP-SRV04
Mediante la realizacin de esta prctica usted ser capaz de disear la implementacin e instalacin deun sistema operativo Windows 2003 R2 Server.
Los siguientes ejercicios estn desarrollados para que usted pueda aplicarlos efectivamente en elmbito laboral, permitindole resolver problemas de manera eficaz y concreta.
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
25/244
Administracin de acceso a recursos430
Contrasea de administrador: MgP393pDC Confirmar contrasea: MgP393pDC
Hacer clic en el botn Siguiente
Seleccionar la opcin (GMT -3:00) Buenos Aires, Georgetown en el apartado Zonahoraria
Hacer clic en el botn Siguiente Seleccionar la opcin Configuracin Personalizada y hacer clic en el botn Siguiente
en la ventana de Configuracin de red. Doble clic en Protocolo Internet (TCP/IP) Acceder a las propiedades del protocolo Seleccionar la opcin Usar la siguiente direccin IP y establecer la siguiente configuracin
(dejar los dems casilleros en blanco): Direccin IP: 192.168.0.254 Mascara de subred: 255.255.255.0
Hacer clic en el botn Aceptar Guardar la configuracin Hacer clic en el botn Siguiente
Seleccionar la opcin No, este equipo no est en una red o est en una red sindominio y establecer MEGAPACK como nombre del Dominio o grupo de trabajo delequipo
Hacer clic en el botn Siguiente comienza el proceso de instalacin de componentes Una vez reiniciado el equipo presionar simultneamente las teclas ctrl.+alt+supr Acceder a la interfaz de inicio de sesin
Colocar MgP393pDC (sin las comillas) como contrasea y presionar la tecla ENTER Iniciar sesin como Administrador.
Marcar la opcin No mostrar esta pgina al iniciar sesin y cerrar la ventana (hacerclic en la X que se encuentra en el ngulo superior derecho de la ventana)
Desplegar el men contextual (clic con el botn derecho del Mouse) en cualquier partelibre del escritorio y seleccionar la opcin Propiedades Acceder a las propiedadesde pantalla
Hacer clic en la solapa Configuracin y arrastrar el selector del rea de pantalla hastaque indique 800 por 600 pixeles
Hacer clic en el botn Aceptar Hacer clic en el botn Aceptar Hacer clic en el botn Si indica que los cambios son aceptados
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
26/244
Clase prctica 28 431
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
27/244
432 Administracin de cuentas de Usuario y de Equipo
Administracin de cuentas de Usuario y de Equipo
Clase terica 26
INTRODUCCIN
Una de las funciones como administrador de sistemas es administrar las cuentasde usuario y de equipo. Estas cuentas son objetos de Active Directory y debernutilizarse para permitir que los usuarios inicien la sesin en la red y obtenganacceso a los recursos.
CUENTAS DE USUARIO
Una cuenta de usuario es un objeto que contiene toda la informacin que define aun usuario de Windows Server 2003 R2 y puede ser local o de dominio. Incluye elnombre de usuario y la contrasea con los que el usuario inicia la sesin y losgrupos de los que la cuenta es miembro.
Se puede utilizar una cuenta de usuario para:
Permitir que alguien inicie la sesin en un equipo basndose en la identidadde la cuenta de usuario.Permitir que los procesos y servicios se ejecuten dentro de un contexto deseguridad especfico.
Administrar el acceso de un usuario a los recursos, por ejemplo, los objetosde Active Directory y sus propiedades, carpetas, archivos, directorios ycolas de impresin compartidos.
Nombres asociados a una cuenta de usuario de dominio
Existen cuatro tipos de nombres asociados a las cuentas de usuario de dominio.
En Active Directory, cada cuenta de usuario tiene un nombre de inicio de sesinde usuario, un nombre de inicio de sesin de usuario de versiones anteriores aW indows 2000, nombre de la cuenta del Administrador de cuentas de seguridad
S A M, un nombre principal de inicio de sesin de usuario y un nombre completosegn el Protocolo ligero de acceso a directorios LDAP.
Nombre de inicio de sesin de usuario
Al crear una cuenta de usuario, el administrador escribe un nombre de inicio desesin de usuario. El nombre de inicio de sesin debe ser nico en el bosque enel que se crea la cuenta de usuario. Suele utilizarse como nombre completorelativo. Los usuarios utilizan este nombre slo en el proceso de inicio de sesin.Obtienen acceso con el nombre de inicio de sesin de usuario, una contrasea
y el nombre de dominio en diferentes campos de la pantalla de inicio de sesin.
Los nombres de inicio de sesin de usuario pueden:
Diccionario
S A M
SecurityAcconnis
Manager. Cuentas deseguridad.
LDAP
Lighweight AccessProtocol. ProtocoloLigero de acceso adirectorios.
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
28/244
433Clase terica 26
Activi
dad
Contener hasta 20 caracteres en maysculas y minsculas (el campoadmite ms de 20 caracteres, pero Windows Server 2003 slo reconoce
20).Incluir una combinacin de caracteres alfanumricos y especiales, exceptolos especificados a continuacin: ` / \ [ ] : ; | = , + * ? < >.
N O M B R E
Nombre de inicio de sesin de usuario
Nombre de inicio de sesin en versiones anteriores
a Windows 2000
Nombre de usuario principal de inicio de sesin
Nombre completo relativo de LDAP
EJEMPLO
NicolasR
Servidor1\NicolasR
CN=nicolasr,cn=users,dc=servidor1,dc=com
Nombre de inicio de sesin en versiones anteriores a Windows 2000
Se puede utilizar una cuenta de usuario del sistema bsico de entrada y salidade red (NetBIOS, Network Basic Input/Output System) para iniciar la sesin enun dominio de Windows desde un equipo con un sistema operativo anterior aWindows 2000, mediante un nombre con el formato
NombreDominio\NombreUsuario. Tambin puede utilizarse para iniciar la sesinen dominios de Windows desde equipos con Microsoft Windows 2000 o WindowsXP, o incluso desde servidores con Windows Server 2003 R2, pero el nombre deinicio de sesin para las versiones anteriores a Windows 2000 debe ser nicoen el dominio. Los usuarios pueden iniciar la sesin con el comando runas o enuna pantalla de inicio de sesin secundaria.
Un nombre de inicio de sesin para versiones anteriores a Windows 2000podra ser servidor1\nicolasr.
Nombre principal de inicio de sesin de usuario
El nombre principal de usuario UPN est formado por el nombre de inicio desesin de usuario y el sufijo del nombre principal de usuario, unidos por el smbolo@. El UPN debe ser nico en el bosque.
Diccionario
U PN
Uiel Principal Name.Nombre principal de
usuario.
Definir cuenta de usuario: Definir nombre de inicio de sesin de usuario:
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
29/244
434 Administracin de cuentas de Usuario y de Equipo
La segunda parte del UPN es el sufijo del nombre principal de usuario. stepuede ser el nombre del dominio en el Sistema de nombres de dominio (DNS,
Domain Name System), el nombre DNS de cualquier dominio del bosque o unnombre alternativo creado por un administrador slo para iniciar la sesin.
Los usuarios pueden utilizarlo para iniciar la sesin con el comando Ejecutarcomo o en una pantalla de inicio de sesin secundaria.
Un ejemplo de UPN es [email protected].
Nombre completo segn el LDAP
El nombre completo relativo segn el LDAP nicamente identifica el objeto en sucontenedor primario. Los usuarios nunca utilizan este nombre, pero losadministradores lo emplean para agregar usuarios a la red desde una lnea decomando o una secuencia de comandos. Todos los objetos utilizan la mismaconvencin de nomenclatura de LDAP, por lo que todos los nombres completosrelativos deben ser nicos en su unidad organizativa.
A continuacin se exponen ejemplos de nombres completos segn el LDAP:
CN=nicolasr,CN=users,dc=servidor1,dc=com
CN=pc1,CN=users,dc=servidor1,dc=com
CONVENCIN DE NOMENCLATURA DE CUENTAS DE USUARIO
Una convencin de nomenclatura establece cmo deben identificarse las cuentasde usuario de un dominio. Una convencin coherente facilita recordar los nombresde inicio de sesin de usuario y buscarlos en las listas. Por eso, es buenoacostumbrarse a cumplir la convencin de nomenclatura en uso de una red queadmite un gran nmero de usuarios.
Las siguientes directrices deben ser tomadas en cuenta a la hora de crear unaconvencin de nomenclatura:
Si hay un gran nmero de usuarios, la convencin para los nombres deinicio de sesin de usuario deber adaptarse a los empleados con nombresque se repitan. Un mtodo para seguir la nomenclatura en estos casos esutilizar el nombre y la inicial del apellido y, a continuacin, agregar letras delapellido para evitar nombres duplicados. Por ejemplo, para dos usuarioscon el nombre Nicols Reali, un nombre de usuario puede ser Nico1 y elotro, Nico2.
En algunas empresas, es til identificar a los empleados temporales consus cuentas de usuario. Para ello, agregue un prefijo al nombre de inicio desesin de usuario, por ejemplo una T y un guin (-). Por ejemplo, T-NicoR.
Los nombres de usuario para cuentas de dominio deben ser nicos enActive Directory. Los nombres de inicio de sesin de usuario deben sernicos en el bosque en el que se crea la cuenta de usuario.
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
30/244
435Clase terica 26
PRCTICAS RECOMENDADAS PAR A CREAR CUENTAS DE USUARIO
Hay varias cuestiones relativas a la creacin de cuentas de usuario que reducenlos riesgos para la seguridad en un entorno de red.
Prcticas recomendadas para crear cuentas de usuario locales
No habilite cuentas Invitado
Limite el nmero de personas que pueden iniciar la sesin de forma local
Prticas recomendadas para crear cuentas de usuario de dominio
Deshabilite cualquier cuenta que no vaya utilizarse inmediatamente
Exija que los usuarios cambien la contrasea de sus cuentas la primera
vez que inicien la sesin
Cuentas de usuario local
Tenga en cuenta las siguientes recomendaciones a la hora de crear cuentas deusuario locales:
No habilite cuentas de Invitado.
Cambie el nombre de la cuenta Administrador.
Limite el nmero de personas que pueden iniciar la sesin de forma local.
Utilice contraseas seguras.
Cuentas de usuario de dominio
Tenga en cuenta las siguientes recomendaciones a la hora de crear cuentas deusuario de dominio:
Deshabilite cualquier cuenta que no vaya a utilizarse inmediatamente.
Coloque 1 recomendacin para cuentas de usuario dedominio:
Coloque 1 recomendacin para cuentas de usuariolocales:
Activi
dad
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
31/244
436 Administracin de cuentas de Usuario y de Equipo
Exija que los usuarios cambien la contrasea de sus cuentas la primeravez que inicien sesin.
Una medida de seguridad recomendable es que no inicie la sesin en suequipo con credenciales de administrador.Cuando inicie la sesin en su equipo sin credenciales de administrador, esrecomendable que utilice el comando Ejecutar como para realizar tareasde administracin.Cambie el nombre o deshabilite las cuentas de Invitado y Administrador encada dominio para evitar los ataques a la seguridad.De forma predeterminada, el trfico en las herramientas administrativasde Active Directory queda firmado y cifrado mientras se transmite por lared. No deshabilite esta funcin.
CUENTAS DE EQUIPO
Cualquier equipo en el que se ejecute Microsoft Windows NT, Windows 2000,Windows XP o Windows Server 2003, que pertenezca a un dominio tiene unacuenta de equipo. Igual que las cuentas de usuario, las de equipo proporcionanun medio para la autenticacin y auditora de acceso del equipo a la red y a losrecursos del dominio.
En Active Directory, los equipos son principios de seguridad, igual que losusuarios. Esto significa que los equipos deben disponer de cuentas y contraseas.
Para que Active Directory autentique completamente a un usuario, ste debetener una cuenta de usuario vlida e iniciar sesin en el dominio desde un equipoque disponga de una cuenta de equipo vlida.
Atencin
No se pueden crear cuentas para equipos en los que se ejecuta Microsoft W indows 95, MicrosoftW indows 98, Microsoft W indows Millennium Edition o W indows XP Home Edition, porque estos
sistemas operativos no cumplen los requisitos de seguridad de Active Directory.
Los equipos son responsables de realizar tareas clave, como autenticar el iniciode sesin de un usuario, distribuir las direcciones de Protocolo de Internet (IP,Internet Protocol), mantener la integridad de Active Directory y exigir elcumplimiento de las directivas de seguridad. Para obtener acceso total a estosrecursos de red, los equipos deben disponer de cuentas vlidas en ActiveDirectory. Las dos principales funciones de una cuenta de equipo son preservarla seguridad y realizar tareas de administracin.
Seguridad
Debe crearse una cuenta de equipo en Active Directory para que los usuarios
puedan beneficiarse de todas las funciones de Active Directory.Al crear unacuenta de equipo, ste podr utilizar procesos de autenticacin avanzados comola autenticacin Kerberos y la seguridad IP (IPSec, Internet Protocol Security)
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
32/244
437Clase terica 26
para cifrar el trfico IP. El equipo tambin necesita una cuenta de equipo paraespecificar cmo aplicar y guardar la auditora.
Administracin
Las cuentas de equipo facilitan al administrador la tarea de administrar laestructura de la red. El administrador se sirve de cuentas de equipo paraadministrar la funcionalidad del entorno de escritorio, automatizar el desarrollode software usando Active Directory y mantener el inventario de hardware ysoftware utilizando SMS. Las cuentas de equipo de un dominio tambin se utilizanpara controlar el acceso a los recursos.
Cuando el administrador crea una cuenta de equipo, elige la unidad organizativa
donde va a crearla. Si un equipo se une a un dominio, se crea la cuenta deequipo en el contenedor de equipos y el administrador puede trasladar la cuentaa la unidad organizativa correcta si es necesario.
De forma predeterminada, los usuarios de Active Directory pueden agregar hasta10 equipos al dominio utilizando los permisos de su cuenta de usuario.
Esta configuracin puede modificarse. Si el administrador agrega directamenteuna cuenta de equipo a Active Directory, un usuario puede agregar un equipo aldominio sin utilizar ninguna de las 10 cuentas de equipo asignadas.
BLOQUEO DE CUENTAS DE USUARIO
Una cuenta de usuario se bloquea cuando ha sobrepasado el umbral de bloqueode la cuenta para un dominio. Esto ocurre porque el usuario ha intentado muchasveces obtener acceso a la cuenta con una contrasea incorrecta o porque unapersona ajena a la red ha intentado descubrir las contraseas de usuario y haactivado la directiva de bloqueo de la cuenta.
Los usuarios autorizados pueden bloquear una cuenta al escribir mal la
contrasea, al olvidarla o al haber intentado cambiarla en un equipo despus deiniciar la sesin en otro. El equipo en el que se escribe una contrasea incorrectaintenta continuamente autenticar al usuario. Y puesto que la contrasea que seest utilizando es incorrecta, la cuenta finalmente se bloquea.
Definir que sistemas operativos no cumplen losrequisitos de seguridad de Active Directory:
Definir cuenta de equipo:
Activi
dad
Diccionario
S M S
System ManagementServer. Sistema deadministracin de
servidores.
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
33/244
438 Administracin de cuentas de Usuario y de Equipo
La configuracin de seguridad de Active Directory determina el nmero de intentosfallidos de inicio de sesin que provoca el bloqueo de una cuenta. El usuario nopodr utilizar la cuenta bloqueada hasta que el administrador la restablezca ohasta que el tiempo de bloqueo finalice. Cuando una cuenta de usuario se bloquea,aparece un mensaje de error y no se permite al usuario que realice ms intentosde inicio de sesin.
Intento de sesin fallido
Un usuario puede bloquear una cuenta si intenta iniciar la sesin muchas vecescon una contrasea incorrecta.
Los intentos con contrasea incorrecta se producen cuando:
El usuario inicia la sesin en la pantalla correspondiente pero proporcionauna contrasea incorrecta.
El usuario inicia la sesin con una cuenta local y proporciona una cuentade usuario de dominio y una contrasea incorrectas cuando intenta obteneracceso a los recursos de la red.
El usuario inicia la sesin con una cuenta local y proporciona una cuentade usuario de dominio y una contrasea incorrectas cuando intenta obteneracceso a los recursos de la red con el comando runas.
Restablecimiento de la contrasea de una cuenta
Los administradores pueden restablecer la contrasea de usuario para que puedanvolver a obtener acceso. Antes de intentar restablecer la contrasea de dominioy la local, compruebe que tiene el nivel de permisos adecuado.Despus de restablecer la contrasea de usuario, hay informacin a la que yano se puede tener acceso, como la que se especifica a continuacin:
Correo electrnico cifrado con la clave pblica del usuario
Contraseas de Internet que se guardan en el equipoArchivos cifrados por el usuario
Cuando necesite
restablecer unacontrasea de usuario,
recuerde que losadministradores localesy los Administradores de
dominio,
Administradores deorganizacin,
Operadores de cuentas ytodos aquellos grupos alos que se les haya
otorgado la autoridadpara restablecercontraseas estn
autorizados a restablecerlas contraseas.
Nota
LOCALIZACIN DE OBJETOS EN ACTIVE DIRECTO RY
Debido a que todas las cuentas de usuario se encuentran en Active Directory, losadministradores pueden buscar las que administran.
Adems, tambin se pueden buscar otros objetos de Active Directory, comoequipos, impresoras y carpetas compartidas. Una vez encontrados estos objetos,pueden administrarse desde el cuadro Resultado de la bsqueda.
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
34/244
439Clase terica 26
Tambin es posible buscar otros objetos, como unidades organizativas especficaso plantillas de certificado. Es necesario utilizar Bsqueda personalizada paracrear consultas de bsqueda personalizada utilizando opciones de bsquedaavanzada o para crear consultas de bsqueda avanzada mediante LDAP, que esel protocolo de acceso principal para Active Directory.
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
35/244
Administracin de cuentas de Usuario y de Equipo440
Clase prctica 26
Administracin de Grupos
En el servidor 1 (MGP-SRV04)
Una vez iniciado el sistema se proceder a iniciar sesin como Administrador presionandosimultneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz de inicio de sesin.Introducir MgP393pDC (sin las comillas) como contrasea y presionar la tecla ENTERUna vez en el escritorio se proceder de la siguiente manera:
Men Inicio (clic) Herramientas administrativas (clic) Usuarios y equipos de Active Directory (clic) Ejecuta la consola de Administracin de
usuarios y equipos de Active Directory Megapack.com (doble clic) Megapack.com (clic con el botn derecho del Mouse) Nuevo (clic) Unidad organizativa (clic) Crear una nueva Unidad Organizativa
Colocar Servidores (sin las comillas) en el cuadro de texto Nombre: Botn Aceptar (clic) Crea la nueva unidad organizativa Servidores Megapack.com (clic con el botn derecho del Mouse) Nuevo (clic) Unidad organizativa (clic) Crear una nueva Unidad Organizativa Colocar Tecnologa (sin las comillas) en el cuadro de texto Nombre: Botn Aceptar (clic) Crea la nueva unidad organizativa Tecnologa Domain Controllers (doble clic) Tecnologa (clic con el botn derecho del mouse) Nuevo (clic) Grupo (clic) Crear un nuevo grupo de usuarios dentro de la unidad organizativa
tecnologa
Establecer la siguiente configuracin para el grupo: Nombre de grupo: Sistemas Nombre de grupo (anterior a Windows 2000): Sistemas mbito del grupo: Global Tipo de grupo: Seguridad
Botn Aceptar (clic) crea el grupo sistema como un grupo global y de seguridad Tecnologa (clic con el botn derecho del mouse) Nuevo (clic) Grupo (clic) Crear un nuevo grupo de usuarios dentro de la unidad organizativa
tecnologa Establecer la siguiente configuracin para el grupo:
Nombre de grupo: DBA Nombre de grupo (anterior a Windows 2000): DBA mbito del grupo: Global Tipo de grupo: Seguridad
Ejercicio 1:
Mediante la realizacin de esta prctica usted comprender la funcin y la correcta manerade implementacin de cuentas de usuario de un dominio adems de las correspondientescuentas de equipo.
Los siguientes ejercicios estn desarrollados para que usted pueda aplicarlosefectivamente en el mbito laboral, permitindole resolver problemas de manera eficaz yconcreta.
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
36/244
Clase prctica 26 441
Botn Aceptar (clic) crea el grupo DBA como un grupo global y de seguridad Tecnologa (clic con el botn derecho del mouse) Nuevo (clic)
Grupo (clic) Crear un nuevo grupo de usuarios dentro de la unidad organizativaventas
Establecer la siguiente configuracin para el grupo: Nombre de grupo: Desarrollo Nombre de grupo (anterior a Windows 2000): Desarrollo mbito del grupo: Global Tipo de grupo: Seguridad
Botn Aceptar (clic) crea el grupo Desarrollo como un grupo global y de seguridad
Ejercicio 1:
Una vez iniciado el sistema se proceder a iniciar sesin como Administrador presionandosimultneamente las teclas ctrl.+alt+supr para poder acceder a la interfaz de inicio de sesin.Introducir MgP393pDC (sin las comillas) como contrasea y presionar la tecla ENTERUna vez en el escritorio se proceder de la siguiente manera:
Icono Mis sitios de red (clic con el botn derecho del Mouse) Propiedades (clic) despliega la ventana de Conexiones de red y de acceso telefnico Icono Conexin de rea local (clic con el botn derecho del Mouse) Propiedades (clic) despliega la ventana de Propiedades de Conexin de rea local
Protocolo Internet (TCP/IP) (doble clic) despliega la ventana de Propiedades deProtocolo Internet (TCP/IP) Marcar la opcin Usar la siguiente direccin IP: Establecer la siguiente configuracin (dejar el resto de las opciones en blanco):
Direccin IP: 172.16.1.4 Mascara de subred: 255.255.0.0 Servidor DNS preferido: 172.16.1.3
Botn Avanzada (clic) despliega la ventana de configuracin avanzada Solapa DNS (clic) Acceder a la configuracin avanzada del cliente DNS Desmarcar la opcin Anexar sufijos primarios del sufijo DNS principal (haciendo un clic
en la casilla de verificacin) Botn Aceptar (clic) Guardar configuracin y salir Botn Aceptar (clic) Guardar configuracin y salir Botn Aceptar (clic) Activar la nueva configuracin y salir Cerrar la ventana de Conexiones de red y de acceso telefnico (haciendo clic en la X
que se encuentra en el ngulo superior derecho de la ventana.) Una vez en el escritorio se proceder de la siguiente manera para promover al servidor
a controlador de dominio: Men Inicio (clic) Ejecutar (clic) Ingresar dcpromo (sin las comillas) en el cuadro de texto y presionar la tecla ENTER
ejecutar el asistente de instalacin de Active Directory. Botn Siguiente (clic) Controlador de dominio adicional para un dominio existente (clic) Establecer la siguiente configuracin en la ventana Credenciales de red:
Nombre de usuario: Administrador Contrasea: MgP393pDC
En el Servidor 2 (MGP-SRV05):
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
37/244
Administracin de cuentas de Usuario y de Equipo442
Dominio: megapack0 Botn Siguiente (clic) Establece cuales son las credenciales que se utilizarn para
agregar el nuevo controlador al dominio Introducir megapack.com (sin las comillas) en el cuadro de texto Nombre de dominio
Indica a que dominio se desea agregar el nuevo controlador Botn Siguiente (clic) Botn Siguiente (clic) Establece la ruta por defecto para la ubicacin de la base
de datos y el registro de Active Directory (C:\WINNT\NTDS) Botn Siguiente (clic) Establece la ruta por defecto para la ubicacin de la
carpeta SYSVOL (C:\WINNT\SYSVOL) Botn Siguiente (clic) Establecer la siguiente configuracin para la Contrasea del Modo de restauracin de
servicios de directorio: Contrasea: MgP393pDC Confirmar contrasea: MgP393pDC
Botn Siguiente (clic)
Botn Siguiente (clic) comienza el proceso de replicacin Botn Finalizar (clic) Responder de manera afirmativa a la pregunta de si se desea reiniciar el equipo Al
reiniciar los cambios tendrn efecto Una vez el equipo reinicie, verificar que estn instaladas las herramientas de sistema
correspondientes y el estado de la base de datos de Active Directory (Grupos, unidadesorganizativas, etc.)
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
38/244
Clase prctica 26 443
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
39/244
444 Administracin de Grupos
Administracin de Grupos
Clase terica 27
INTRODUCCIN
Los grupos pueden ser utilizados para administrar de forma eficaz el acceso alos recursos de un dominio y simplificar, de este modo, la administracin ymantenimiento de la red.
Tambin pueden utilizarse los grupos de forma independiente o incluir un grupodentro de otro para simplificar an mas la administracin.
Antes de poder utilizar grupos de forma eficaz, se debe conocer la funcin de losgrupos y los tipos de grupo que se pueden crear. El servicio de directorios ActiveDirectory admite diferentes tipos de grupos y ofrece tambin opciones paradeterminar el mbito del grupo, es decir, cmo puede utilizarse el grupo en variosdominios.
GRUPOS
Los grupos son un conjunto de cuentas de equipo y de usuario que se puedenadministrar como una sola unidad. Los grupos:
Simplifican la administracin al facilitar la concesin de permisos para
recursos a todo un grupo en lugar de a cada una de las cuentas de usuario
individualmente.
Pueden estar basados en Active Directory o ser locales, de un equipo
individual.
Se distinguen por su mbito y tipo.
Pueden anidarse, es decir, se puede agregar un grupo a otro.
mbitos de grupo
El mbito de un grupo determina si el grupo comprende varios dominios o selimita a uno solo. Los mbitos de grupo permiten utilizar grupos para la concesinde permisos. El mbito de grupo determina:
Los dominios desde los que puede agregar miembros al grupo.
Los dominios en los que puede utilizar el grupo para conceder permisos.
Los dominios en los que puede anidar el grupo en otros grupos.
El mbito de un grupo determina cules son los miembros del grupo. Las reglasde pertenencia controlan los miembros que puede contener un grupo y los grupos
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
40/244
445Clase terica 27
de los que puede ser miembro. Los miembros de un grupo estn formados porcuentas de usuario, cuentas de equipo y otros grupos.
Para asignar los miembros correctos a los grupos y para anidar un grupo, esimportante conocer las caractersticas del mbito de grupo. Existen los siguientesmbitos de grupo:
Global
Local de dominio
TIPOS DE GRUPO
Puede utilizar los grupos para organizar las cuentas de usuario, de equipo yotras cuentas de grupo en unidades administrables. Trabajar con grupos en lugarde con usuarios individuales, ayuda a simplificar la administracin y elmantenimiento de la red. Existen los siguientes grupos en Active Directory:
Distribucin
Se utiliza para asignar derechos y permisos de usuario. Se puede usar como una lista
de distribucin de correo electrnico.
Slo se puede usar con aplicaciones de correo electrnico. NO se puede utilizar para
asignar permisos
Los grupos simplifican la administracin, ya que permiten asignarpermisos para los recursos
G R U P O
Los grupos se distinguen por su mbito y tipo
El mbito de un grupo determina si el grupo comprende varios dominios o se limita a uno slo.
Los 3 mbitos de grupo son: global, local de dominio, universal y local.
Universal
Local
Definir mbito de grupo:Definir grupo:
Activi
dad
DESCRIPCINTIPO DE GRUPO
Seguridad
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
41/244
446 Administracin de Grupos
Grupos de seguridad
Puede utilizar los grupos de seguridad para asignar derechos y permisos de
usuario a grupos de usuarios y equipos. Los derechos especifican las accionesque pueden realizar los miembros de un grupo de seguridad en un dominio obosque, y los permisos especifican los recursos a los que puede obtener accesoun miembro de un grupo en la red.
Tambin puede utilizar grupos de seguridad para enviar mensajes de correoelectrnico a varios usuarios. Al enviar un mensaje de correo electrnico al grupo,el mensaje se enva a todos sus miembros. Por lo tanto, los grupos de seguridadtienen funciones de grupos de distribucin.
Grupos de distribucin
Puede utilizar los grupos de distribucin con aplicaciones de correo electrnico,como Microsoft Exchange, para enviar mensajes de correo electrnico a gruposde usuarios. La finalidad principal de este tipo de grupo es recopilar objetosrelacionados, no conceder permisos.
Los grupos de distribucin no tienen habilitada la seguridad, es decir, no puedenutilizarse para asignar permisos. Si necesita un grupo para controlar el acceso alos recursos compartidos, cree un grupo de seguridad. Aunque los grupos deseguridad tienen todas las funciones de los grupos de distribucin, estos ltimos
todava son necesarios, porque algunasaplicaciones slo pueden utilizar grupos de distribucin. Los grupos de distribuciny de seguridad admiten uno de los tres mbitos de grupo.
NIVELES FUNCIONALES DE DOMINIO
Las caractersticas de los grupos de Active Directory dependen del nivel funcionalde dominio. La funcionalidad de dominio activa funciones que afectan a todo undominio y slo a ese dominio.
Hay tres niveles funcionales de dominio disponibles:
Microsoft Windows 2000 mixto
Windows 2000 nativo
Microsoft Windows Server 2003.
Los dominios funcionan de forma predeterminada en el nivel funcional Windows2000 mixto.
Puede aumentar el nivel funcional de dominio a Windows 2000 nativo o WindowsServer 2003.
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
42/244
447Clase terica 27
Windows 2000
mixto
(predeterminado)
Windows NT Server 4.0,
Windows 2000,
Windows Server 2003
Global y local de
dominio
Controladores de
dominio admitidos
mbitos de grupo
admitidos
Windows 2000 nativo
Windows 2000,
Windows Server 2003
Global, local de dominio
y universal
Windows Server 2003
Windows Server 2003
Global, local de dominio
y universal
Puede convertir encualquier momento
un grupo deseguridad en un
grupo de distribuciny viceversa, peroslo si el nivel
funcional de dominiose encuentra
definido en W indows2000 nativo osuperior.
Nota
GRUPOS GLOBALES
Un grupo global es un grupo de distribucin o de seguridad que puede contenerusuarios, grupos y equipos procedentes del mismo dominio que el grupo global.Se pueden utilizar los grupos de seguridad globales para asignar derechos ypermisos de usuario a los recursos de cualquier dominio del bosque.
Caractersticas de los grupos globales:
Miembros
En un nivel funcional de dominio mixto, los grupos globales pueden
contener cuentas de usuario y equipo del mismo dominio que el grupoglobal.En un nivel funcional nativo, los grupos globales pueden contener cuentasde usuario, cuentas de equipo y grupos globales del mismo dominioque el grupo global.
Puede ser miembro de:
En el modo mixto, un grupo global slo puede ser miembro de gruposlocales de dominio.En el modo nativo, un grupo global puede ser miembro de grupos locales
de dominio y universales en cualquier dominio, y de grupos globales delmismo dominio que el grupo global.
Enumerar niveles de un dominio:Definir grupo de distribucin:
Activi
dad
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
43/244
448 Administracin de Grupos
mbito
Un grupo global es visible dentro de su dominio y de todos los dominios
de confianza, en los que se incluyen todos los dominios del bosque.
Permisos
Puede conceder permisos a un grupo global para todos los dominios delbosque.
Debido a que los grupos globales son visibles en todo el bosque, no deben crearsepara obtener acceso a recursos especficos del dominio. Se debe utilizar ungrupo global para organizar a los usuarios que comparten las mismas tareas detrabajo y necesitan requisitos de acceso a la red similares. Para controlar el
acceso a los recursos de un dominio, sera conveniente utilizar otro tipo de grupo.
GRUPOS UNIVERSALES
Un grupo universal es un grupo de distribucin o de seguridad que contieneusuarios, grupos y equipos de cualquier dominio del bosque. Se pueden utilizarlos grupos de seguridad universales para asignar derechos y permisos de usuarioa los recursos de cualquier dominio del bosque.
Caractersticas de los grupos universales:
Miembros
No puede crear grupos universales en el modo mixto.En el modo nativo, los grupos universales pueden contener cuentas deusuario, cuentas de equipo, grupos globales y otros grupos universalesde cualquier dominio del bosque.
Puede ser miembro de:
No se puede aplicar el grupo universal en el modo mixto.En el modo nativo, el grupo universal puede ser miembro de los gruposlocales de dominio y universales de cualquier dominio.
mbito
Los grupos universales son visibles en todos los dominios del bosque ydominios de confianza.
Permisos
Puede conceder permisos a grupos universales para todos los dominiosdel bosque.
Se deben utilizar los grupos universales para anidar grupos globales y poderasignar permisos a recursos relacionados de varios dominios. Un dominio de
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
44/244
449Clase terica 27
Windows Server 2003 R2 debe estar en el modo Windows 2000 nativo o superiorpara poder utilizar grupos universales.
GRUPOS LOCALES
Un grupo local es un conjunto de cuentas de usuario y grupos de dominio creadosen un servidor miembro o en un servidor independiente. Se pueden crear gruposlocales para conceder permisos para los recursos que residen en un equipolocal. Windows 2000 o Windows Server 2003 R2 crean grupos locales en unabase de datos de seguridad local. Los grupos locales pueden contener usuarios,equipos, grupos globales, grupos universales y otros grupos locales de dominio.
Debido a que los grupos con un mbito local de dominio reciben a menudo el
nombre de grupos locales, es importante distinguir entre un grupo local y ungrupo con mbito local de dominio. Los grupos locales a veces reciben el nombrede grupos locales de equipo para distinguirlos de los grupos locales de dominio.
Caractersticas de los grupos locales:
Los grupos locales pueden contener cuentas de usuario locales del equipoen el que se crea el grupo local.
Los grupos locales no pueden ser miembros de otro grupo.
Directrices para utilizar grupos locales:
Slo se pueden utilizar grupos locales en el equipo en el se crean los gruposlocales. Los permisos del grupo local ofrecen acceso slo a los recursos delequipo en el que se cre el grupo local.
Se pueden utilizar los grupos locales en los equipos que estn ejecutandoactualmente sistemas operativos clientes de Microsoft admitidos y enservidores miembros en los que se est ejecutando Windows Server 2003.No puede crear grupos locales en controladores de dominio, porque stosno pueden tener una base de datos de seguridad independiente de la basede datos de Active Directory.
Cree grupos locales para limitar la capacidad de acceso de los usuarios ygrupos locales a los recursos de la red cuando no desee crear grupos dedominio.
Definir grupo local:Definir grupo universal:
Activi
dad
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
45/244
450 Administracin de Grupos
ANIDAMIENTO DE GRUPOS
Mediante el anidamiento, se puede agregar un grupo como miembro de otro.
Se pueden anidar grupos para consolidar la administracin de grupos. Elanidamiento aumenta las cuentas de miembros que se ven afectadas por unanica accin y reduce el trfico provocado por la replicacin de los cambios enla pertenencia a grupos.
Las opciones de anidamiento varan en funcin de que el nivel funcional deldominio de Windows Server 2003 se haya establecido como Windows 2000nativo o Windows 2000 mixto. En los dominios en los que se ha establecido elnivel funcional de dominio en Windows 2000 nativo, la pertenencia a grupos vienedeterminada de la siguiente manera:
Los grupos universales pueden tener los siguientes miembros: cuentasde usuario, cuentas de equipo, grupos universales y grupos globales decualquier dominio.Los grupos globales pueden tener los siguientes miembros: cuentas deusuario, cuentas de equipo y grupos globales del mismo dominio.Los grupos locales de dominio pueden tener los siguientes miembros:cuentas de usuario, cuentas de equipo, grupos universales y gruposglobales de cualquier dominio. Pueden tener tambin como miembrosgrupos locales de dominio del mismo dominio.
No se pueden crear grupos de seguridad con mbito universal en dominios enlos que el nivel funcional de dominio se ha establecido en Windows 2000 mixto.
Slo admiten un mbito universal, los dominios en los que el nivel funcional dedominio se ha establecido en Windows 2000 nativo o Windows Server 2003.
Atencin
Se recomienda minimizar los niveles de anidamiento. Un nico nivel de anidamiento es el mtodo mseficaz, porque el seguimiento de los permisos se complica cuando hay varios niveles.
Adems, la solucin de problemas se dificulta si es necesario realizar un seguimiento de los permisos envarios niveles de anidamiento. Por lo tanto, documente la pertenencia a grupos para realizar un
seguimiento de los permisos.
MODIFICACIN DEL MBITO O TIPO DE UN GRUPO
Al crear un grupo nuevo, ste se configura de forma predeterminada como grupode seguridad con mbito global, independientemente del nivel funcional de dominioactual.
Aunque no se puede cambiar el mbito de grupo en dominios con un nivel funcional
de dominio definido en Windows 2000 mixto, se pueden realizar los siguientescambios de mbito en dominios con un nivel funcional de dominio definido enWindows 2000 nativo o Windows Server 2003:
-
7/13/2019 Modulo 2 ADMINISTRACION DE WINDOWS 2003 R2 SERVER
46/244
451Clase terica 27
De global a universal. Slo se permite realizar este cambio si el grupo quedesea cambiar no es miembro de otro grupo global.
De local de dominio a universal. Slo se permite realizar este cambio si elgrupo que desea cambiar no tiene otro grupo local de dominio comomiembro.De universal a global. Slo se permite realizar este cambio si el grupo quedesea cambiar no tiene otro grupo universal como miembro.De universal a local de dominio. No existen restricciones para realizar estecambio.
No se puede cambiar unmbito de grupo de
global a local de dominio
directamente. Pararealizar esta accin, sedebe cambiar primero elmbito de grupo deglobal a universal y, acontinuacin, deuniversal a local de
dominio.
Nota
Cambio del tipo de grupo
Puede convertir en cualquier momento un grupo de seguridad en un grupo dedistribucin y viceversa, pero slo si el nivel funcional de dominio se encuentradefinido en Windows 2000 nativo o superior. No puede convertir un grupo si elnivel funcional de dominio se encuentra definido en Windows 2000 mixto.
Se pueden convertir grupos de un tipo a otro en las siguientes situaciones:
De seguridad a distribucin: Si una compaa se divide en dos. Los usuariosse migran de un dominio a otro, pero mantienen sus direcciones de correoelectrnico antiguas. Desea enviarles mensajes de correo electrnico,mediante los grupos de seguridad antiguos, pero prefiere eliminar elcontexto de seguridad del grupo.
De distribucin a seguridad: Un grupo de distribucin aumentaconsiderablemente y los usuarios desean utilizarlo para tareas relacionadascon la seguridad. Sin embargo, an desean utilizar el grupo para tareas decorreo electrnico.
Asignar un administrador a un grupo
Active Directory de Windows Server 2003 permite asignar un administrador a ungrupo como propiedad del grupo. Esto le permite:
Controlar quin es la persona responsable de los grupos.
Delegar en el administrador del grupo la autoridad para agregar y eliminar
usuarios del grupo.
Cuntos niveles de anidamiento se re