Professional Documents
Culture Documents
Tabla de contenidos
1. Instalacin de Windows 2000 ................................................................................................. 1.1. Familia de Productos Windows 2000 .......................................................................... 1 1.1.1. Windows 2000 Professional ............................................................................ 2 1.1.2. Windows 2000 Server .................................................................................... 2 1.1.3. Windows 2000 Advanced Server ..................................................................... 3 1.1.4. Windows 2000 Datacenter Server .................................................................... 4 1.2. Preparacin de la Instalacin ..................................................................................... 4 1.2.1. Requisitos de Hardware ................................................................................. 4 1.2.2. Particin de Discos ....................................................................................... 5 1.2.3. Eleccin del Sistema de Ficheros ..................................................................... 5 1.2.4. Seleccin del Modo de Licencia ...................................................................... 5 2. Configuracin Post-Instalacin ............................................................................................... 2.1. El Proceso de Arranque de Windows 2000 ................................................................... 7 2.1.1. La Secuencia de Arranque .............................................................................. 7 2.1.2. La Carga del Sistema Operativo ....................................................................... 7 2.2. Solucin de Problemas en el Proceso de Arranque ......................................................... 8 2.2.1. Ultima configuracin Buena Conocida .............................................................. 8 2.2.2. Reparacin de una Instalacin con los Discos de Arranque de Windows 2000 .......... 9 2.2.3. Creacin de un Disco de Reparacin de Emergencia. ........................................... 9 2.2.4. Creacin de un disco de arranque ..................................................................... 9 2.2.5. La Consola de recuperacn ............................................................................. 9 2.3. Linux al rescate ......................................................................................................11 2.4. Service Packs. Windows Updates ..............................................................................12 3. Administracin de Discos ...................................................................................................... 3.1. Geometra de los Discos Duros. ................................................................................13 3.1.1. Lmites a la Geometra de los Discos IDE .........................................................13 3.1.2. Problemas Causados por Lmites a la Geometra de los Discos IDE. ......................15 3.1.3. Particiones del Disco. ...................................................................................16 3.2. La consola de administracin de discos .......................................................................17 3.2.1. Configuracin de la Consola ..........................................................................17 3.2.2. Discos bsicos y dinmicos. ...........................................................................18 3.2.3. Creacin de Particiones. ................................................................................18 3.2.4. Creacin de Volmenes. ...............................................................................22 3.3. Utilidades .............................................................................................................24 3.3.1. Diskpart .....................................................................................................24 3.4. Sistemas de Ficheros ...............................................................................................25 3.5. Copias de Seguridad ...............................................................................................26 3.5.1. Carpetas y ficheros .......................................................................................26 3.5.2. Estado del Sistema .......................................................................................27 4. Servicios del Sistema ............................................................................................................ 4.1. Introduccin ..........................................................................................................29 4.2. Servicios ..............................................................................................................29 4.2.1. Tipo de Inicio de un Servicio .........................................................................30 4.2.2. Dependencias entre Servicios .........................................................................31 4.2.3. Recuperacin de un servicio ..........................................................................32 4.3. Solucionando Problemas ..........................................................................................33 5. Proteccin Local .................................................................................................................. 5.1. Introduccin ..........................................................................................................35 5.2. Concepto de usuario ...............................................................................................35 5.3. Grupos de Usuarios ................................................................................................36 5.4. El modelo de proteccin ..........................................................................................37 5.5. Atributos de proteccin de los procesos ......................................................................37 5.6. Derechos de usuario ................................................................................................38 5.6.1. Otras directivas de seguridad ..........................................................................39 5.7. Atributos de proteccin de los recursos .......................................................................39 5.7.1. Asociacin de permisos a recursos ..................................................................40 5.7.2. Permisos estndar e individuales .....................................................................40 v
5.8. Reglas de proteccin ...............................................................................................43 6. Administracin Bsica de Dominios ........................................................................................ 6.1. Introduccin ..........................................................................................................45 6.2. Dominios en Windows 2000 .....................................................................................45 6.2.1. Concepto de dominio ....................................................................................45 6.2.2. Clientes y servidores ....................................................................................46 6.2.3. Modos de funcionamiento .............................................................................46 6.3. Implementacin de dominios: el Directorio Activo .......................................................47 6.3.1. El Directorio Activo .....................................................................................47 6.3.2. Concepto de dominio segn el Directorio Activo ...............................................48 6.3.3. Mltiples dominios en la misma organizacin ...................................................48 6.4. Principales objetos administra un dominio ...................................................................49 6.4.1. Usuarios globales .........................................................................................49 6.4.2. Grupos .......................................................................................................50 6.4.3. Equipos .....................................................................................................51 6.4.4. Unidades Organizativas ................................................................................51 6.5. Comparticin de recursos entre sistemas Windws 2000 ..................................................52 6.5.1. Permisos y derechos .....................................................................................52 6.5.2. Comparticin dentro de un dominio .................................................................53 6.5.3. Mandatos Windows 2000 para compartir recursos ..............................................53
vi
Toda la familia de productos est diseada pra proporcionar servicios de red, de aplicaciones, de comunicaciones y web con una mayor capacidad de administracin, fiabilidad, dsponibilidad, interoperabilidad, escalabilidad y seguridad. Para satisfacer las necesidades informticas de las organizaciones de todos los tamaos, hay disponibles varios productos Windows 2000. Comprender las capacidades de cada uno de los sistemas operativos Microsoft Windows 2000 permitir elegir el producto ms adecuado a las necesidades actuales y futuras de la organizacin: Windows 2000 Professional: reemplaza a Microsoft Windows 95, Windows 98 y Microsoft Windows NT 4.0 Workstation. Es el sistema operativo de escritorio ideal para organizaciones de todos los tamaos. Windows 2000 Server: Contiene todas las caractersticas de Windows 2000 Professional y ofrece servicios que simplifican la administracin de redes. Esta versin de Windows 2000 es ideal para servidores de archivos e impresin, servidores Web y grupos de trabajo. Windows 2000 Advanced Server: Contiene todas las caractersticas de windows 2000 Server y ofrece mayor escalabilidad y disponibilidad del sistema. Esta versin de Windows 2000 est diseada para los servidores que se emplean en una red empresarial de gran tamao y para tareas que hacen un uso intensivo de base de datos. Windows 2000 Datacenter Server: Contiene todas las caractesticas de Windows 2000 Advanced Server, admitiendo ms memoria (RAM) y ms procesadores por equipo. Se ha diseado para admitir almacenes de datos de gran tamao, el procesamiento de transacciones en lnea y proyectos de consolidacin de servidores 1
A.
Active Directory (directorio activo): El servicio de directorio Active Directory est incluido en todos los productos de servidor Windows 2000. Este proporciona un conjunto de interfaces nico para realizar tareas administrativas comunes como agregar nuevos usuarios, administrar impresoras o buscar recursos en toda la organizacin. Con Active Directory podemos conseguir fcilmente los siguientes objetivos: Administracin simplificada: AD ofrece una nica ubicacin para almacenar informacin acerca de usuarios y recursos. Administracin flexible: AD aumenta la flexibilidad administrativa al permitir delegar el control sobre los usuarios y equipos a otros usuarios o grupos. Escalabilidad: en Windows NT, los dominios tenan un lmite de 40000 usuarios y por tanto se deban de crear mltiples dominios para una organizacin grande. Un dominio de Active Directory en Windows 2000 puede contener millones de usuarios. Protocolo basado en estndares: el acceso a Active Directory se realiza mediante el protocolo LDAP (Lightweight Directory Access Protocol). Las aplicaciones utilizan LDAP en lugar de protocolos patentados para tener acceso y modificar informacin de Active Directory.
B.
Administracin simplificada: Windows 2000 Server ayuda a los administradores a controlar los equipos de la red fcilmente desde una ubicacin central, lo que reduce considerablemente el costo total de propiedad de un entorno basado en Windows. Entre las caractersticas y mejoras aadidas para simplificar la administracin de toda la red, podemos encontrar lo siguiente: Directiva de grupo: proporciona a los administradores un mayor control sobre los usuarios que tienen acceso a determinadas estaciones de trabajo, datos y aplicaciones. Tambin permite a los administradores definir y controlar el estado de las cuentas de usuario y equipo en la organizacin. DNS dinmico: disminuye los costos de administracin de la red, ya que reduce la necesidad de modificar manualmente la base de datos DNS cada vez que se produce un cambio en la configuracin de un cliente DNS. Servicios de Terminal Server: permite que los equipos cliente tengan acceso a aplicaciones basadas en Windows que se ejecutan en su totalidad en el servidor y admite varias sesiones de clientes en el servidor. El servidor administra todos los recursos informticos para los equipos cliente conectados y ofrece su propio entorno a todos los usuarios que tienen iniciada una sesin.
Preparacin de la Instalacin
Al igual que Windows 2000 Advanced Server, Windows 2000 Datacenter Server incluye los servicios de clster y equilibrio de carga como caractersticas estndar. Windows 2000 Datacenter Server proporciona funcionalidad ptima en: Grandes almacenes de datos. Anlisis economtricos. Simulaciones de ingeniera a gran escala. Procesamiento de transacciones en lnea. Proveedores de servicios de Internet (ISP).
Windows 2000 Server: CPU: pentium a 133 MHz (se recomienda superior)
Particin de Discos
Memoria: se recomienda 256 MB para servidores que admiten hasta 5 clientes. Disco Duro: 2GB con un mnimo de 1GB para la particin que contendr el sistema.
Antes de instalar Windows 2000, compruebe que el hardware disponible se encuentra en la lista de compatibilidad de hardware (Hardware Compatibility List, HCL).
La nueva versin de NTFS en Windows 2000 permite el almacenamiento remoto, volmenes dinmicos y el montaje de volmenes en carpetas. Es importante precisar que ni FAT ni FAT32 ofrecen las caractersticas de seguridad que proporciona NTFS.
No se requieren licencias de acceso de cliente para el acceso annimo a servicios web. El acceso autenticado a servicios Web puede estar autorizado para un nmero ilimitado de usuarios de Internet con una licencia de conector de Internet.
Captulo 2. Post-Instalacin
Tabla de contenidos
Configuracin
2.1. El Proceso de Arranque de Windows 2000 ........................................................................... 7 2.1.1. La Secuencia de Arranque ...................................................................................... 7 2.1.2. La Carga del Sistema Operativo ............................................................................... 7 2.2. Solucin de Problemas en el Proceso de Arranque ................................................................. 8 2.2.1. Ultima configuracin Buena Conocida ...................................................................... 8 2.2.2. Reparacin de una Instalacin con los Discos de Arranque de Windows 2000 .................. 9 2.2.3. Creacin de un Disco de Reparacin de Emergencia. ................................................... 9 2.2.4. Creacin de un disco de arranque ............................................................................. 9 2.2.5. La Consola de recuperacn ..................................................................................... 9 2.3. Linux al rescate ..............................................................................................................11 2.4. Service Packs. Windows Updates ......................................................................................12
arranque se encarga ahora de obtener informacin sobre el hardware del sistema, as como los manejadores (drivers) asociados a los dispositivos. El programa Ntldr.exe cambia el procesador del modo real al modo de 32 bits, ya que Ntldr es una aplicacin de 32 bits. La primera tarea que realiza el programa Ntdlr consiste en cargar el minicontrolador del sistema de archivos. Este paso es necesario para la localizacin y la carga de Windows 2000. A continuacin lee el fichero Boot.ini, mostrando los diferentes sistemas operativos con los que se puede arrancar. Si el sistema operativo elegido es distinto de 2000, Ntldr carga y ejecuta Bootsec.dos, parndose el proceso de arranque de Windows 2000. Si el sistema operativo seleccionado es 2000, el programa Ntldr ejecuta Ntdetect.exe, encargado de buscar el hardware del equipo, devolviendo una lista con el hardware encontrado a Ntldr para que sea incluido en el registro. Por ltimo Ntldr carga Ntoskrnl.exe, Hal.dll y la clave ``System'' del Registro que permite a Ntldr cargar los manejadores configurados para ser iniciados en el proceso de arranque. Tras ello, Ntldr cede el control a Ntoskrnl.exe terminando el proceso de arranque para comenzar la carga del sistema operativo.
2.2.2. Reparacin de una Instalacin con los Discos de Arranque de Windows 2000
Si el error se produce debido a un fallo o un error en alguno de los ficheros de Windows 2000, es posible recuperarlo utilizando los discos de instalacin de Windows 2000. Se introduce el primero de los disquetes iniciando el proceso de instalacin de Windows 2000. Durante dicho proceso aparece un men preguntando si se desea instalar 2000 o reparar una instalacin existente. Al elegir esta opcin, aparece un nuevo men preguntando si deseamos reparar los ficheros de 2000 o la base de datos de usuario. Ser necesario intorducir el Cd-rom de 2000 y el programa de instalacin se encargar de revisar los ficheros de la instalacin de 2000 y reparar aquellos que se hayan modificado.
La Consola de recuperacn
Microsoft ha conseguido eliminar, por fin, las diferencias en el terreno de la recuperabilidad antes mencionadas al incluir en W2000 las utilidades que han logrado situarlo a un mismo nivel que los sistemas Windows 9x. Adems de las mejoras internas en la fiabilidad que han hecho de W2000 un sistema menos proclive a los bloqueos, Microsoft ha incluido varias caractersticas nuevas de recuperacin que facilitan la reparacin de los sistemas W2000 que presenten problemas de inicio. W2000 permite, por ejemplo, iniciar el sistema en varios modos seguros (es decir, a prueba de fallos) de forma muy similar a Windows 9x. Y, al igual que Windows 9x, W2000 ofrece durante el inicio varias opciones adicionales que permiten desactivar ciertas funciones del sistema operativo con el fin de poder iniciar el sistema correctamente. Para acceder a la mayora de estas opciones, hay que pulsar F8 cuando se abra el men del cargador de sistemas operativos de W2000 durante el inicio. Entre estas nuevas caractersticas, existe un nuevo modo de inicio denominado Consola de recuperacin (Recovery Console o RC). La Consola de recuperacin es un intrprete de comandos que permite iniciar los equipos basados en NTFS para realizar las tareas de recuperacin del sistema. Esta utilidad, tan pronto como se instala, permite iniciar el sistema abriendo una sesin especial de consola reducida de W2000 que permite acceder a todas las particiones de disco FAT16, FAT32 y NTFS del sistema, as como a un conjunto bsico de mandatos y utilidades para la realizacin de tareas de recuperacin. Para utilizar la Consola de recuperacin en un sistema W2000, primero hay que instalarla, para lo que es preciso ejecutar el programa de instalacin de W2000 (es decir, winnt32.exe) con el parmetro /cmdcons (por ejemplo, D:\i386\winnt32 /cmdcons). A continuacin, W2000 mostrar en pantalla un mensaje advirtiendo que se va a instalar la Consola de recuperacin y preguntando si se desea continuar con la operacin. Tan pronto como se hace clic en Yes (S), el sistema copia los archivos necesarios (que, normalmente, no llegan a los 6 MB) en una carpeta oculta denominada \cmdcons, que reside en el directorio raz de la unidad de inicio del sistema (por ejemplo, C:\cmdcons). La prxima vez que se inicie el sistema, el men del cargador de sistemas operativos de W2000 ya incluir la nueva opcin Microsoft Windows 2000 Recovery Console (Consola de recuperacin de Microsoft Windows 2000). Cuando se selecciona esta opcin de inicio, W2000 permite, durante un brevsimo espacio de tiempo, pulsar la tecla F6 para cargar un controlador RAID (Redundant Array of Inexpensive Disks o Array redundante de discos de bajo coste) o SCSI de otro fabricante. (Esta opcin es necesaria si la Consola de recuperacin no es capaz de detectar correctamente la configuracin del controlador de disco.) A continuacin, el sistema pasa a modo texto y solicita al administrador que especifique la instalacin de W2000 en la que desea iniciar una sesin. Esta caracterstica permite utilizar la Consola de recuperacin para recuperar las distintas instalaciones de sistema operativo de un sistema multiinicio. Una vez que se haya seleccionado la instalacin a la que se desee acceder, el sistema pedir al administrador que suministre la contrasea de administrador para dicha instalacin. (Dicha contrasea es la contrasea de la cuenta de administrador local, no la de la cuenta de administrador de dominio, en el caso de que exista un dominio). Adems de poder instalar una copia de la Consola de recuperacin en el disco duro de cada uno de los sistemas esenciales, tambin es posible iniciar esta utilidad mediante la opcin de reparacin del programa de instalacin de W2000. De este modo, tambin se podr acceder a la consola tras ejecutarse el programa de instalacin de W2000 desde CD-ROM o desde disquetes de 3,5 pulgadas. Esta posibilidad resulta muy til cuando se tienen problemas con un sistema W2000 en el que la instalacin de la Consola de recuperacin se encuentra daada o en el que nunca se ha instalado dicha utilidad La Consola de recuperacin resulta especialmente til cuando no hay forma de iniciar W2000 y es preciso acceder con urgencia al sistema de archivos para diagnosticar y solucionar el problema. Como dicha herramienta permite acceder directamente al sistema de archivos e incluye numerosas utilidades y mandatos de bajo nivel, los administradores pueden hacer la mayora de tareas de recuperacin de un sistema. Puede resultar complejo para el administrador tener que utilizar la lnea de comandos, pero las posibilidades que otorga deben de hacer entender, que la RC era una herramiente que hacia falta en las instalaciones de NT. Es importante identificar las causas probables de los problemas de inicio de un sistema antes de que se produzcan, as como conocer las medidas que deben tomarse para resolverlos. Una lista con las causas ms frecuentes de los fallos de inicio de W2000 y NT debidos a problemas con el software, se detalla a continuacin: Se ha daado o eliminado un archivo esencial del sistema (por ejemplo, los archivos de secciones del Registro o los archivos ntoskrnl.exe, ntdetect.com, hal.dll o boot.ini). Se ha instalado un servicio o controlador incompatible o defectuoso, o se ha daado o eliminado un servicio o controlador esencial.
10
Windows 2000
Se han producido daos en el disco o en el sistema de archivos, incluidos los daos en las estructuras de directorios, el MBR (Master Boot Record o Registro de inicio principal) y el sector de inicio de W2000 o NT. El Registro contiene datos no vlidos (es decir, el Registro se encuentra fsicamente intacto pero contiene datos errneos desde el punto de vista lgico, como un valor fuera de rango como valor del Registro correspondiente a un servicio o controlador). Son incorrectos o excesivamente restrictivos los permisos de la carpeta \%systemroot% (por ejemplo, C:\winnt).
La Consola de recuperacin tambin permite resolver los problemas causados por los daos subyacentes que existan en el disco o en el sistema de archivos. De hecho, esta utilidad incluye varios mandatos que permiten reparar discos daados desde fuera de W2000. Uno de estos mandatos es Chkdsk, que es muy similar al mandato de Windows 9x y DOS que lleva el mismo nombre. Otros dos mandatos muy tiles a la hora de reparar un disco son Fixmbr y Fixboot. Fixmbr, al igual que el mandato Fdisk /mbr de Windows 9x, sustituye el MBR del disco principal del sistema por una copia en buen estado, lo que permite resolver todos aquellos problemas en los que el MBR hubiera resultado daado o infectado por un virus. Igualmente til es el mandato Fixboot, que permite reparar el sector de inicio de W2000 en el supuesto de que hubiera resultado daado o sobrescrito durante la instalacin de otro sistema operativo (eventualidad que conlleva la prdida del men del cargador de sistemas operativos de W2000). Otra herramienta muy til que incluye la Consola de recuperacin es Diskpart, una utilidad de administracin de discos similar a la incluida en el programa de instalacin de W2000. Diskpart permite efectuar tareas bsicas de administracin de discos tales como la creacin y eliminacin de particiones. La Consola de recuperacin tambin incluye otros mandatos que pueden resultar muy tiles, como Listsvc, Enable y Disable, que permiten generar una lista de los servicios y controladores del sistema, activarlos y desactivarlos, respectivamente. Esta serie de comandos es vital cuando el problema de inicio del sistema se debe a la existencia de un servicio o controlador defectuoso. Basta con iniciar una sesin en la Consola de recuperacin, desactivar el servicio o controlador que est dando problemas y, por ltimo, reiniciar el sistema, por lo que no es preciso efectuar ninguna modificacin ni restauracin del Registro. Como la Consola de recuperacin muestra las carpetas de instalacin tanto de W2000 como de NT en los sistemas de inicio dual, es posible que a los usuarios de tales sistemas les resulte til esta herramienta para la recuperacin de instalaciones NT fallidas. Aun cuando se advierte en varios artculos de Microsoft que no se debe seguir esta prctica, lo cierto es que no se ofrece ninguna explicacin que justifique dicha advertencia. Como la mayora de los mandatos de esta utilidad guardan relacin con el sistema de archivos, funcionan perfectamente en volmenes NTFS5 compartidos entre W2000 y NT. (Es preciso recordar, no obstante, que hay que instalar Service Pack 4 SP4, o una versin posterior de este paquete de servicios, en NT con el fin de que este sistema operativo sea compatible con NTFS5). Hay que hacer constar algunos defectos e inconvenientes que presenta la Consola de recuperacin. Una limitacin bastante importante es la de que no se puede instalar en un volumen espejo/RAID1 basado en software (es decir, un volumen que se haya creado mediante el Administrador de discos de NT o el Administrador de discos lgicos de W2000, no una controladora RAID de hardware). Por lo que se refiere a los requisitos de configuracin de las particiones, las reglas que se siguen para la instalacin de la Consola de recuperacin son similares a las que se siguen para la instalacin de W2000. Al igual que en las instalaciones normales y corrientes de sistemas operativos, este problema se puede sortear eliminando el espejo, instalando la Consola de recuperacin y volviendo a restablecer el espejo. Como conclusin podemos destacar que el uso de la Consola de Recuperacin no va a sustituir a todas las herramientas que comnmente viene utilizando un administrador, pero si que aglutina las capacidades necesarias para que sea una herramienta de cabecera.
Linux es un clon de Unix, desarrollado bajo la licencia GPL, que permite utilizar, modificar y distribuir, los fuentes de Linux. Linux soporta varios sistemas de ficheros, entre ellos toda la gama que soporta W2000 (FAT,FAT16,FAT32,NTFS). Por tanto, es fcil arrancar nuestra mquina con un disquete que contenga un mnimo sistema Linux y poder acceder a la particin que contiene nuestro Windows 2000 ( algo parecido a la Consola de Recuperacin de W2000). Por tanto, un administrador con los suficientes conocimientos podra editar el Registro, manipular la SAM o modificar el sistema de ficheros NTFS. Pero las cosas no tienen que ser tan complicadas. Existen utilidades ya preparadas que nos permiten realizar estas tareas. Nosotros nos vamos a centrar en el trabajo realizado por un desarrollador desinteresado que ha construido un disquete que arranca un sistema Linux con soporte SCSI y que permite editar el registro, habilitar y deshabilitar cuentas, as como cambiar el password del administrador. La utilidad en cuestion es de libre distribucin y se denomina Petter Nordahl-Hagen's Offline NT Password & Registry Editor. Esta utilidad permite, como hemos comentado, cambiar el password de cualquier usuario que tenga una cuenta local vlida en el sistema W2000, modificando la contrasea encriptada del fichero SAM del Registro. No se necesita conocer la contrasea anterior para definir una nueva. La utilidad funciona fuera de lnea, es decir, necesitamos reiniciar el sistema y arrancar desde disquete o CD-ROM El disquete incluye el soporte necesario para acceder a particiones NTFS y una serie de scripts que nos facilitan la tarea. Adems, detectar y permitir desbloquear cuentas deshabilitadas o bloqueadas. El nico problema que se puede presentar en sistemas XP o W2000 con Service Pack instalado, es que si el usuario utiliz EFS para cifrar sus ficheros, estos no podrn ser ledos a no ser que recuerde la contrasea antigua. El autor dispone de un disquete de arranque que automatiza todo este proceso. Lo nico que hay que hacer es bajarse la imagen del disquete y generarla bien con rawrite.exe si estamos en un entorno MS-DOS o con el comando dd si estamos en Linux. El sitio Web donde podemos encontrar toda la informacin referente a esta utilidad es la siguiente http://home.eunet.no/~pnordahl/ntpasswd/ Como refencia comentar que existe la posibilidad de cambiar la contrasea del administrador de un dominio Windows 2000, siguiendo el truco que se comenta en la siguiente pgina web http://www.jms1.net/nt-unlock.html
12
La especificacin ATA
Por tanto, segn la especificacin ATA, un disco duro puede direccionar, como mucho: 65536 cilindros * 16 cabezales * 256 sectores por pista. Si multiplicamos este nmero mximo de sectores por 512 bytes, el resultado es de 127'5 Gbytes, es decir, el tamao terico mximo de disco duro de la especificacin ATA. En el momento de escribir estas lneas, este lmite est prcticamente a punto de alcanzarse, dado que ya se venden discos IDE de 100Gb de capacidad.
Por tanto, utilizando las rutinas tradicionales de la BIOS, un disco duro puede direccionar, como mucho: 1024 cilindros * 256 cabezales * 63 sectores por pista El hecho de que el nmero de sectores por pista sea de 63 en vez de 64 proviene del hecho de que, segn el mecanismo tradicional de direccionamiento de los discos (denominado CHS\footnote{Su nombre viene del acrnimo ingls Cylinder-Head-Sector, los sectores se numeran desde 1 en vez de numerarlos desde 0. Multiplicando esta cantidad de sectores por 512 bytes, el valor resultante es de 7'84 Gbytes, que es el tamao mximo de disco duro que reconocen esas BIOS tradicionales. Incluso en BIOS ms modernas, que incorporan otras funciones de acceso, esa limitacin sigue existiendo para el software que utiliza aquellas funciones clsicas para acceder al disco. Este es el caso, por ejemplo, del ancestral sistema DOS y, hasta hace poco tiempo, tambin de LILO, el cargador por excelencia del sistema operativo Linux.
En un primer momento, la limitacin real no fue la anterior, sino la limitacin combinada de las dos anteriores. Es decir, puesto que los discos duros no pueden tener ms de 16 cabezales (porque as lo han decidido los fabricantes), la limitacin de la BIOS an se restringa ms, dando como resultado los siguientes nmeros: Para el nmero de cilindro : 10 bits. Para el nmero de cabezal : 4 bits. Para el nmero de sector: 6 bits.
Es decir: 1024 cilindros * 16 cabezales * 63 sectores por pista. Multiplicando por 512 bytes, esta cantidad de sectores permita un total de \B{504 Mbytes}, una cantidad supuestamente inalcanzable en los aos de los primeros sistemas para PC, pero que apenas 15 aos despus result claramente insuficiente.
2. 3.
so de instalacin de NT est basado en DOS, con lo cual, la particin donde reside NT debe estar antes de la barrera de los 1024 cilindros. En resumen, en nuestros das apenas nos estamos librando de las restricciones que impuso el diseo original de la BIOS. Slo en las ltimas versiones de los sistemas operativos para PC, esas limitaciones no suponen un problema de instalacin o de uso.
DOS, Windows 3.x y Windows 95 representan el inicio de la particin utilizando la tripleta <cilindro,cabezal,sector>, con lo cual el tamao mximo de una particin es de 7'84 Gbytes (debido a la limitacin de los 1024 cilindros). El resto de sistemas representan el inicio de la particin indicando cul es el sector lgico donde comienza (viendo al disco como un vector de sectores lgicos). Estos sistemas utilizan una palabra de 32 bits, lo que permite 2^32 sectores, equivalente a 2 Tbytes (2 x 1024 Gbytes). En este caso, an estamos algo lejos de disponer de discos de estas caractersticas. El indicador de particin de arranque es utilizado tan slo por el cdigo de carga de DOS. Linux ignora por completo esta informacin. Existen numerosos tipos de particiones, en funcin de su utilizacin o de su organizacin interna (establecida por el sistema operativo que la defina). Existe una convencin que establece el identificador de cada tipo de particin como un nmero concreto en hexadecimal. La siguiente abla expone los tipos de particiones ms habituales. Tipo 0 Uso Particin vaca Limitacin
16
5 6 7 b f 80 82 83
Particin extendida DOS FAT 16 OS2 o NTFS Windows 95 FAT 32 Extendida Windows 95 Old Minix Linux Swap Linux Native
Una particin extendida es un contenedor para otras particiones, a las cuales se les denomina particiones lgicas. Slo una de las particiones primarias puede declararse como extendida. La representacin de las unidades lgicas se realiza utilizando una lista enlazada que reside dentro de la particin extendida, por lo que no hay lmite en cuanto al nmero de particiones lgicas que se pueden crear. La particin extendida convencional ha tenido que ser cambiada por la nueva particin extendida Windows 95, ya que la primera no puede abarcar discos mayores de 7'84 Gbytes.
17
Para poder personalizar la Consola de Administracin de Discos, sigue los siguientes pasos: 1. 2. En el men, seleccionar Ver. Desde aqu se puede seleccionar lo que queremos ver, tanto en el panel superior como en el inferior. Las elecciones pueden ser las siguientes:
Lista de discos: muestra todos los dispositivos en forma de lista. Lista de Volmenes: es la vista por defecto en el panel superior. Vista Grfica: vista por defecto en el panel inferior.
Creacin de Particiones.
Antes de crear una particin se necesita saber que tipo de particin queremos: primaria, extendida o lgica. Los pasos necesarios para poder crear una particin se detallan a continuacin: 1. 2. 3. Abrir la Consola de Administracin de Discos. Selecciona el disco sobre el que crear la particin y que dispone de espacio libre. Con el botn derecho del ratn, selecciona Crear Particin.
4.
En el cuadro de dialogo que aparece, selecciona el tipo de particin (primaria,extendida,lgica). Si es sobre un espacio libre las nicas opciones que nos aparecern son primaria y extendida. Si es sobre una particin extendida, solo aparecer tipo de particin lgica.
5.
19
Creacin de Particiones.
6.
El siguiente paso sera asignar a la particin un punto de montaje (letra de unidad o Path). Windows 2000 trata a los volmenes como unidades de almacenamiento que pueden o no encontrarse en el espacio de nombres del almacenamiento del sistema. Para que los volmenes sean accesibles, se han de montar en el espacio de nombres. Los puntos de montaje son estticos, es decir, una vez asignado, el volumen mantiene su ruta de acceso. Una letra de unidad hace accesible la particin al modo tradicional de MS-DOS. Todos los datos del volmen se encuentran accesibles partiendo de la letra que se ha asignado. Windows 2000 permite asignar 26 letras, de las que la A y la B estn reservadas para unidades de disquete, y de la C a Z al resto. Las letras de las particiones del sistema o de arranque no pueden ser modificadas. Adems, solo puede asignarse una letra. Asignando al volumen un punto de montaje en una carpeta vaca de otro volmen ya montado, el volmen se hace accesible a partir de esa carpeta. Los volmenes pueden montarse en cualquier carpeta de un volmen formateado con NTFS de Windows 2000, de un disco tanto bsico como dinmico. La unidad montada puede estar formateada con cualquier sistema de archivos soportado por Windows 2000.
20
Creacin de Particiones.
7.
El ltimo paso consistir en decidir que sistema de ficheros (formato) queremos asignar a la particin a crear. Tambin est la posibilidad de no formatearla en este instante.
21
Creacin de Volmenes.
Este proceso al final mostrar un sumario de las acciones que se van a llevar a cabo. Hacer notar que si se decide formatear la particin, este proceso se realizar en un segundo plano.
Volumen Distribuido.
son lo mas parecido a las particiones en los discos bsicos. Los volmenes simples pueden extenderse adiendo porciones del mismo disco o de otros discos, pero no se puede reducir su tamao una vez extendido ni eliminar porciones que se aadieron, slo se podr eliminar el volmen completo. Un volmen simple puede extenderse por otros discos hasta ocupar un mximo de 32 discos dinmicos.
23
Volumen RAID-5.
Quitar un espejo: Esta opcin libera una de las dos copias integrantes del espejo, dejando el espacio que ocupaba tal copia como no asignado. La otra copia sigue funcionando, pero ahora no est reflejada.
3.3. Utilidades
3.3.1. Diskpart
Diskpart es una utilidad que proporciona Microsoft para realizar la gestin de discos desde la lnea de comandos. Soporta, mediante comandos o mediante el paso de un script de comandos, operaciones sobre los discos del sistema.
diskpart [ /s script]
Los comandos de diskpart funcionan sobre: un disco, una particin,un volmen Los comandos emitidos se realizan sobre el foco , que es un objeto de uno de los tipos anteriores seleccionado mediante el comando Select. Por tanto, este es el primer comando que se debe utilizar para determinar donde se realizaran los comandos siguientes. La sintxis de Select es la siguiente:
Select [ volume | partition | disk ] [ = numero]
Todos los comandos requieren la seleccin del foco, a excepcin de: 24 List [disk | volume | partition ] :Lista los discos, volmenes y particiones.
Sistemas de Ficheros
Help: Visualiza la ayuda de la herramienta. Rem: Introducir comentarios en los scripts de diskpart. Exit: Salir de la consola. Rescan: Fuerza a volver a buscar discos en el sistema.
El resto de comandos que admite diskpart es siempre sobre el foco, de entre ellos podemos destacar: Active: Hacer activa la particin foco. Assign [letter=letra | mount=ruta ] [noerr]: Asignarle un punto de montaje. Remove [letter=letra | mount=ruta | all] [noerr]: Eliminarle un punto de montaje. Create: Crear una particin en el disco foco. Delete: Eliminar la particin foco. Extend [size=n] [noerr]: Extender el volumen foco. Add: Agregar un espejo al volumen simple foco. Break: Dividir o Romper el espejo del volumen foco. Convert: Para pasar de modo dinmico a bsico.
Los cdigos de error que puede dar diskpart son: 0: "Sin errores. Toda la secuencia de comandos se ejecut sin errores." 1: "Excepcin fatal. Puede haber un problema grave." 2: "Argumentos incorrectos especificados en una lnea de comandos de Diskpart." 3: "DiskPart no pudo abrir la secuencia de comandos o el archivo de salida especificados." 4: "Uno de los servicios que utiliza DiskPart ha devuelto un error." 5: "Error en la sintaxis de un comando. Error en la secuencia de comandos porque un objeto se seleccion incorrectamente o su uso no era vlido en dicho comando."
Aviso
W2000 no utiliza NTFS para formatear un floppy disk, debido a la cantidad de informacin necesaria para crear el sistema de ficheros y que excedera la capacidad de un disquete 25
Copias de Seguridad
Un volmen NTFS almacena la informacin sobre descriptores de ficheros en una tabla de ficheros maestra (MFT), la cual es asu vez un fichero. A parte de varios registros que contienen informacin sobre la propia MFT, esta contiene un registro por cada fichero y directorio del sistema La MFT tambin contiene un fichero de log. Se mantiene en el propio sistema de ficheros una copia de la MFT. Enlaces a la MFT y su copia estn almacenados en el sector de inicio del disco. Una copia del sector de inicio se almacena en el centro del disco. Al mantener tanta informacin replicada, la recuperacin de los datos de un sistema de ficheros NTFS es mucho ms fcil. La estructura de un sistema NTFS se puede apreciar en la siguiente imagen:
Como pasa con la mayora de herramientas de Windows 2000, el usuario debe de tener los privilegios necesarios para usarla. Para poder copiar y restaurar cualquier fichero o carpeta del sistema local el usuario debe pertenecer al grupo Administradores o al grupo Operadores de Copia de Seguridad. Si no eres miembro de uno de estos grupos, debers tener al menos los privilegios de Back up files and directories o Restore files and directories
El administrador a la hora de hacer backups, tendra que tener en cuenta que: Como miembro del grupo Administradores u Operadores de Copia, puedes copiar todos los ficheros y carpetas aunque solo tengas permiso de lectura sobre ellas. Cuando los restauras en el mismo sistema o en otro, ntbackup mantiene los permisos originales y por tanto solo sers capaz de leer aquellos ficheros sobre los que tengas permiso. Ntbackup copia tambin los ficheros encriptados. El programa los almacena encriptados en cinta oen el medio apropiado. Por tanto no se puede utilizar ntbackup para desencriptar los ficheros por perdida de la clave.
Ntbackup no copia todos los ficheros de cada carpeta; la utilidad mantiene en el registro una lista de ficheros y 26
carpetas a excluir. Las siguientes claves del registro FilesNotToBackup y FilesNotToRestore localizadas en HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore es donde ntbackup almacena dicha informacin. Cada una contiene valores del tipo REG_MULTISZ cuyos contenidos indican un fichero o una carpeta a excluir. De forma similar ntbackup tiene definiciones similares de que claves del registro que no tiene que hacer respaldo. (KeysNotToRestore)
27
28
4.1. Introduccin
Un servicio es un programa que est ejecutndose indefinidamente para atender a peticiones de otros programas o del usuario. Como ocurra con Windows NT, Windows 2000 tambin utiliza los servicios. Por defecto W2000, ejecuta automticamente muchos servicios (necesarios o no) que consumen ms memoria que la necesaria para las funciones que est desempeando el sistema. Si nunca vas a utilizar el Servicio de Fax o el Programador de Tareas, por qu tienen que estar ejecutndose y consumiendo memoria.
4.2. Servicios
Para poder acceder a todos los servicios disponibles en un sistema Windows 2000, se debe de iniciar sesin como administrador. Para ejecutar la utilidad Servicios, hay que seleccionar Inicio->Programas->Herramientas Administrativas->Servicios.
29
Esta utilidad muestra todos los serevicios disponibles en el sistema. Sobre todo hay que fiharse en la columna Tipo de Inicio, ya que este atributo define cuando se arrancar el servicio. Existen tres opciones a la hora de arrancar un servicio, que sern vistas ms adelante en este captulo.
1.
Automtico: el servicio se inicia automticamente mientras se carga el sistema operativo (Windows 2000). Esta opcin puede incrementar el tiempo de inicio del sistema, as como el consumo de recursos, mientras que el servicio igual no es necesario. Manual: el servicio no se inicia de forma predeterminada trs la carga del sistema operativo, en cambio pude ser iniciado - manulamente - en cualquier instante. Deshabilitado: esta opcin en el tipo de inicio de un servicio, obliga al administrador a tener que habilitarlo antes de poder ejecutarlo.
2. 3.
Para poder cambiar el tipo de inicio de un servicio hay que editar las Propiedades de servicio respectivo. Para hacer esto, basta con apretar el botn derecho de nuestro ratn sobre el servicio en cuestin y seleccionar Propiedades. Una vista de la ficha propiedades se muestra a continuacin:
30
En el men desplegable Tipo de Inicio, se elige como se ha de iniciar el servicio en el arranque: Automtico, Manual o Deshabilitado. Una vez elegido el tipo de inicio, seleccionamos Aplicar para que los cambios surtan efecto. A veces es preferible dejar un servicio con un tipo de inicio Manual que deshabilitarlo.
31
Recuperacin de un servicio
Esta vista muestra en el panel superior los servicios de los que depende el servicio seleccionado, y en el panel inferior se muestran los servicios dependientes de l.
32
Solucionando Problemas
Las acciones posibles a tomar son: No realizar ninguna accin Reiniciar el servicio: el sistema intentar reinicar el servicio si este fall. Se puede definir el periodo de tiempo en minutos en que lo volver a intentar Ejecutar un archivo: tenemos la posibilidad de ejecutar un archivo de comandos para tomar de una forma ms granular las acciones adecuadas. Reinicar el equipo: si es un servicio importante y no hay forma de levantarlo, ya se sabe, botonazo ;-)
Solucionando Problemas
Es aqu donde se almacena el valor de tipo de inicio para cada servicio. Lo que hay que hacere es seleccionar el servicio apropiado y en el panel de la derecha cambiar el valor de la clave Start de tipo. Un valor DWORD hexadecimal o decimal determina el tipo de inicio del servicio. Los valores posibles de esta clave son:
1. 2. 3.
Un valor 2 significa un tipo de inicio Automtico Un valor 3 significa un tipo de inicio Manual. Un valor 4 significa que el servicio est deshabilitado.
34
5.1. Introduccin
Como ya sabemos, el Directorio Activo (o Active Directory) es una estructura jerrquica que almacena informacin sobre objetos (o recursos) en dominios Windows 2000. El Directorio Activo permite organizar lgicamente estos recursos en sus respectivos dominios, de forma que resulte fcil tanto localizar como administrar esos recursos desde cualquier ordenador en cualquier dominio de la organizacin. Sin embargo, antes de estar en condiciones de administrar eficazmente el Directorio Activo, es necesario adquirir una base en la administracin local de recursos de Windows 2000. Esta base incluye el modelo de proteccin que incorpora este sistema, que incluye los conceptos de usuario, grupo (local), derecho y permiso. En los siguientes captulos se ampla esta "administracin local" a la administracin de un dominio (o mltiples dominios) mediante el Directorio Activo.
Grupos de Usuarios
Activada. Esta caracterstica permite inhabilitar temporalmente una cuenta. Una cuenta desactivada sigue existiendo, pero no puede ser utilizada para acceder al sistema, ni siquiera conociendo su contrasea.
Existe un dato especial que se asocia a cada cuenta, pero que a diferencia de todos los expuestos arriba, no puede ser especificado manualmente cuando se da de alta la cuenta. Se trata del identificador seguro (Secure Identifier, o SID). Este identificador es interno y el sistema lo genera automticamente cuando se crea una nueva cuenta. Adems, los SIDs se generan de tal forma que se asegura que no pueden existir dos iguales en todas las instalaciones de Windows 2000 del mundo (son identificadores nicos). Windows 2000 utiliza siempre el SID (y no el nombre de usuario) para controlar si un usuario tiene o no permisos suficientes para llevar a cabo cualquiera de sus acciones. La ventaja de este modelo es que el SID es un dato completamente interno del sistema operativo, es decir, ningn usuario puede establecerlo en ningn sitio (ni siquiera el administrador del sistema). Por tanto, nadie puede obtener un mayor grado de privilegio intentando suplantar la identidad de otro usuario. Cuando en un equipo se instala Windows 2000, existen de entrada las cuentas de dos usuarios preinstalados (built-in users): el Administrador y el Invitado. El primero es un usuario especial, el nico que en principio posee lo que se denominan derechos administrativos en el sistema. Es decir, tiene la potestad de administrar el sistema en todos aquellos aspectos en que ste es configurable: usuarios, grupos de usuarios, contraseas, recursos, derechos, etc. La cuenta de Administrador no puede ser borrada ni desactivada. Por su parte, la cuenta de Invitado es la que utilizan normalmente aquellas personas que no tienen un usuario propio para acceder al sistema. Habitualmente esta cuenta no tiene contrasea asignada, puesto que se supone que el nivel de privilegios asociado a ella es mnimo. En cualquier caso, el Administrador puede desactivarla si lo considera oportuno.
El Administrador, al ir creando las cuentas de los usuarios, puede hacer que cada una pertenezca al grupo (o grupos) que estime conveniente. Asimismo, puede crear nuevos grupos que refinen esta estructura inicial, conforme a las necesidades particulares de la organizacin donde se ubique el sistema. 36
El modelo de proteccin
Finalmente, Windows 2000 define una serie de grupos especiales, cuyos (usuarios) miembros no se establecen de forma manual, sino que son determinados de forma dinmica y automtica por el sistema. Estos grupos se utilizan normalmente para facilitar la labor de establecer la proteccin del sistema. De entre estos grupos, destacan: Usuarios Interactivos (Interactive). Este grupo representa a todos aquellos usuarios que tienen el derecho de iniciar una sesin local en la mquina. Usuarios de Red (Network). Bajo este nombre se agrupa a todos aquellos usuarios que tienen el derecho de acceder al equipo desde la red. Todos (Everyone). Agrupa a todos los usuarios que el sistema conoce. Puede agrupar a usuarios existentes localmente y de otros sistemas (conectados a travs de la red). Usuarios autentificados (Authenticated Users). Agrupa a todos los usuarios que poseen una cuenta propia para conectarse al sistema. Por tanto, aquellos usuarios que se hayan conectado al sistema utilizando la cuenta de "invitado" pertenecen a "Todos" pero no a "Usuarios autentificados".
Derechos de usuario
mismo o por los grupos a los que pertenece (ver Apartado Seccin 5.6). Esta forma de construir la acreditacin introduce ya una de las mximas de la proteccin de Windows 2000: el nivel de acceso de un usuario incluye implcitamente los niveles de los grupos a los que pertenece.
Instalar manejadores de dispositi- Permite al usuario instalar y desinstalar manejadores de vo dispositivos Plug and Play. Apagar el sistema Tomar posesin de archivos y otros objetos Permite al usuario apagar el ordenador local. Permite al usuario tomar posesin (hacerse propietario) de cualquier objeto con atributos de seguridad del sistema (archivos, carpetas, objetos del Directorio Activo, etc.).
Es importante hacer notar lo siguiente: cuando existe un conflicto entre lo que concede o deniega un permiso y lo que concede o deniega un derecho, este ltimo tiene prioridad. Por ejemplo: los miembros del grupo Operadores de Copia poseen el derecho de realizar una copia de seguridad de todos los archivos del sistema. Es posible (y muy probable) que existan archivos sobre los que no tengan ningn tipo de permiso. Sin embargo, al ser 38
el derecho ms prioritario, podrn realizar la copia sin problemas. De igual forma, el administrador tiene el derecho de tomar posesin de cualquier archivo, inclusive de aquellos archivos sobre los que no tenga ningn permiso. Es decir, como regla general, los derechos y privilegios siempre prevalecen ante los permisos particulares de un objeto, en caso de que haya conflicto.
Directiva local
Claves pblicas
39
los objetos del sistema de archivos. La lista de control de acceso de proteccin se divide realmente en dos listas, cada una de ellas denominada Discretionary Access Control List (lista de control de acceso discrecional) o DACL. Cada elemento de una DACL se denomina Access Control Entry (entrada de control de acceso) o ACE. Cada entrada liga a un SID de usuario o grupo con la concesin o denegacin de un permiso concreto (o conjunto de permisos), tal como se ha descrito arriba. Los diferentes permisos que se pueden asignar a usuarios o grupos en Windows 2000 se explican en el Apartado Seccin 5.7.2. El hecho de que cada archivo o carpeta tenga dos DACL en vez de una tiene que ver con el mecanismo de la herencia de permisos que ha incorporado Windows 2000: cada archivo o carpeta puede heredar implcitamente los permisos establecidos para la carpeta que lo contiene y puede adems definir permisos propios (denominados explcitos en la jerga de Windows 2000). Es decir, que cada archivo o carpeta puede poseer potencialmente una DACL heredada y una DACL explcita (aunque no est obligado a ello, como veremos). De esta forma, si una cierta carpeta define permisos explcitos, stos (junto con sus permisos heredados) sern a su vez los permisos heredados de sus subcarpetas y archivos (y as sucesivamente). El mecanismo de herencia de permisos es dinmico, queriendo decir que la modificacin un permiso explcito de una carpeta se refleja en el correspondiente permiso heredado de sus subcarpetas y archivos.
Copiar un archivo o carpeta a otra ubicacin se considera una creacin, y por tanto el archivo copiado recibe una lista de permisos explcitos vaca y se activa la herencia de la carpeta (o unidad) padre correspondiente a la nueva ubicacin. Mover un archivo distingue dos casos: si movemos una carpeta o archivo a otra ubicacin dentro del mismo volmen (particin) NTFS, se desactiva la herencia y se mantienen los permisos que tuviera como explticos en la nueva ubicacin. Si el volmen destino es distinto, entonces se acta como en una copia (slo se tienen los permisos heredados de la carpeta padre correspondiente a la nueva ubicacin).
En la Tabla 5.2. Permisos estndar sobre carpetas y archivos en Windows 2000 se muestran los permisos estndar de carpetas y archivos junto con su significado cualitativo. La descripcin de las tablas hacen referencia a las acciones que cada permiso concede, pero no olvidemos que en Windows 2000 cada permiso puede ser positivo o negativo, es decir, que realmente cada permiso permite o deniega la accin correspondiente. Como puede verse en ambas tablas, muchos de los permisos estndar se definen de forma incremental, de forma que unos incluyen y ofrece un nivel de acceso superior que los anteriores. La herencia de permisos se establece de forma natural: las carpetas heredan directamente los permisos estndar establecidos en la carpeta padre, mientras que los archivos heredan cualquier permiso excepto el de Listar (slo definido para carpetas).
Significado Permite listar la carpeta: ver los archivos y subcarpetas que contiene. Permite ver el contenido de los archivos y subcarpetas, as como su propietario, permisos y atributos (sistema, slo lectura, oculto, etc.). Permite crear nuevos archivos y subcarpetas. Permite modificar los atributos de la propia carpeta, as como ver su propietario, permisos y atributos. Permite moverse por la jerarqua de subcarpetas a partir de la carpeta, incluso si no se tienen permisos sobre ellas. Adems, incluye todos los permisos de Leer y de Listar. Permite eliminar la carpeta ms todos los permisos de Escribir y de Leer y Ejecutar. Permite cambiar permisos, tomar posesin y eliminar subcarpetas y archivos (aun no teniendo permisos sobre ellos), as como todos los permisos anteriores. ARCHIVOS Significado Permite ver el contenido del archivo, as como su propietario, permisos y atributos (sistema, slo lectura, oculto, etc.). Permite sobreescribir el archivo, modificar sus atributos y ver su propietario, permisos y atributos. Permite ejecutar el archivo ms todos los permisos de Leer. Permite modificar y eliminar el archivo ms todos los permisos de Escribir y de Leer y Ejecutar. Permite cambiar permisos y tomar posesin del archivo, ms todos los permisos anteriores.
Escribir
Leer y Ejecutar
Nombre
Leer Escribir Leer y Ejecutar Modificar Control Total
Cuando la asignacin de permisos que queremos realizar no se ajusta al comportamiento de ninguno de los permisos estndar, debemos entonces ir directamente a asignar permisos individuales. La Tabla 5.3. Permisos individuales en Windows 2000 muestra cules son los permisos individuales en Windows 2000, junto con su significado concreto. Tambin en este caso debe entenderse que cada permiso puede ser concedido de forma positiva o negativa.
Significado Aplicado a una carpeta, permite moverse por subcarpetas en las que puede que no se tenga permiso de acceso. Aplicado a un archivo, permite su ejecucin. 41
Significado plicado a una carpeta, permite ver los nombres de sus ficheros y subcarpetas. Aplicado a un archivo, permite leer su contenido. Permite ver los atributos del fichero/carpeta, tales como oculto o slo lectura, definidos en NTFS. peta. (Estos atributos estn definidos por los programas y pueden variar).
Leer atributos
Leer atributos extendidos Permite ver los atributos extendidos del archivo o car-
Aplicado a una carpetas, permite crear archivo en ella. Aplicado a un archivo, permite modificar y sobreescribir su contenido.
Crear carpetas/anexar da- Aplicado a una carpeta, permite crear subcarpetas en tos ella. Aplicado a un archivo, permite aadir datos al
mismo.
Escribir atributos
Escribir atributos exten- Permite modificar los atributos extendidos de un archididos vo o carpeta. Borrar subcarpetas y archivos Borrar Leer permisos Cambiar permisos Tomar posesin
Slo se puede aplicar a una carpeta, y permite borrar archivos o subcarpetas de la misma, aun no teniendo permiso de borrado en dichos objetos. Permite eliminar la carpeta o archivo. Permite leer los permisos de la carpeta o archivo. Permite modificar los permisos de la carpeta o archivo. Permite tomar posesin de la carpeta o archivo.
La Tabla 5.4. Correspondencia de permisos estndar a individuales en Windows 2000 pone de manifiesto el subconjunto de los permisos individuales forman cada uno de los permisos estndar mencionados anteriormente. Como curiosidad, puede verse que los permisos individuales correspondientes a Listar y Leer y Ejecutar son los mismos. En realidad, lo que les distingue es cmo se heredan: el primero slo es heredado por carpetas, mientras que el segundo es heredado por carpetas y archivos.
# # # # # # # # # # #
# # # # # # # #
# # # #
# # # # # # # # # # #
# # # # # #
42
Reglas de proteccin
Permiso
Cambiar permisos Tomar posesin
C. Total
Modificar
Leer y Ej.
Listar
Leer
Escribir
# #
Estas reglas son ms fciles de recordar si se conoce el algoritmo que sigue Windows 2000 para conceder o denegar una accin concreta sobre un archivo o directorio concreto. Para ello, el sistema explora secuencialmente las entradas de las DACLs de proteccin de dicho objeto hasta que se cumple alguna de las condiciones siguientes: a. b. c. Cada permiso involucrado en la accin solicitada est concedido explcitamente al SID del usuario o de algn grupo al que el usuario pertenece. En ese caso, se permite la accin. Alguno de los permisos involucrados est explcitamente denegado para el SID del usuario o para alguno de sus grupos. En este caso, se deniega la accin. La lista (DACL) ha sido explorada completamente y no se ha encontrado una entrada (ni positiva ni negativa) correspondiente a alguno de los permisos involucrados en la accin para el SID del usuario o sus grupos. En este caso, se deniega la accin.
Este algoritmo realmente produce el comportamiento descrito por las reglas anteriores debido al orden en que Windows 2000 establece las entradas de las DACLs de cada objeto. Este orden es siempre el siguiente: permisos negativos explcitos, permisos positivos explcitos, permisos negativos heredados y permisos positivos heredados.
43
44
6.1. Introduccin
Este captulo introduce los conceptos fundamentales sobre dominios Windows 2000, suficientes para poder unificar y centralizar la administracin de conjuntos de sistemas Windows 2000 de pequeo o medio tamao. En concreto, se explicar la administracin bsica del Directorio Activo, incluyendo los principales objetos que pueden definirse en el mismo (usuarios, grupos, equipos y unidades organizativas), as como la comparticin de recursos entre sistemas que forman parte de un dominio.
b.
Clientes y servidores
cionados con los dominios en Windows 2000. Intuitivamente, se puede definir dominio como una agrupacin lgica de servidores de red y otros ordenadores, que comparten informacin comn sobre cuentas (de usuarios, grupos, equipos, etc.) y seguridad. En el apartado siguiente veremos una definicin ms formal y completa de dominio. Es importante matizar que el trmino dominio no incluye ninguna informacin acerca de la ubicacin de los ordenadores. En realidad, no es necesario que los ordenadores que forman un dominio se encuentren fsicamente cercanos, ni que estn interconectadas mediante una red de algn tipo especfico. De hecho, las mquinas que forman un dominio pueden estar conectadas a travs de una red de rea amplia o WAN (Wide Area Network), aunque lo ms normal es que formen una red de rea local o LAN (Local Area Network). En general, Windows 2000 separa la agrupacin lgica de ordenadores, definida mediante el concepto de dominio, de su agrupacin fsica o topolgica, definida mediante los conceptos de subred y sitio. Una subred es un conjunto de ordenadores fsicamente conectados a una red de area local. Un sitio est formado por una o varias subredes que se encuentran ``bien conectadas''. Este trmino hace referencia a que la velocidad de interconexin entre dichas subredes es ``suficiente'' (a criterio del administrador) para dar soporte al trfico de la informacin del dominio concreto ubicado en dichas subredes. Un dominio Windows 2000 puede abarcar uno o varios de estos "sitios".
Por tanto, para crear un dominio en Windows 2000 necesitamos que al menos uno de los servidores Windows 2000 de la red se convierta en un DC. Para ello, una vez instalado el sistema operativo en el servidor, debemos ejecutar un asistente denominado dcpromo. Si queremos que en el dominio exista ms de un DC, hay que ejecutar el asistente en todos dichos servidores Windows 2000.
46
a.
Modo mixto. Este es el modo en el que los DCs se promocionan por defecto. Este modo ofrece compatibilidad (hacia atrs) a nivel de controlador con sistemas Windows NT anteriores (NT 4.0, normlalmente). En otras palabras, un dominio en modo mixto permite la coexistencia de controladores de dominio Windows 2000 y Windows NT 4.0 (todos comparten la informacin administrativa). Este modo resulta por tanto necesario si en nuestro dominio, alguno de los controladores es uno de estos sistemas. Este modo se ha diseado para permitir una migracin cmoda de dominios NT 4.0 a dominios 2000. En esencia, el mecanismo consiste en introducir progresivamente DCs de Windows 2000 en dominios previos (NT 4.0), de forma que mientras controladores Windows 2000 coexistan con otros NT 4.0, el dominio funcione exactamente igual que antes. En el momento en que todos los controladores son Windows 2000, podemos prescindir de este modo de funcionamiento.
b.
Modo nativo. Como se deduce de lo anterior, en este modo de funcionamiento todos los controladores del dominio deben ser sistemas Windows 2000. Este modo introduce todas las capacidades de administracin diseadas para Windows 2000, algunas de las cuales no estn disponibles en modo mixto. A lo largo del captulo se incidir en dichas capacidades.
Es muy importante tener en cuenta que un dominio en modo mixto puede pasarse a modo nativo mediante una simple accin del administrador, pero que la accin contraria no es posible. Es decir, el paso de un dominio en modo mixto a nativo es irreversible.
Kerberos V5. Protocolo utilizado para la autenticacin de usuarios y mquinas.. Certificados X.509. Estndar que permite distribuir informacin a travs de la red de una forma segura.
b.
Como se ha comentado arriba, Windows 2000 ha incorporado el esquema de nombrado DNS para nombrar a los dominios y para publicar los servicios que cada ordenador ofrece al resto dentro del dominio. Es ms, existe una relacin biunvoca entre un dominio Windows 2000 y un dominio DNS, independientemente de que el dominio Windows 2000 forme parte o no de Internet. Precisamente es mediante este esquema de nombrado DNS como mejor se entiende la jerarqua en la que el Directorio Activo permite organizar los dominios de una organizacin. Esto se explica a continuacin.
48
En resumen, cuando promocionamos un servidor Windows 2000 a controlador de dominio (mediante el asistente dcpromo, tenemos que decidir una de las siguientes opciones de instalacin: 1. 2. DC adicional de un dominio existente o de un dominio nuevo (creacin de un dominio). En el segundo caso, el dominio (nuevo) puede ser un dominio secundario de otro dominio existente (es decir, un subdominio de un arbol de dominios ya creado), o bien el dominio principal (raz) de un nuevo arbol de dominios. En este segundo caso, el dominio raz puede ser de un bosque existente o de un nuevo bosque.
3.
Por tanto, en una organizacin en donde an no existen dominios, la creacin del primer dominio ser en realidad la creacin de un nuevo bosque, con un solo rbol, cuya raz es el dominio que queremos crear. A partir de ah podemos aadir nuevos dominios como subdominios de la raz dentro del mismo rbol (y as sucesivamente), o bien anexionar una raz de un rbol de dominios nuevo al bosque.
Por lo tanto, segn lo que sabemos hasta ahora, si una persona debe trabajar en varios ordenadores, necesita poseer una cuenta de usuario en cada uno de ellos. A continuacin explicaremos una alternativa a esto. En un dominio Windows 2000, cualquier servidor que acta como DC puede crear cuentas de usuario global. En este caso, el trmino "global" debe interpretarse como global al dominio. Los datos de una cuenta de usuario global se almacenan en el Directorio Activo y por tanto son conocidos por todos los ordenadores del dominio (en realidad, por todos los ordenadores de bosque). Em otras palabras, no es que se cree una cuenta para ese usuario en cada ordenador miembro, sino que existe una nica cuenta (con un nico SID) que es visible en todos los ordenadores del dominio. En este caso, cuando una persona se conecta a cualquiera de dichos ordenadores utilizando para ello su cuenta de usuario global, el ordenador en cuestin realiza una consulta al Directorio Activo (i.e., a alguno de los DCs) para que se validen las credenciales del usuario. El resultado de la validacin es enviado al ordenador miembro (y de ste al usuario), concediendo o rechazando la conexin.
49
Grupos
Los ordenadores miembros de un dominio que no sean DCs, adems de conocer a los usuarios globales del dominio, pueden crear tambin sus propios usuarios locales. En este caso, estos usuarios son nicamente visibles en el ordenador en el que han sido creados. Cuando una persona desea entrar en el sistema utilizando una cuenta local, dicha cuenta se valida contra la base de datos local de ese ordenador. Adems, es importante resaltar que a dicho usuario local no se le pueden asignar permisos sobre recursos que residan en otro sistema Windows 2000 (puesto que all no existe). Por el contrario, a un usuario global se le pueden conceder permisos sobre cualquier recurso (archivo, directorio, impresora, etc.) de cualquier ordenador miembro del dominio, puesto que es visible (y posee el mismo SID) en todos ellos.
6.4.2. Grupos
De forma anloga a los usuarios globales, existen grupos que son almacenados en el Directorio Activo y que por tanto son visibles desde todos los ordenadores del dominio (y, en algunos casos, tambin de otros dominios del bosque). En el directorio pueden crearse dos tipos de grupos: grupos de distribucin y grupos de seguridad. Los primeros se utilizan exclusivamente para crear listas de distribucin de correo electrnico, mientras que los segundos son los que se utilizan con fines administrativos. Por este motivo, a partir de ahora nos referiremos exclusivamente a los grupos de seguridad. En concreto, en dominios Windows 2000 se definen tres clases de grupos de seguridad (o, de forma ms precisa, se pueden definir grupos de tres mbitos distintos): Grupos locales del dominio En un dominio en modo mixto, pueden contener cuentas de usuario y grupo globales de cualquier dominio del bosque. En un dominio en modo nativo, pueden contener adems grupos universales y otros grupos locales del dominio. Slo son visibles en el dominio en que se crean, y suelen utilizarse para conceder permisos y derechos en cualquiera de los ordenadores del dominio (en modo mixto, slo son visibles por los DCs del dominio, y por tanto slo se pueden utilizar para administrar permisos y derechos en esos ordenadores). En un dominio en modo mixto, pueden contener cuentas de usuario globales del mismo dominio. En un dominio en modo nativo, pueden contener adems otros grupos globales del mismo dominio. Son visibles en todos los dominios del bosque, y suelen utilizarse para clasificar a los usuarios en funcin de las labores que realizan. Slo estn disponibles en dominios en modo nativo. Pueden contener cuentas de usuario y grupos globales, as como otros grupos universales, de cualquier dominio del bosque. Son visibles en todo el bosque.
Grupos globales
Grupos universales
En un ordenador miembro de un dominio tambin se pueden definir grupos locales. Los grupos locales pueden estar formados por cuentas de usuario locales y usuarios y grupos globales de cualquier dominio del bosque (en modo mixto) y adems por grupos universales (en modo nativo). Un grupo local no puede ser miembro de otro grupo local. Los grupos locales pueden utilizarse para conceder permisos y derechos en el equipo en que son creados. Por tanto, la administracin de la proteccin en cada ordenador del dominio puede realizarse mediante grupos locales del dominio o grupos locales del equipo en que reside el recurso a administrar. Por tanto, la recomendacin que se haca en el Captulo 5. Proteccin Local respecto a la asignacin de permisos en base a grupos locales sigue siendo vlida. En el caso ms general, la regla que recomienda Windows 2000 es la siguiente: 1. 2. Asignar usuarios globales a grupos globales, segn las labores que desempeen en la organizacin. Incluir (usuarios y/o) grupos globales en grupos locales (del equipo o del dominio) segn el nivel de acceso que vayan a tener.
50
Equipos
3.
Asignar permisos y derechos nicamente a estos grupos locales (del equipo o del dominio).
En relacin con esto, es importante saber que cuando un ordenador pasa a ser miembro de un dominio, el grupo global Administradores del dominio se incluye automticamente en el grupo local Administradores de dicho ordenador. De igual forma, el grupo global Usuarios del dominio se incluye dentro del grupo local Usuarios. De esta forma, los administradores y usuarios normales del dominio tienen en cada miembro los mismos derechos y permisos que los que tengan ya definidos los administradores y usuarios locales, respectivamente. El administrador local puede, si lo desea, invalidar esta accin automtica, extrayendo posteriormente los grupos globales de los locales.
6.4.3. Equipos
Como hemos visto, en el Directorio Activo de un dominio se conserva toda la informacin relativa a cuentas de usuarios y grupos globales. Esta misma base de datos de directoio recoge tambin una cuenta de equipo por cada uno de los ordenadores miembro de un dominio. Entre otras informaciones, en cada una de estas cuentas se almacena el nombre del ordenador, as como un identificador nico y privado que lo identifica unvocamente. Este identificador es anlogo al SID de cada cuenta de usuario, y slo lo conocen los DC s y el propio ordenador miembro. Es por tanto, un dato interno del sistema operativo, y ni siquiera el administrador puede cambiarlo. Windows 2000 puede utilizar distintos protocolos de comunicaciones seguros entre los ordenadores miembro de un dominio y los DCs. Entre ellos los ms importantes son NTLM (el protocolo utilizado por versiones anteriores de Windows NT, que se mantiene por compatibilidad hacia atrs) y Kerberos V5. Kerberos presenta numerosas ventajas respecto a NTLM, pero slo es viable en la prctica si todas las mquinas del dominio son Windows 2000. Estos protocolos se utilizan siempre que informacin relativa a aspectos de seguridad se intercambia entre mquinas 2000 pertenecientes a algn dominio y, en concreto, para autenticar usuarios (como se ha explicado arriba).
b.
c.
unidad organizativa donde se ubican. Por ejemplo, podemos limitar a los usuarios del departamento de contabilidad para que slo puedan utilizar ciertas aplicaciones, pero que esto no se aplique a los usuarios del departamento de informtica. En muchos sentidos, el concepto de unidad organizativa se puede utilizar en Windows 2000 de la misma forma que se entenda el concepto de dominio en versiones anteriores de Windows NT, es decir, conjunto de usuarios, equipos y recursos administrados independientemente. En realidad, en Windows 2000 el concepto de dominio viene ms bien asociado a la distribucin de los sitios (topologa de red) y a la implementacin de DNS que exista (o quiera crearse) en la empresa. De este modo, en muchas organizaciones de pequeo o medio tamao resulta ms adecuado implementar un modelo de dominio nico con mltiples unidades organizativas que un modelo de mltiples dominios. Si es necesario, cada unidad puede administrarse independientemente, con uno o varios administradores delegados y comportamientos (polticas) diferentes.
Windows 2000.
IPC$. Recurso que agrupa los tubos (colas de mensajes) utilizados por los programas para comunicarse en-
tre ellos. Se utiliza durante la administracin remota de un ordenador Windows 2000, y cuando se observa los recursos que comparte.
NETLOGON. Recurso que exporta un DC para proporcionar a los ordenadores miembros del dominio el servi-
ejemplo, de directivas de grupo) que debe replicarse en todos los DCs del dominio. En relacin con los nombres de estos recursos, es interesante saber que aadir el carcter "$" al final de cualquier nombre de recurso tiene un efecto especfico: prohibe que dicho recurso se visualice dentro de la lista de recursos que una mquina exporta al resto. Es decir, convierte un recurso en ``invisible'' para al resto del mundo. En este caso, un usuario remoto slo podr conectarse al recurso si conoce su nombre de antemano (y tiene suficientes permisos, obviamente).
b.
Mandato net use: Conecta o desconecta un equipo de un recurso compartido o muestra informacin acerca de las conexiones del equipo. Tambin controla las conexiones de red persistentes. 53
net use
[nombre_dispositivo] [\\nombre_equipo\recurso_compartido[\volumen]] [contrasea | *]] [/user:[nombre_dominio\]nombre_usuario] [[/delete] | [/persistent:{yes | no}]] net use nombre_dispositivo [/home[contrasea | *]] [/delete:{yes | no}] net use [/persistent:{yes | no}]
54