Curso de Windows 2000 Bsico

por Fernando Ferrer por Andrs Terrasa

Curso de Windows 2000 Bsico

por Fernando Ferrer por Andrs Terrasa

Tabla de contenidos
1. Instalacin de Windows 2000 ................................................................................................. 1.1. Familia de Productos Windows 2000 .......................................................................... 1 1.1.1. Windows 2000 Professional ............................................................................ 2 1.1.2. Windows 2000 Server .................................................................................... 2 1.1.3. Windows 2000 Advanced Server ..................................................................... 3 1.1.4. Windows 2000 Datacenter Server .................................................................... 4 1.2. Preparacin de la Instalacin ..................................................................................... 4 1.2.1. Requisitos de Hardware ................................................................................. 4 1.2.2. Particin de Discos ....................................................................................... 5 1.2.3. Eleccin del Sistema de Ficheros ..................................................................... 5 1.2.4. Seleccin del Modo de Licencia ...................................................................... 5 2. Configuracin Post-Instalacin ............................................................................................... 2.1. El Proceso de Arranque de Windows 2000 ................................................................... 7 2.1.1. La Secuencia de Arranque .............................................................................. 7 2.1.2. La Carga del Sistema Operativo ....................................................................... 7 2.2. Solucin de Problemas en el Proceso de Arranque ......................................................... 8 2.2.1. Ultima configuracin Buena Conocida .............................................................. 8 2.2.2. Reparacin de una Instalacin con los Discos de Arranque de Windows 2000 .......... 9 2.2.3. Creacin de un Disco de Reparacin de Emergencia. ........................................... 9 2.2.4. Creacin de un disco de arranque ..................................................................... 9 2.2.5. La Consola de recuperacn ............................................................................. 9 2.3. Linux al rescate ......................................................................................................11 2.4. Service Packs. Windows Updates ..............................................................................12 3. Administracin de Discos ...................................................................................................... 3.1. Geometra de los Discos Duros. ................................................................................13 3.1.1. Lmites a la Geometra de los Discos IDE .........................................................13 3.1.2. Problemas Causados por Lmites a la Geometra de los Discos IDE. ......................15 3.1.3. Particiones del Disco. ...................................................................................16 3.2. La consola de administracin de discos .......................................................................17 3.2.1. Configuracin de la Consola ..........................................................................17 3.2.2. Discos bsicos y dinmicos. ...........................................................................18 3.2.3. Creacin de Particiones. ................................................................................18 3.2.4. Creacin de Volmenes. ...............................................................................22 3.3. Utilidades .............................................................................................................24 3.3.1. Diskpart .....................................................................................................24 3.4. Sistemas de Ficheros ...............................................................................................25 3.5. Copias de Seguridad ...............................................................................................26 3.5.1. Carpetas y ficheros .......................................................................................26 3.5.2. Estado del Sistema .......................................................................................27 4. Servicios del Sistema ............................................................................................................ 4.1. Introduccin ..........................................................................................................29 4.2. Servicios ..............................................................................................................29 4.2.1. Tipo de Inicio de un Servicio .........................................................................30 4.2.2. Dependencias entre Servicios .........................................................................31 4.2.3. Recuperacin de un servicio ..........................................................................32 4.3. Solucionando Problemas ..........................................................................................33 5. Proteccin Local .................................................................................................................. 5.1. Introduccin ..........................................................................................................35 5.2. Concepto de usuario ...............................................................................................35 5.3. Grupos de Usuarios ................................................................................................36 5.4. El modelo de proteccin ..........................................................................................37 5.5. Atributos de proteccin de los procesos ......................................................................37 5.6. Derechos de usuario ................................................................................................38 5.6.1. Otras directivas de seguridad ..........................................................................39 5.7. Atributos de proteccin de los recursos .......................................................................39 5.7.1. Asociacin de permisos a recursos ..................................................................40 5.7.2. Permisos estndar e individuales .....................................................................40 v

Curso de Windows 2000 Bsico

5.8. Reglas de proteccin ...............................................................................................43 6. Administracin Bsica de Dominios ........................................................................................ 6.1. Introduccin ..........................................................................................................45 6.2. Dominios en Windows 2000 .....................................................................................45 6.2.1. Concepto de dominio ....................................................................................45 6.2.2. Clientes y servidores ....................................................................................46 6.2.3. Modos de funcionamiento .............................................................................46 6.3. Implementacin de dominios: el Directorio Activo .......................................................47 6.3.1. El Directorio Activo .....................................................................................47 6.3.2. Concepto de dominio segn el Directorio Activo ...............................................48 6.3.3. Mltiples dominios en la misma organizacin ...................................................48 6.4. Principales objetos administra un dominio ...................................................................49 6.4.1. Usuarios globales .........................................................................................49 6.4.2. Grupos .......................................................................................................50 6.4.3. Equipos .....................................................................................................51 6.4.4. Unidades Organizativas ................................................................................51 6.5. Comparticin de recursos entre sistemas Windws 2000 ..................................................52 6.5.1. Permisos y derechos .....................................................................................52 6.5.2. Comparticin dentro de un dominio .................................................................53 6.5.3. Mandatos Windows 2000 para compartir recursos ..............................................53

vi

Captulo 1. Instalacin de Windows 2000

Tabla de contenidos
1.1. Familia de Productos Windows 2000 .................................................................................. 1 1.1.1. Windows 2000 Professional .................................................................................... 2 1.1.2. Windows 2000 Server ............................................................................................ 2 1.1.3. Windows 2000 Advanced Server ............................................................................. 3 1.1.4. Windows 2000 Datacenter Server ............................................................................ 4 1.2. Preparacin de la Instalacin ............................................................................................. 4 1.2.1. Requisitos de Hardware ......................................................................................... 4 1.2.2. Particin de Discos ............................................................................................... 5 1.2.3. Eleccin del Sistema de Ficheros ............................................................................. 5 1.2.4. Seleccin del Modo de Licencia .............................................................................. 5

1.1. Familia de Productos Windows 2000

El desarrollo de las tecnologas exige que las empresas cuenten con una avanzada infraestructura cliente-servidor, que reduzca los costes y permita que la organizacin se adapte rpidamente al cambio. La plataforma Microsoft Windows 2000 (la combinacin de Windows 2000 Professional y Windows 2000 Server) puede proporcionar los siguientes beneficios a las organizaciones de todos los tamaos: Un coste total de propiedad menor. Una plataforma fiable que puede estar funcionando las 24 horas del dia, 7 dias a la semana. Una infraestructura tecnolgica que puede adaptarse rpidamente al cambio.

Toda la familia de productos est diseada pra proporcionar servicios de red, de aplicaciones, de comunicaciones y web con una mayor capacidad de administracin, fiabilidad, dsponibilidad, interoperabilidad, escalabilidad y seguridad. Para satisfacer las necesidades informticas de las organizaciones de todos los tamaos, hay disponibles varios productos Windows 2000. Comprender las capacidades de cada uno de los sistemas operativos Microsoft Windows 2000 permitir elegir el producto ms adecuado a las necesidades actuales y futuras de la organizacin: Windows 2000 Professional: reemplaza a Microsoft Windows 95, Windows 98 y Microsoft Windows NT 4.0 Workstation. Es el sistema operativo de escritorio ideal para organizaciones de todos los tamaos. Windows 2000 Server: Contiene todas las caractersticas de Windows 2000 Professional y ofrece servicios que simplifican la administracin de redes. Esta versin de Windows 2000 es ideal para servidores de archivos e impresin, servidores Web y grupos de trabajo. Windows 2000 Advanced Server: Contiene todas las caractersticas de windows 2000 Server y ofrece mayor escalabilidad y disponibilidad del sistema. Esta versin de Windows 2000 est diseada para los servidores que se emplean en una red empresarial de gran tamao y para tareas que hacen un uso intensivo de base de datos. Windows 2000 Datacenter Server: Contiene todas las caractesticas de Windows 2000 Advanced Server, admitiendo ms memoria (RAM) y ms procesadores por equipo. Se ha diseado para admitir almacenes de datos de gran tamao, el procesamiento de transacciones en lnea y proyectos de consolidacin de servidores 1

Windows 2000 Professional

y simulaciones a gran escala.

1.1.1. Windows 2000 Professional

Windows 2000 Professional permite a los usuarios ser ms productivos en distintos entornos de trabajo (usuarios mviles y remotos), garantiza el nivel de seguridad ms elevado para los datos del usuario y proporciona el rendimiento necesario para la nueva generacin de aplicaciones de productividad personal. Windows 2000 Professional es el sistema operativo Windows para los sistemas de escritorio y porttiles. Su uso principal viene orientado a la ejecucin de aplicaciones software, conexin a Internet, acceso a ficheros, impresoras y recursos de red. Windows 2000 Professional incluye muchas caractersticas y mejoras que proporcionan una interfaz de usuario ms sencilla, mejores comunicaciones y compatibilidad hardware y software. Algunas mejoras con respecto a Windows NT 4.0 son: Administracin de sincronizacin: Compara elementos de la red con elementos que abri o actualiz mientras trabajaba sin conexin. La sincronizacin se produce cuando inicia la sesin y Windows 2000 guarda los cambios realizados sin conexin en archivos y carpetas, pginas web y mensajes de correo electrnico en la red. Protocolo de impresin en Internet: Permite a los usuarios instalar controladores de impresora o enviar documentos a cualquier impresora en una red basada en Windows 2000 que est conectada a una intranet o a Internet. Tambin se puede imprimir en una URL. Administracin de Plug and Play: Mejora la funcionalidad anterior de PaP y permite, reconfiguracin automtica y dinmica del hardware instalado, cargar los controladores apropiados, un registro de los sucesos de notificacin de dispositivos y dispositivos modificables y extrables. Protocolo Kerberos v5: Permite a los usuarios iniciar una sesin una nica vez para obtener acceso a los recursos de la red, lo que ofrece unan autenticacin y una respuesta de la red ms rpida. Kerberos V5 es un protocolo de autenticacin estndar de seguridad en Internet y el principal protocolo de seguridad para dominios Windows 2000. Sistema de archivos de cifrado: Refuerza la seguridad al cifrar archivos del disco duro de forman que nadie pueda tener acceso a ellos sin utilizar la contrasea correcta. Seguridad del protocolo Internet (IPSec): Cifra el trfico del protocolo TCP/IP para proteger las comunicaciones dentro de una red intranet y ofrecer los niveles ms elevados de seguridad en el trfico de redes privadas virtuales (VPNs) a travs de Internet. Servicio de inicio de sesin secundario: Permite iniciar aplicaciones con una cuenta de usuario distinta de la utilizada para iniciar una sesin en el equipo. As los administradores pueden iniciar una sesin con una cuenta de usuario estndar e iniciar las herramientas administrativas mediante una cuenta de administrador, sin necesidad de cerrar la sesin y volver a iniciarla con la cuenta administrador. Asistente para administracin de la instalacin: este asistente gua al administrador en el proceso de elegir los elementos y la configuracin para un grupo de equipos, guardando dicha configuracin en archivos de comandos de instalacin. Microsoft Windows Installer: administra la instalacin, modificacin, reparacin y eliminacin de aplicaciones.

1.1.2. Windows 2000 Server

Windows 2000 Server contiene todas las caractersticas incluidas en Windows 2000 Professional. Windows 2000 Server admite cuatro procesadores como mximo. Tambin admite memorias fsicas de hasta 4 GB. Windows 2000 Server aumenta considerablemente el rendimiento del sistema, ofreciendo las siguientes ventajas:

Windows 2000 Advanced Server

A.

Active Directory (directorio activo): El servicio de directorio Active Directory est incluido en todos los productos de servidor Windows 2000. Este proporciona un conjunto de interfaces nico para realizar tareas administrativas comunes como agregar nuevos usuarios, administrar impresoras o buscar recursos en toda la organizacin. Con Active Directory podemos conseguir fcilmente los siguientes objetivos: Administracin simplificada: AD ofrece una nica ubicacin para almacenar informacin acerca de usuarios y recursos. Administracin flexible: AD aumenta la flexibilidad administrativa al permitir delegar el control sobre los usuarios y equipos a otros usuarios o grupos. Escalabilidad: en Windows NT, los dominios tenan un lmite de 40000 usuarios y por tanto se deban de crear mltiples dominios para una organizacin grande. Un dominio de Active Directory en Windows 2000 puede contener millones de usuarios. Protocolo basado en estndares: el acceso a Active Directory se realiza mediante el protocolo LDAP (Lightweight Directory Access Protocol). Las aplicaciones utilizan LDAP en lugar de protocolos patentados para tener acceso y modificar informacin de Active Directory.

B.

Administracin simplificada: Windows 2000 Server ayuda a los administradores a controlar los equipos de la red fcilmente desde una ubicacin central, lo que reduce considerablemente el costo total de propiedad de un entorno basado en Windows. Entre las caractersticas y mejoras aadidas para simplificar la administracin de toda la red, podemos encontrar lo siguiente: Directiva de grupo: proporciona a los administradores un mayor control sobre los usuarios que tienen acceso a determinadas estaciones de trabajo, datos y aplicaciones. Tambin permite a los administradores definir y controlar el estado de las cuentas de usuario y equipo en la organizacin. DNS dinmico: disminuye los costos de administracin de la red, ya que reduce la necesidad de modificar manualmente la base de datos DNS cada vez que se produce un cambio en la configuracin de un cliente DNS. Servicios de Terminal Server: permite que los equipos cliente tengan acceso a aplicaciones basadas en Windows que se ejecutan en su totalidad en el servidor y admite varias sesiones de clientes en el servidor. El servidor administra todos los recursos informticos para los equipos cliente conectados y ofrece su propio entorno a todos los usuarios que tienen iniciada una sesin.

1.1.3. Windows 2000 Advanced Server

Windows 2000 Advanced Server y Windows 2000 Datacenter incluyen las mismas caractersticas que Windows 2000 Server, ms otras caractersticas adicionales que ofrecen un sistema operativo altamente escalable. Windows 2000 Advanced Server incluye: Arquitectura de memoria empresarial (Enterprise Memory Architecture): permite hasta 8GB de memoria fsica (RAM). Escalabilidad de multiproceso simtrico (SMP): admite hasta ocho procesadores. Organizacin por clsteres de Windows: permite conectar varios servidores para formar un cluster de servidores que funcionen conjuntamente como un nico sistema, aportando mayor disponibilidad para las aplicaciones esenciales y proporcionando equilibrio de carga de red para servicios TCP/IP (web).

Preparacin de la Instalacin

1.1.4. Windows 2000 Datacenter Server

Windows 2000 Data Center Server se basa en las caractersticas de Windows 2000 Advanced Server, lo que lo convierte en el sistema ms eficaz y funcional que Microsoft ha ofrecido hasta la fecha. Entre las principales ventajas se incluyen: Escalabilidad de SMP: acepta hasta 32 procesadores. Memoria fsica: admite memorias fsicas de hasta 64 GB.

Al igual que Windows 2000 Advanced Server, Windows 2000 Datacenter Server incluye los servicios de clster y equilibrio de carga como caractersticas estndar. Windows 2000 Datacenter Server proporciona funcionalidad ptima en: Grandes almacenes de datos. Anlisis economtricos. Simulaciones de ingeniera a gran escala. Procesamiento de transacciones en lnea. Proveedores de servicios de Internet (ISP).

1.2. Preparacin de la Instalacin

La instalacin de Windows 2000 exige cierta preparacin. Cuando se ejecuta el asistente de instalacin de Windows 2000, necesitar suministrar informacin acerca de cmo instalar y configurar el sistema operativo. Antes de instalar Windows 2000, ser necesario realizar las siguientes tareas: Identificar los requisitos de hardware. Nmero de particiones en el disco duro. Eleccin del sistema de archivos para la particin que albergue Windows 2000. Unin a un dominio o grupo de trabajo.

1.2.1. Requisitos de Hardware

Windows 2000 Professional: CPU: pentium 133 MHz (se recomienda superior). Memoria: se recomienda 64 MB mnimo (4 GB como mximo) Disco Duro: 2GB con un mnimo de 1GB para la particin que contendr el sistema.

Windows 2000 Server: CPU: pentium a 133 MHz (se recomienda superior)

Particin de Discos

Memoria: se recomienda 256 MB para servidores que admiten hasta 5 clientes. Disco Duro: 2GB con un mnimo de 1GB para la particin que contendr el sistema.

Antes de instalar Windows 2000, compruebe que el hardware disponible se encuentra en la lista de compatibilidad de hardware (Hardware Compatibility List, HCL).

1.2.2. Particin de Discos

El programa de instalacin de Windows 2000 examina el disco duro para determinar la configuracin existente. Despus, le permite instalar Windows 2000 en una particin ya existente o crear una particin en la que instalar Windows 2000. Aunque se puede utilizar el programa de instalacin para crear otras particiones, solo se debera usar para crear y definir el tamao de la particin en la que va a residir Windows 2000. Una vez instalado Windows 2000, utilice el Administrador de discos para realizar particiones en el espacio restante en el disco duro.

1.2.3. Eleccin del Sistema de Ficheros

Despus de crear la particin donde va a residir Windows 2000, el programa de instalacin le permite seleccionar el sistema de ficheros con el que formatear la particin. Como en Windows NT 4.0, Windows 2000 admite el sistema de ficheros NTFS y el sistema de ficheros FAT, pero adems, Windows 2000 ofrece compatibilidad con el sistema de ficheros FAT32. Ser conveniente utilizar NTFS para particiones que requieran: Seguridad de archivos y carpetas: NTFS permite controlar el acceso a archivos y carpetas. Compresin de disco: NTFS comprime archivos para crear ms espacio de almacenamiento. Cuotas de disco: NTFS le permite controlar la utilizacin del disco por cada usuario. Cifrado de archivos: NTFS permite cifrar datos de archivos de forma transparente.

La nueva versin de NTFS en Windows 2000 permite el almacenamiento remoto, volmenes dinmicos y el montaje de volmenes en carpetas. Es importante precisar que ni FAT ni FAT32 ofrecen las caractersticas de seguridad que proporciona NTFS.

1.2.4. Seleccin del Modo de Licencia

Los modos de licencia en Windows 2000 son los mismos que en Windows NT 4.0. Puede elegir entre los modos de licencia ``Por puesto'' o ``Por servidor''. Las licencias que necesitar son: Una licencia de Windows 2000 para cada servidor. Una licencia de Windows 2000 Professional para cada estacin de trabajo. Una licencia de acceso de cliente (CAL) para cada conexin autenticada por el servidor.

No se requieren licencias de acceso de cliente para el acceso annimo a servicios web. El acceso autenticado a servicios Web puede estar autorizado para un nmero ilimitado de usuarios de Internet con una licencia de conector de Internet.

Captulo 2. Post-Instalacin
Tabla de contenidos

Configuracin

2.1. El Proceso de Arranque de Windows 2000 ........................................................................... 7 2.1.1. La Secuencia de Arranque ...................................................................................... 7 2.1.2. La Carga del Sistema Operativo ............................................................................... 7 2.2. Solucin de Problemas en el Proceso de Arranque ................................................................. 8 2.2.1. Ultima configuracin Buena Conocida ...................................................................... 8 2.2.2. Reparacin de una Instalacin con los Discos de Arranque de Windows 2000 .................. 9 2.2.3. Creacin de un Disco de Reparacin de Emergencia. ................................................... 9 2.2.4. Creacin de un disco de arranque ............................................................................. 9 2.2.5. La Consola de recuperacn ..................................................................................... 9 2.3. Linux al rescate ..............................................................................................................11 2.4. Service Packs. Windows Updates ......................................................................................12

2.1. El Proceso de Arranque de Windows 2000

Si se llega a conocer bien las fases del proceso de arranque es posible que muchos de los problemas que se presentan por un fallo en el arranque puedan ser solucionados en menos tiempo. El proceso de arranque de un sistema operativo es algo complejo en el que intervienen mltiples factores. Lo primero que sucede tras encender el ordenador es el autochequeo del mismo. Las comprobaciones que se realizan pretenden dectectar problemas con los dispositivos hardware conectados. De esta forma, se realiza una comprobacin de la memoria, de los dispositivos de entrad y salida como ratn o teclado; comprobacin de las unidades de disco, comprobacin de unidades SCSI si existen, provocando adems el arranque de la BIOS de estos dispositivos. Cualquier error o problema que surja durante este proceso se debe a un fallo del hardware instalado o a un fallo de configuracin de la CMOS.

2.1.1. La Secuencia de Arranque

Despus del autochequeo, el sistema debe localizar el dispositivo de arranque y cargar el sector de arranque maestro o Master Boot Record (MBR) en memoria. En el MBR se almacena el programa encargado de arrancar el sistema con un sistema operativo u otro. Por tanto, tras realizar la carga del MBR en memoria, se ejecuta el programa almacenado en el mismo. El programa del MBR busca la particin de arranque o Partition Boot Record (PBR) para localizar la particin activa. Tras localizarla, el sector de arranque de dicha particin es cargado en memoria. En este sector de arranque se indica el programa encargado de realizar la carga del sistema operativo, que en el caso de Windows 2000 Server es el fichero Ntldr.exe, el cual debe encontrarse en el directorio raz de la particin de arranque de Windows 2000. El proceso de instalacin de Windows 2000 Server se encarga de configurar el sector de arranque, as como de colocar el fichero Ntdlr.exe en lugar apropiado. Este fichero posee los atributos de Oculto y Sistema. Por tanto, parece importante mantener una copia de este fichero y ser necesario incluirlo en el disquete de arranque de Windows 2000.

2.1.2. La Carga del Sistema Operativo

Despus de los pasos anteriores comienza la carga del sistema operativo propiamente dicho. La secuencia de 7

Solucin de Problemas en el Proceso de Arranque

arranque se encarga ahora de obtener informacin sobre el hardware del sistema, as como los manejadores (drivers) asociados a los dispositivos. El programa Ntldr.exe cambia el procesador del modo real al modo de 32 bits, ya que Ntldr es una aplicacin de 32 bits. La primera tarea que realiza el programa Ntdlr consiste en cargar el minicontrolador del sistema de archivos. Este paso es necesario para la localizacin y la carga de Windows 2000. A continuacin lee el fichero Boot.ini, mostrando los diferentes sistemas operativos con los que se puede arrancar. Si el sistema operativo elegido es distinto de 2000, Ntldr carga y ejecuta Bootsec.dos, parndose el proceso de arranque de Windows 2000. Si el sistema operativo seleccionado es 2000, el programa Ntldr ejecuta Ntdetect.exe, encargado de buscar el hardware del equipo, devolviendo una lista con el hardware encontrado a Ntldr para que sea incluido en el registro. Por ltimo Ntldr carga Ntoskrnl.exe, Hal.dll y la clave ``System'' del Registro que permite a Ntldr cargar los manejadores configurados para ser iniciados en el proceso de arranque. Tras ello, Ntldr cede el control a Ntoskrnl.exe terminando el proceso de arranque para comenzar la carga del sistema operativo.

2.2. Solucin de Problemas en el Proceso de Arranque

Como hemos visto, son muchos los elementos que intervienen en el proceso de arranque de Windows 2000, elevando as las posibilidades de fallos durante este proceso. Windows 2000 incorpora diversos medios para corregir los posibles errores en el proceso de arranque. Entre las soluciones a estos problemas vamos a destacar tres: 1. 2. 3. La ltima configuracin buena conocida o Last Know Good. Reparacin de una instalacin con los discos de instalacin de Windows 2000. Utilizacin de un disco de arranque de emergencia.

2.2.1. Ultima configuracin Buena Conocida

Se trata de una copia en el registro que contiene la informacin de la ltima configuracin buena conocida, con la cual el sistema arranc sin problemas. En la clave HKEY_LOCAL_MACHINE\SYSTEM del Registro de Windows 2000 aparecen distintos conjuntos de configuraciones denominados ControlSet. El primero se denomina CurrentControlSet que contiene la configuracin actual del sistema. Existen otros conjuntos con un nmero de orden ControlSet001, ControlSet002, etc., los cuales representan distintas configuraciones alamacenadas. Cuando el sistema arranca utiliza una configuracin por defecto que es copiada a la clave CurrentControlSet. Adems si el proceso de inicio de sesin (Logon) ha ido bien, la configuracin actual (CurrentControlSet) se copia de forma automtica a la clave que contiene la ltima configuracin buena conocida. La forma de saber cul es la clave por defecto y cul es la ltima buena conocida es mediante los valores almacenados en la clave Select que se encuentra al mismo nivel de las claves de conjuntos de configuraciones. Dentro de esta clave aparecen los valores Current para la configuracin actual, Default para la configuracin por defecto, Failed que indica el nmero de clave que contiene una configuracin que ha fallado y LastKnowGood que contiene el nmero de la clave con la ltima configuracin buena conocida. Para arrancar con la ltima configuracin buena conocida debe pulsarse F8 apareciendo un men con la opcin LKNG y los distintos perfiles disponibles y para arrancar la ltima configuracin buena conocida hay que presionar la tecla L. Es importante tener en cuenta que esta opcin no repara ficheros daados sino que no realiza la carga de los ltimos drivers aadidos que pueden ser los que estn provocando el error. Por tanto tiene que tenerse en cuanto que al utilizar la ltima configuracin buena conocida para el arranque, cualquier modificacin realizada en la 8

Reparacin de una Instalacin con los Discos de Arranque de

configuracin durante el ltimo arranque del sistema se perder.

2.2.2. Reparacin de una Instalacin con los Discos de Arranque de Windows 2000
Si el error se produce debido a un fallo o un error en alguno de los ficheros de Windows 2000, es posible recuperarlo utilizando los discos de instalacin de Windows 2000. Se introduce el primero de los disquetes iniciando el proceso de instalacin de Windows 2000. Durante dicho proceso aparece un men preguntando si se desea instalar 2000 o reparar una instalacin existente. Al elegir esta opcin, aparece un nuevo men preguntando si deseamos reparar los ficheros de 2000 o la base de datos de usuario. Ser necesario intorducir el Cd-rom de 2000 y el programa de instalacin se encargar de revisar los ficheros de la instalacin de 2000 y reparar aquellos que se hayan modificado.

2.2.3. Creacin de un Disco de Reparacin de Emergencia.

La utilizacin de un disco de reparacin de emergencia permite devolver el sistema a la situacin en la que se encontraba la ltima vez que se actualiz dicho disco, por tanto es conveniente mantener una copia actualizada de dicho disco. Un disco de reparacin emergencia contiene una copia de la configuracin del sistema que puede ser recuperada mediante la utilizacin conjunta de dicho disco con los discos de arranque de Windows 2000. La utilizacin de este disco permite reparar ficheros perdidos o corruptos, as como el Registro. La informacin que puede recuperarse incluye la base de datos de usuarios, informacin de seguridad, informacin de configuracin de discos, entrada de software instalado \ldots El directorio que incluye dicha informacin se encuentra en el subdirectorio Repair dentro del directorio de Windows 2000. Hay que tener en cuenta que el contenido de este directorio es creado durante el proceso de instalacin y sera necesario ir actualizndolo con el paso del tiempo. Para realizar estas operaciones (creacin y actualizacin), Windows 2000 ha aadido una opcin a Ntbackup.exe para generar el disco de reparacin de emergencia. En Windows NT 4.0 exista un comando especfico llamado Rdisk.exe para realizar esta tarea. El disco de reparacin de emergencia ya no se utiliza para recuperar los usuarios, ahora hay que hacer una copia de Active Directory.

2.2.4. Creacin de un disco de arranque

Lo primero que debe realizarse para crear un disco de arranque de Windows 2000 es formatear el disco desde el propio Windows 2000, de esta forma se asegura que se introduce en el sector de arranque del disco informacin necesaria para que se arranque utilizando el Ntldr. Una vez formateado el disco deben copiarse en el mismo los ficheros necesarios para el arranque como son Ntldr, Ntdetect y Boot.ini; resulta necesario adems Ntbootd si tenemos dispositivos SCSI y {Bootsec.dos para arrancar otros sistemas; el resto de ficheros involucrados en el arranque del sistema se tomarn del disco duro.

2.2.5. La Consola de recuperacn

Microsoft ha incluido en Windows 2000 (W2000) una gran cantidad de funciones y herramientas largamente esperadas. Pero de todos es sabido que, con independencia de las ventajas que estas nuevas herramientas puedan reportar tanto a administradores como a usuarios, toda instalacin de una nueva versin de un sistema operativo conlleva , al menos, una desventaja ciertamente importante: que se vuelven obsoletas muchas de las tcnicas y herramientas que, a diario, han utilizado y desarrollado los administradores de redes para el mantenimiento del sistema operativo. Pensemos en la recuperacin del sistema. Si nuestra empresa depende de W2000, deberemos saber cmo reparar los sistemas W2000 en el supuesto de que stos fallen. Es cierto que Microsoft ha mejorado notablemente la fiabilidad y recuperabilidad de W2000, pero tambin es cierto que las cosas pueden torcerse y que, de hecho, se tuercen con cierta frecuencia. Por ello, y con el fin de estar preparados para lo que pueda suceder, Microsoft ha incluido en W2000 una serie de herramientas nuevas que nos permitirn realizar las tareas ms fcilmente. 9

La Consola de recuperacn

Microsoft ha conseguido eliminar, por fin, las diferencias en el terreno de la recuperabilidad antes mencionadas al incluir en W2000 las utilidades que han logrado situarlo a un mismo nivel que los sistemas Windows 9x. Adems de las mejoras internas en la fiabilidad que han hecho de W2000 un sistema menos proclive a los bloqueos, Microsoft ha incluido varias caractersticas nuevas de recuperacin que facilitan la reparacin de los sistemas W2000 que presenten problemas de inicio. W2000 permite, por ejemplo, iniciar el sistema en varios modos seguros (es decir, a prueba de fallos) de forma muy similar a Windows 9x. Y, al igual que Windows 9x, W2000 ofrece durante el inicio varias opciones adicionales que permiten desactivar ciertas funciones del sistema operativo con el fin de poder iniciar el sistema correctamente. Para acceder a la mayora de estas opciones, hay que pulsar F8 cuando se abra el men del cargador de sistemas operativos de W2000 durante el inicio. Entre estas nuevas caractersticas, existe un nuevo modo de inicio denominado Consola de recuperacin (Recovery Console o RC). La Consola de recuperacin es un intrprete de comandos que permite iniciar los equipos basados en NTFS para realizar las tareas de recuperacin del sistema. Esta utilidad, tan pronto como se instala, permite iniciar el sistema abriendo una sesin especial de consola reducida de W2000 que permite acceder a todas las particiones de disco FAT16, FAT32 y NTFS del sistema, as como a un conjunto bsico de mandatos y utilidades para la realizacin de tareas de recuperacin. Para utilizar la Consola de recuperacin en un sistema W2000, primero hay que instalarla, para lo que es preciso ejecutar el programa de instalacin de W2000 (es decir, winnt32.exe) con el parmetro /cmdcons (por ejemplo, D:\i386\winnt32 /cmdcons). A continuacin, W2000 mostrar en pantalla un mensaje advirtiendo que se va a instalar la Consola de recuperacin y preguntando si se desea continuar con la operacin. Tan pronto como se hace clic en Yes (S), el sistema copia los archivos necesarios (que, normalmente, no llegan a los 6 MB) en una carpeta oculta denominada \cmdcons, que reside en el directorio raz de la unidad de inicio del sistema (por ejemplo, C:\cmdcons). La prxima vez que se inicie el sistema, el men del cargador de sistemas operativos de W2000 ya incluir la nueva opcin Microsoft Windows 2000 Recovery Console (Consola de recuperacin de Microsoft Windows 2000). Cuando se selecciona esta opcin de inicio, W2000 permite, durante un brevsimo espacio de tiempo, pulsar la tecla F6 para cargar un controlador RAID (Redundant Array of Inexpensive Disks o Array redundante de discos de bajo coste) o SCSI de otro fabricante. (Esta opcin es necesaria si la Consola de recuperacin no es capaz de detectar correctamente la configuracin del controlador de disco.) A continuacin, el sistema pasa a modo texto y solicita al administrador que especifique la instalacin de W2000 en la que desea iniciar una sesin. Esta caracterstica permite utilizar la Consola de recuperacin para recuperar las distintas instalaciones de sistema operativo de un sistema multiinicio. Una vez que se haya seleccionado la instalacin a la que se desee acceder, el sistema pedir al administrador que suministre la contrasea de administrador para dicha instalacin. (Dicha contrasea es la contrasea de la cuenta de administrador local, no la de la cuenta de administrador de dominio, en el caso de que exista un dominio). Adems de poder instalar una copia de la Consola de recuperacin en el disco duro de cada uno de los sistemas esenciales, tambin es posible iniciar esta utilidad mediante la opcin de reparacin del programa de instalacin de W2000. De este modo, tambin se podr acceder a la consola tras ejecutarse el programa de instalacin de W2000 desde CD-ROM o desde disquetes de 3,5 pulgadas. Esta posibilidad resulta muy til cuando se tienen problemas con un sistema W2000 en el que la instalacin de la Consola de recuperacin se encuentra daada o en el que nunca se ha instalado dicha utilidad La Consola de recuperacin resulta especialmente til cuando no hay forma de iniciar W2000 y es preciso acceder con urgencia al sistema de archivos para diagnosticar y solucionar el problema. Como dicha herramienta permite acceder directamente al sistema de archivos e incluye numerosas utilidades y mandatos de bajo nivel, los administradores pueden hacer la mayora de tareas de recuperacin de un sistema. Puede resultar complejo para el administrador tener que utilizar la lnea de comandos, pero las posibilidades que otorga deben de hacer entender, que la RC era una herramiente que hacia falta en las instalaciones de NT. Es importante identificar las causas probables de los problemas de inicio de un sistema antes de que se produzcan, as como conocer las medidas que deben tomarse para resolverlos. Una lista con las causas ms frecuentes de los fallos de inicio de W2000 y NT debidos a problemas con el software, se detalla a continuacin: Se ha daado o eliminado un archivo esencial del sistema (por ejemplo, los archivos de secciones del Registro o los archivos ntoskrnl.exe, ntdetect.com, hal.dll o boot.ini). Se ha instalado un servicio o controlador incompatible o defectuoso, o se ha daado o eliminado un servicio o controlador esencial.

10

Windows 2000

Se han producido daos en el disco o en el sistema de archivos, incluidos los daos en las estructuras de directorios, el MBR (Master Boot Record o Registro de inicio principal) y el sector de inicio de W2000 o NT. El Registro contiene datos no vlidos (es decir, el Registro se encuentra fsicamente intacto pero contiene datos errneos desde el punto de vista lgico, como un valor fuera de rango como valor del Registro correspondiente a un servicio o controlador). Son incorrectos o excesivamente restrictivos los permisos de la carpeta \%systemroot% (por ejemplo, C:\winnt).

La Consola de recuperacin tambin permite resolver los problemas causados por los daos subyacentes que existan en el disco o en el sistema de archivos. De hecho, esta utilidad incluye varios mandatos que permiten reparar discos daados desde fuera de W2000. Uno de estos mandatos es Chkdsk, que es muy similar al mandato de Windows 9x y DOS que lleva el mismo nombre. Otros dos mandatos muy tiles a la hora de reparar un disco son Fixmbr y Fixboot. Fixmbr, al igual que el mandato Fdisk /mbr de Windows 9x, sustituye el MBR del disco principal del sistema por una copia en buen estado, lo que permite resolver todos aquellos problemas en los que el MBR hubiera resultado daado o infectado por un virus. Igualmente til es el mandato Fixboot, que permite reparar el sector de inicio de W2000 en el supuesto de que hubiera resultado daado o sobrescrito durante la instalacin de otro sistema operativo (eventualidad que conlleva la prdida del men del cargador de sistemas operativos de W2000). Otra herramienta muy til que incluye la Consola de recuperacin es Diskpart, una utilidad de administracin de discos similar a la incluida en el programa de instalacin de W2000. Diskpart permite efectuar tareas bsicas de administracin de discos tales como la creacin y eliminacin de particiones. La Consola de recuperacin tambin incluye otros mandatos que pueden resultar muy tiles, como Listsvc, Enable y Disable, que permiten generar una lista de los servicios y controladores del sistema, activarlos y desactivarlos, respectivamente. Esta serie de comandos es vital cuando el problema de inicio del sistema se debe a la existencia de un servicio o controlador defectuoso. Basta con iniciar una sesin en la Consola de recuperacin, desactivar el servicio o controlador que est dando problemas y, por ltimo, reiniciar el sistema, por lo que no es preciso efectuar ninguna modificacin ni restauracin del Registro. Como la Consola de recuperacin muestra las carpetas de instalacin tanto de W2000 como de NT en los sistemas de inicio dual, es posible que a los usuarios de tales sistemas les resulte til esta herramienta para la recuperacin de instalaciones NT fallidas. Aun cuando se advierte en varios artculos de Microsoft que no se debe seguir esta prctica, lo cierto es que no se ofrece ninguna explicacin que justifique dicha advertencia. Como la mayora de los mandatos de esta utilidad guardan relacin con el sistema de archivos, funcionan perfectamente en volmenes NTFS5 compartidos entre W2000 y NT. (Es preciso recordar, no obstante, que hay que instalar Service Pack 4 SP4, o una versin posterior de este paquete de servicios, en NT con el fin de que este sistema operativo sea compatible con NTFS5). Hay que hacer constar algunos defectos e inconvenientes que presenta la Consola de recuperacin. Una limitacin bastante importante es la de que no se puede instalar en un volumen espejo/RAID1 basado en software (es decir, un volumen que se haya creado mediante el Administrador de discos de NT o el Administrador de discos lgicos de W2000, no una controladora RAID de hardware). Por lo que se refiere a los requisitos de configuracin de las particiones, las reglas que se siguen para la instalacin de la Consola de recuperacin son similares a las que se siguen para la instalacin de W2000. Al igual que en las instalaciones normales y corrientes de sistemas operativos, este problema se puede sortear eliminando el espejo, instalando la Consola de recuperacin y volviendo a restablecer el espejo. Como conclusin podemos destacar que el uso de la Consola de Recuperacin no va a sustituir a todas las herramientas que comnmente viene utilizando un administrador, pero si que aglutina las capacidades necesarias para que sea una herramienta de cabecera.

2.3. Linux al rescate

Puede resultar complicado entender que otro sistema operativo pueda resultar de ayuda a la hora de resolver problemas en un sistema W2000, y ms si cabe si este SO se llama Linux. Sabido es la batalla emprendida por Microsoft para desprestigiar a Linux. Sin embargo a un administrador cuyo objetivo es devolver su sistema a un estado ptimo en el menor tiempo posible, solo debe preocuparle que herramientas me puden sacar del apuro. 11

Service Packs. Windows Updates

Linux es un clon de Unix, desarrollado bajo la licencia GPL, que permite utilizar, modificar y distribuir, los fuentes de Linux. Linux soporta varios sistemas de ficheros, entre ellos toda la gama que soporta W2000 (FAT,FAT16,FAT32,NTFS). Por tanto, es fcil arrancar nuestra mquina con un disquete que contenga un mnimo sistema Linux y poder acceder a la particin que contiene nuestro Windows 2000 ( algo parecido a la Consola de Recuperacin de W2000). Por tanto, un administrador con los suficientes conocimientos podra editar el Registro, manipular la SAM o modificar el sistema de ficheros NTFS. Pero las cosas no tienen que ser tan complicadas. Existen utilidades ya preparadas que nos permiten realizar estas tareas. Nosotros nos vamos a centrar en el trabajo realizado por un desarrollador desinteresado que ha construido un disquete que arranca un sistema Linux con soporte SCSI y que permite editar el registro, habilitar y deshabilitar cuentas, as como cambiar el password del administrador. La utilidad en cuestion es de libre distribucin y se denomina Petter Nordahl-Hagen's Offline NT Password & Registry Editor. Esta utilidad permite, como hemos comentado, cambiar el password de cualquier usuario que tenga una cuenta local vlida en el sistema W2000, modificando la contrasea encriptada del fichero SAM del Registro. No se necesita conocer la contrasea anterior para definir una nueva. La utilidad funciona fuera de lnea, es decir, necesitamos reiniciar el sistema y arrancar desde disquete o CD-ROM El disquete incluye el soporte necesario para acceder a particiones NTFS y una serie de scripts que nos facilitan la tarea. Adems, detectar y permitir desbloquear cuentas deshabilitadas o bloqueadas. El nico problema que se puede presentar en sistemas XP o W2000 con Service Pack instalado, es que si el usuario utiliz EFS para cifrar sus ficheros, estos no podrn ser ledos a no ser que recuerde la contrasea antigua. El autor dispone de un disquete de arranque que automatiza todo este proceso. Lo nico que hay que hacer es bajarse la imagen del disquete y generarla bien con rawrite.exe si estamos en un entorno MS-DOS o con el comando dd si estamos en Linux. El sitio Web donde podemos encontrar toda la informacin referente a esta utilidad es la siguiente http://home.eunet.no/~pnordahl/ntpasswd/ Como refencia comentar que existe la posibilidad de cambiar la contrasea del administrador de un dominio Windows 2000, siguiendo el truco que se comenta en la siguiente pgina web http://www.jms1.net/nt-unlock.html

2.4. Service Packs. Windows Updates

No cabe duda que todo software por muy testeado que est, siempre es susceptible de mejorarse o de esconder agujeros imprevistos ante situaciones imprevistas. Por tanto, todo administrador de sistemas W2000, debe seguir una poltica activa de actualizaciones, lo cual implica una constante formacin as como aplicar todos los parches habidos y por haber. Microsoft publica peridicamente los denominados Hot-fixes para evitar agujeros de seguridad en sus sistemas. No siempre con la celeridad qeu seria de agradecer. Cuando existe un cmulo de actualizaciones importante, suele publicar un Service Pack para arreglar los diferentes servicios que tenga instalado el sistema. Actualmente la instalacin de un Service Pack solo modifica el software que tenga instalado la mquina, pero nos seguimos viendo obligados a reinstalarlo si el servicio se ha instalado posteriormente. Microsoft proporciona un sistema de actualizacin en lnea va web muy til pero poco prctico si tenemos que actualizar cientos de estaciones y servidores. Para ello Microsoft Software Update Services (SUS) proporciona la forma ms rpida y segura de actualizar una red montando un servidor de actulizaciones propio. La instalacin y configuracin de este servicio escapa a los objetivos del curso, pero toda la informacin disponible se puede encontrar en la siguiente direccin http://www.microsoft.com/windowsserversystem/sus/default.mspx

12

Captulo 3. Administracin de Discos

Tabla de contenidos
3.1. Geometra de los Discos Duros. ........................................................................................13 3.1.1. Lmites a la Geometra de los Discos IDE .................................................................13 3.1.2. Problemas Causados por Lmites a la Geometra de los Discos IDE. ..............................15 3.1.3. Particiones del Disco. ...........................................................................................16 3.2. La consola de administracin de discos ...............................................................................17 3.2.1. Configuracin de la Consola ..................................................................................17 3.2.2. Discos bsicos y dinmicos. ...................................................................................18 3.2.3. Creacin de Particiones. ........................................................................................18 3.2.4. Creacin de Volmenes. .......................................................................................22 3.3. Utilidades .....................................................................................................................24 3.3.1. Diskpart .............................................................................................................24 3.4. Sistemas de Ficheros .......................................................................................................25 3.5. Copias de Seguridad .......................................................................................................26 3.5.1. Carpetas y ficheros ...............................................................................................26 3.5.2. Estado del Sistema ...............................................................................................27

3.1. Geometra de los Discos Duros.

Los discos duros son el medio de almacenamiento masivo y permanente por excelencia en los ordenadores. Existen dos grandes grupos de discos en funcin de su interfaz con el ordenador, IDE y SCSI. En esencia, ambos grupos son equivalentes, salvo en aspectos de rendimiento, fiabilidad y precio. Difieren, eso s, en laslimitaciones que el software de sistemas ha impuesto de formaartificial a los discos IDE en el mundo de los PCs.Un disco almacena su informacin en uno o ms platos, disponiendo de una cabeza lectora para cada una de las dos caras del plato (aunque en algunas ocasiones una cara no es utilizada). Cada cara est dividida en varios anillos concntricos, denominados pistas. Esta divisin es debida a que el plato gira sobre su eje, y la cabeza lectora se desplaza longitudinalmente hacia o desde el eje. A su vez, cada pista est subdividida en sectores, todos ellos de igual capacidad, 512 bytes en la gran mayora de los casos. Todos los platos de un disco estn unidos y tambin lo estn entre si las cabezas lectoras. El conjunto de pistas que se encuentran bajo todas las cabezas lectoras recibe el nombre de cilindro. Resumiendo, la capacidad de un disco puede describirse indicando su nmero de cilindros, cabezales y sectores por pista. Por ejemplo, un disco con 4096 cilindros, 16 cabezales y 63 sectores por pista alberga un total de: 4096 x 16 x 63 = 4.128.768 sectores de 512 bytes 2.113.929.216 bytes 2.064.384 Kbytes 2.016 Mbytes = 1'96875 Gbytes. Hay que tener en cuenta que el fabricante del disco dir que su disco tiene 2^30 Gbytes. Los fabricantes de discos asumen que un Gbyte equivale a mil millones de bytes, no a $2^{30}$ bytes. Por cierto, los nuevos estndares dan la razn a los fabricantes, y nos indican que deberamos utilizar los nuevos trminos Kibytes, Mibytes, Gibytes para expresar las correspondientes potencias de 2. Sin embargo, en este documento no vamos a utilizar este estndar.

3.1.1. Lmites a la Geometra de los Discos IDE

Existen diferentes lmites a la geometra descrita que han sido impuestos (artificialmente) por el hardware o el software. Los tres ms importantes se explican a continuacin, seguidos de un apartado que comenta cmo se 13

La especificacin ATA

han superado hasta la fecha.

3.1.1.1. La especificacin ATA

Segn la especificacin establecida por los fabricantes de discos duros, la forma de indicar al controlador del disco qu sector deseamos acceder es mediante su nmero de cilindro, de cabezal y de sector. La especificacin tambin establece un nmero mximo de bits para cada valor, lo cual condiciona el nmero ms grande de cilindros, cabezales y sectores que podemos direccionar. Este mximo nmero de bits es, para cada valor, el siguiente: Para el nmero de cilindro : 16 bits. Para el nmero de cabezal : 4 bits. Para el nmero de sector: 8 bits.

Por tanto, segn la especificacin ATA, un disco duro puede direccionar, como mucho: 65536 cilindros * 16 cabezales * 256 sectores por pista. Si multiplicamos este nmero mximo de sectores por 512 bytes, el resultado es de 127'5 Gbytes, es decir, el tamao terico mximo de disco duro de la especificacin ATA. En el momento de escribir estas lneas, este lmite est prcticamente a punto de alcanzarse, dado que ya se venden discos IDE de 100Gb de capacidad.

3.1.1.2. Las Rutinas de Disco Clsicas de la BIOS.

Algunos sistemas operativos antiguos para PC, como por ejemplo MSDOS, utilizan la BIOS como la forma natural de acceder a los discos, entre otros dispositivos. Es el mismo caso que muchos de los cargadores de los sistemas operativos actuales. En estos casos, el sistema operativo informa a la BIOS de qu nmero de sector desea acceder, y la BIOS traduce esta peticin al controlador del disco, segn la especificacin ATA presentada anteriormente. En este caso, la propia BIOS presenta al sistema operativo una interfaz de funciones en la que tiene tambin un nmero de bits reservados para direccionar el cilindro, cabezal y sector. La cantidad mxima de bits que las funciones ``clsicas'' de acceso reservaban para cada valor son las siguientes: Para el nmero de cilindro : 10 bits. Para el nmero de cabezal : 8 bits. Para el nmero de sector: 6 bits.

Por tanto, utilizando las rutinas tradicionales de la BIOS, un disco duro puede direccionar, como mucho: 1024 cilindros * 256 cabezales * 63 sectores por pista El hecho de que el nmero de sectores por pista sea de 63 en vez de 64 proviene del hecho de que, segn el mecanismo tradicional de direccionamiento de los discos (denominado CHS\footnote{Su nombre viene del acrnimo ingls Cylinder-Head-Sector, los sectores se numeran desde 1 en vez de numerarlos desde 0. Multiplicando esta cantidad de sectores por 512 bytes, el valor resultante es de 7'84 Gbytes, que es el tamao mximo de disco duro que reconocen esas BIOS tradicionales. Incluso en BIOS ms modernas, que incorporan otras funciones de acceso, esa limitacin sigue existiendo para el software que utiliza aquellas funciones clsicas para acceder al disco. Este es el caso, por ejemplo, del ancestral sistema DOS y, hasta hace poco tiempo, tambin de LILO, el cargador por excelencia del sistema operativo Linux.

3.1.1.3. La Limitacin Conjunta de las dos Anteriores.

14

Superando las Limitaciones.

En un primer momento, la limitacin real no fue la anterior, sino la limitacin combinada de las dos anteriores. Es decir, puesto que los discos duros no pueden tener ms de 16 cabezales (porque as lo han decidido los fabricantes), la limitacin de la BIOS an se restringa ms, dando como resultado los siguientes nmeros: Para el nmero de cilindro : 10 bits. Para el nmero de cabezal : 4 bits. Para el nmero de sector: 6 bits.

Es decir: 1024 cilindros * 16 cabezales * 63 sectores por pista. Multiplicando por 512 bytes, esta cantidad de sectores permita un total de \B{504 Mbytes}, una cantidad supuestamente inalcanzable en los aos de los primeros sistemas para PC, pero que apenas 15 aos despus result claramente insuficiente.

3.1.1.4. Superando las Limitaciones.

La aparicin de discos de ms de 504 Mb, con ms de 1024 cilindros, caus serios problemas, ya que millones de ordenadores con DOS instalado no podan utilizarlos directamente. La forma de salvar esta primera limitacin consisti en aprovechar que la BIOS permita un nmero mayor de cabezales que la especificacin ATA, aunque menos cilindros. Por tanto, el objetivo consista en implementar a nivel de BIOS una traduccin que, manteniendo inalterable el nmero mximo de sectores del disco, ofreciera al sistema operativo un nmero superior (ficticio) de cabezales (hasta 256) y un nmero proporcionalmente inferior de cilindros (hasta 1024). Internamente la BIOS realiza la traduccin de ese nmero de sector virtual al nmero de sector real. En este sentido, el modo de direccionamiento LBA (o Logical Block Addressing) resulta particularmente interesante. En este modo de direccionamiento, el controlador del disco ofrece a los niveles superiores la visin de que el disco est formado por un vector lineal de sectores. Por tanto, los tres valores que identifican un sector en el disco (cilindro, cabezal y sector) se especifican como un nico nmero entre 0 y el nmero mximo de sector. A nivel de la especificacin ATA, el nmero de sector sera un nmero de 28 bits (16 + 4 + 8). Al aparecer discos que permitan direccionamiento LBA, las BIOS fueron modificadas para utilizar tambin este modo y sus 24 bits de direccionamiento (10 + 8 + 6) se utilizaron para especificar un nmero lineal entre 0 y 2^24, que luego la BIOS pasa directamente al controlador del disco, permitiendo llegar naturalmente hasta el mximo de 7'84 Gb. Finalmente, esa barrera de los 7'84 Gb se ha superado incluyendo nuevas funciones en las BIOS, con una especificacin LBA que utiliza un nmero mayor de bits. De esta forma se puede llegar hasta el mximo de la especificacin ATA.

3.1.2. Problemas Causados por Lmites a la Geometra de los Discos IDE.

Estas limitaciones en los discos tpicos para PC han ocasionado limitaciones en algunos sistemas operativos. A continuacin se revisan los sistemas ms populares: 1. DOS, Windows 3.x, Windows 95, Windows NT 3.x. DOS utiliza las rutinas clsicas de la BIOS para acceder al disco. Por tanto, DOS no puede utilizar ms de 1024 cilindros. El modo LBA es imprescindible y el tamao mximo de disco soportado, tal como se ha explicado anteriormente, es de 7'84 Gbytes. Los sistemas Windows que aparecieron a continuacin heredaron esta restriccin de DOS por motivos de compatibilidad. Windows 95 OSR2, Windows 98, Windows ME. No tienen ningn problema. No utilizan las rutinas clsicas de la BIOS y por tanto pueden utilizar ms de 1024 cilindros. Windows NT 4.0. Este sistema tiene soporte para discos grandes desde su aparicin. No obstante, el proce15

2. 3.

Particiones del Disco.

so de instalacin de NT est basado en DOS, con lo cual, la particin donde reside NT debe estar antes de la barrera de los 1024 cilindros. En resumen, en nuestros das apenas nos estamos librando de las restricciones que impuso el diseo original de la BIOS. Slo en las ltimas versiones de los sistemas operativos para PC, esas limitaciones no suponen un problema de instalacin o de uso.

3.1.3. Particiones del Disco.

En el primer sector de un disco duro reside el denominado MBR (o Master Boot Record). En estos 512 bytes residen el cdigo inicial de carga del sistema operativo, la tabla de particiones primarias y la firma del disco. El cdigo de carga ms frecuente es el que define el sistema operativo DOS, el cual se encarga de buscar la particin de arranque, cargar en memoria el primer sector de dicha particin y cederle el control. ste es el mtodo utilizado por todos los sistemas operativos de Microsoft. Este cdigo de carga puede recuperarse (reinstalarse) con el mandato DOS FDISK /MBR, el cual deja intacta la tabla de particiones. Otros cdigos de carga bastante utilizados son los cargadores que vienen con el sistema operativo Linux: LILO y GRUB. En realidad, el cdigo que se ubica en el MBR es el correspondiente a la primera fase del proceso de arranque. Estos cargadores son ms complejos y flexibles que el cdigo de carga de DOS, y utilizan la informacin que reside en el directorio /boot de Linux para determinar qu sistema operativo debe cargarse. El cdigo de carga se utiliza tan slo en el disco principal del sistema (es decir, el disco maestro del interfaz IDE primario). Hay BIOS que permiten arrancar de otros discos duros, pero generalmente aparecen numerosos problemas al utilizar esta opcin. La tabla de particiones est formada por cuatro entradas, donde cada una de ellas describe una potencial particin primaria. Los detalles de cada entrada son algo oscuros, y su utilizacin vara sensiblemente de un sistema operativo a otro. No obstante, simplificando un poco, cada entrada indica, para la particin que describe, la siguiente informacin: 1. 2. 3. 4. El sector del disco donde comienza. Su tamao. Si es una particin de arranque (activa). Su tipo.

DOS, Windows 3.x y Windows 95 representan el inicio de la particin utilizando la tripleta <cilindro,cabezal,sector>, con lo cual el tamao mximo de una particin es de 7'84 Gbytes (debido a la limitacin de los 1024 cilindros). El resto de sistemas representan el inicio de la particin indicando cul es el sector lgico donde comienza (viendo al disco como un vector de sectores lgicos). Estos sistemas utilizan una palabra de 32 bits, lo que permite 2^32 sectores, equivalente a 2 Tbytes (2 x 1024 Gbytes). En este caso, an estamos algo lejos de disponer de discos de estas caractersticas. El indicador de particin de arranque es utilizado tan slo por el cdigo de carga de DOS. Linux ignora por completo esta informacin. Existen numerosos tipos de particiones, en funcin de su utilizacin o de su organizacin interna (establecida por el sistema operativo que la defina). Existe una convencin que establece el identificador de cada tipo de particin como un nmero concreto en hexadecimal. La siguiente abla expone los tipos de particiones ms habituales. Tipo 0 Uso Particin vaca Limitacin

16

La consola de administracin de discos

5 6 7 b f 80 82 83

Particin extendida DOS FAT 16 OS2 o NTFS Windows 95 FAT 32 Extendida Windows 95 Old Minix Linux Swap Linux Native

1024 cilindros (7'84GB) 2 GB 2TB 2TB 2TB 2TB

Una particin extendida es un contenedor para otras particiones, a las cuales se les denomina particiones lgicas. Slo una de las particiones primarias puede declararse como extendida. La representacin de las unidades lgicas se realiza utilizando una lista enlazada que reside dentro de la particin extendida, por lo que no hay lmite en cuanto al nmero de particiones lgicas que se pueden crear. La particin extendida convencional ha tenido que ser cambiada por la nueva particin extendida Windows 95, ya que la primera no puede abarcar discos mayores de 7'84 Gbytes.

3.2. La consola de administracin de discos

La herramienta tpica para manejar discos y particiones en el entorno windows, siempre ha sido FDISK. Cuando el sistema posee mltiples discos, esta utilidad suele traer muchos quebraderos de cabeza al administrador. En el proceso de instalacin de un sistema windows 2000, se solicita la creacin, borrado y formateado de particiones, como paso previo a la definicin de un sistema de ficheros. La utilidad encargada de ello se denomina DISKPART (ver seccin...). Una vez arrancado el sistema la consola de administracin de discos, ser la principal utilidad para manejar los discos fsicos y lgicos de nuestra mquina. La Consola de Administracin de Discos puede ser utilizada por usuarios miembros del grupo Administradores. Esta herramienta se utiliza tanto para configurar nuevos discos, como para administrar la tolerancia a fallos de los mismos. Para ejecutar la Consola de Administracin de Discos, sigue los siguientes pasos: 1. 2. 3. En el men Inicio, selecciona Programas. En Programas, selecciona Herramientas Administrativas. En Herramientas Administrativas, selecciona Administracin de Equipo.

3.2.1. Configuracin de la Consola

La Consola es una herramienta altamente configurable. Muestra de una forma visual el tamao y el tipo de las particiones para poder identificarlas fcilmente. La Consola de Administracin de Discos tiene dos paneles configurados por defecto para mostrar en el superior la lista de dispositivos extrables, discos, cd-rom, mientras que el inferior muestra una vista grfica y coloreada de las particones, conjuntos espejo, seccionados etc ...

17

Discos bsicos y dinmicos.

Para poder personalizar la Consola de Administracin de Discos, sigue los siguientes pasos: 1. 2. En el men, seleccionar Ver. Desde aqu se puede seleccionar lo que queremos ver, tanto en el panel superior como en el inferior. Las elecciones pueden ser las siguientes:

Lista de discos: muestra todos los dispositivos en forma de lista. Lista de Volmenes: es la vista por defecto en el panel superior. Vista Grfica: vista por defecto en el panel inferior.

3.2.2. Discos bsicos y dinmicos.

En Windows 2000 disponemos de dos tipos de almacenamiento: 1. Bsico: Discos orientados a particiones, que es el sistema tradicional del PC. El disco puede contener particiones primarias y extendidas, y dentro de estas ltimas volenes lgicos. Todos los sistemas anteriores a Windows 2000 pueden ver este tipo de disco. 2. Dinmico: Se trata de una novedad de Windows 2000 para dar soporte a sistemas tolerantes a fallos mediante el uso de varios discos. Los discos no se organizan en particiones sino en volmenes, superando esta nueva organizacin las restricciones tradicionales del sistema de particiones del PC. Con el almacenamiento dinmico, los cambios en los discos surten efecto en el sistema sin necesidad de reiniciar el equipo. Por el contrario, no pueden contener particiones y por tanto no son accesibles desde versiones anteriores de Windows ni desde MS-DOS. Se administran con el servicio LDM ( Logic Disk Manager ) y el controlador dmio.sys. Todos los discos dinmicos forman parte del grupo de discos de la mquina. La informacin de los discos dinmicos se encuentra guardada en un espacio reservado en los propios discos, y no en el registro como en la versin anterior de Windows NT. De este modo, si se lleva el disco a otra mquina, la mquina destino sabe que ese disco estaba en otra mquina y podra acceder a la informacin pues los metadatos estn en el mismo disco. En la mquina origen, se reconoce la falta del disco pues en el resto de discos dinmicos se tiene la informacin referente a este disco. No obstante, Windows 2000 es compatible con los conjuntos de volenes de Windows NT. Dispone del controlador FTDISK de modo que reconoce los conjuntos de volmenes que NT creaba sobre particiones en discos bsicos. Visto lo anterior, cuando se quiera destinar un nuevo disco en el sistema para crear particiones y unidades lgicas se utilizar# en modo bsico. Si se desea crear un sistema tolerante a fallos, se inicializar el disco en modo dinmico. Un disco puede pasar de dinmico a bsico y viceversa, pero cuando el disco contiene datos, se deben tener en cuenta ciertas restricciones que se detallan en el apartado Actualizacin de discos bsicos a dinmicos, ms adelante en este captulo.

3.2.3. Creacin de Particiones.

18

Creacin de Particiones.

Antes de crear una particin se necesita saber que tipo de particin queremos: primaria, extendida o lgica. Los pasos necesarios para poder crear una particin se detallan a continuacin: 1. 2. 3. Abrir la Consola de Administracin de Discos. Selecciona el disco sobre el que crear la particin y que dispone de espacio libre. Con el botn derecho del ratn, selecciona Crear Particin.

4.

En el cuadro de dialogo que aparece, selecciona el tipo de particin (primaria,extendida,lgica). Si es sobre un espacio libre las nicas opciones que nos aparecern son primaria y extendida. Si es sobre una particin extendida, solo aparecer tipo de particin lgica.

5.

A continuacin se selecciona el tamao de la particin.

19

Creacin de Particiones.

6.

El siguiente paso sera asignar a la particin un punto de montaje (letra de unidad o Path). Windows 2000 trata a los volmenes como unidades de almacenamiento que pueden o no encontrarse en el espacio de nombres del almacenamiento del sistema. Para que los volmenes sean accesibles, se han de montar en el espacio de nombres. Los puntos de montaje son estticos, es decir, una vez asignado, el volumen mantiene su ruta de acceso. Una letra de unidad hace accesible la particin al modo tradicional de MS-DOS. Todos los datos del volmen se encuentran accesibles partiendo de la letra que se ha asignado. Windows 2000 permite asignar 26 letras, de las que la A y la B estn reservadas para unidades de disquete, y de la C a Z al resto. Las letras de las particiones del sistema o de arranque no pueden ser modificadas. Adems, solo puede asignarse una letra. Asignando al volumen un punto de montaje en una carpeta vaca de otro volmen ya montado, el volmen se hace accesible a partir de esa carpeta. Los volmenes pueden montarse en cualquier carpeta de un volmen formateado con NTFS de Windows 2000, de un disco tanto bsico como dinmico. La unidad montada puede estar formateada con cualquier sistema de archivos soportado por Windows 2000.

20

Creacin de Particiones.

7.

El ltimo paso consistir en decidir que sistema de ficheros (formato) queremos asignar a la particin a crear. Tambin est la posibilidad de no formatearla en este instante.

21

Creacin de Volmenes.

Este proceso al final mostrar un sumario de las acciones que se van a llevar a cabo. Hacer notar que si se decide formatear la particin, este proceso se realizar en un segundo plano.

3.2.4. Creacin de Volmenes.

Los volmenes aparecen en Windows 2000 gracias a la nueva gestin de los discos. Solo estn disponibles en discos dinmicos, y dan posibilidad de disponer de tolerancia a fallos. Un volmen de disco es una porcin de disco duro que funciona como si se tratase de un disco fsico independiente. El volmen puede estar formado por una sola porcin de un disco duro o por varias porciones del mismo disco o varias porciones de varios discos duros. Los volmenes de Windows 2000 pueden ser de varios tipos: Simple: Unico tipo posible si solo disponemos de un disco en modo dinmico. Distribuido Seccionado. De espejo. RAID-5

3.2.4.1. Volumen Simple.

Se trata de un volmen formado por una o varias porciones del mismo disco. Solo pueden crearse en discos dinmicos y se pueden reflejar, aunque no soportan ms opciones de tolerancia a fallos. Los volmenes simples 22

Volumen Distribuido.

son lo mas parecido a las particiones en los discos bsicos. Los volmenes simples pueden extenderse adiendo porciones del mismo disco o de otros discos, pero no se puede reducir su tamao una vez extendido ni eliminar porciones que se aadieron, slo se podr eliminar el volmen completo. Un volmen simple puede extenderse por otros discos hasta ocupar un mximo de 32 discos dinmicos.

3.2.4.2. Volumen Distribuido.

Se trata de un volmen formado por varias porciones de varios discos. Slo pueden crearse en discos dinmicos y no soportan opciones de tolerancia a fallos. Los volmenes distribuidos se pueden extender aadiendo porciones del mismo disco. Al extender un volmen distribuido, ocurrir igual que en los simples, que no se podr desasignar espacio. Se corresponden con los conjuntos de volmenes de Windows NT.

3.2.4.3. Volumen Seccionado.

Volumen que esta formado por un conjunto de porciones o bandas de igual tama# ( 64 Kbytes ) de varios discos, hasta un m#ximo de 32 discos. La informacin se reparte entre las bandas de los distintos discos. El reparto de informacin es equitativo y alternativo, ocupando de este modo todas las bandas o porciones de los discos integrantes. Como resultado, el rendimiento de E/S es mas alto. Los discos no tienen por qu# ser del mismo tamao, pues lo que es igual son las bandas que se crean en los discos. Adems, no pueden variar de tamao una vez creados. Estos volmenes slo pueden crearse en discos dinmicos y no ofrecen tolerancia a errores si no todo lo contrario. Si uno de los discos, o una banda, tuviese errores, el volmen completo falla y la informacin se pierde. Se corresponde con lo que en Windows NT se conoca como conjunto de bandas (RAID 0). La fiabilidad de este sistema es siempre menor que la fiabilidad del disco menos fiable. Los volmenes seccionados son el sistema de almacenamiento que ofrece el mejor rendimiento de todos los tipos de volmenes de Windows 2000, tanto en escritura como lectura, por lo que se puede escoger por su rendimiento.

3.2.4.4. Volumen Reflejado.

Volmen tolerante a fallos que utiliza un segundo espacio de almacenamiento fsico de igual tamao donde duplica toda la informacin del volumen. Aunque el tamao utilizado en los dos discos es el mismo, los discos no tienen porqu tener el mismo tamao fsico, ni en nmero de cilindros, etc... Las dos copias siempre deben encontrarse en dos discos distintos, y preferentemente en controladoras de disco distintas, a este mecanismo se le denomina duplexacin. Si uno de los discos fallase, el sistema se repondr utilizando la copia. Esto es recomendable, por ejemplo, para el volumen del sistema. Adems, desde el disco de reparacin de emergencia, se puede arrancar de una copia en espejo. Como inconveniente, el espacio til de disco se reduce en un 50%. Slo pueden crearse en discos dinmicos. Se corresponde con lo que en Windows NT era el conjunto de espejos ( RAID-1 ). Son ms lentos a la hora de escribir, puesto que se han de realizar las escrituras por duplicado. Esto puede mitigarse con la duplexacin. Para reflejar el volmen, es necesario que en el sistema exista al menos otro disco en modo dinmico, adems del que queremos reflejar. En ese momento, pulsando con el botn derecho sobre el volmen, el sistema ofrece la posibilidad de reflejarlo utilizando espacio no asignado de alguno de los discos. Para eliminar un volumen reflejado tenemos dos opciones: Romper el espejo: Esta opcin descompone el volmen reflejado dividindola en dos volmenes independientes. Como resultado tenemos dos volmenes idnticos en tamao y con la misma informacin en ambos, pero ya no estn reflejados.

23

Volumen RAID-5.

Quitar un espejo: Esta opcin libera una de las dos copias integrantes del espejo, dejando el espacio que ocupaba tal copia como no asignado. La otra copia sigue funcionando, pero ahora no est reflejada.

3.2.4.5. Volumen RAID-5.

Volmen formado por bandas o porciones de tres o ms discos duros, hasta 32 discos. En estos volmenes, a los datos se les aade un informacin de paridad que servir de cdigo de deteccin y correccin de posibles errores. Los datos y la paridad se escribe de forma alterna entre el conjunto de bandas del volmen. La banda de paridad se calcula utilizando una funcin OREX del resto de bandas de datos. Los volmenes de RAID5 son tolerantes a fallos. Si un disco o una banda contiene errores, Windows 2000 puede reconstruir la informacin perdida a partir de los datos que quedan en las otras bandas junto con la paridad. El sistema puede por tanto soportar la perdida de un disco sin perdida de datos, ya que el volumen continua en lnea.. No obstante, a partir del momento de la recuperacin, el sistema es propenso a fallos hasta que se cambia el disco averiado o se rompe el RAID. En una operacin de lectura, solo se lee la banda donde se encuentran los datos. Solo es necesario leer una banda para saber si existe o no error. Si el sistema detecta un error en la banda que ha ledo o un error en el disco, leer el resto de bandas de datos y la banda de paridad, con lo que podr reconstruir la banda daada. Si el error se produce en la banda de la paridad no es necesaria la reconstruccin. No toda la capacidad de un volmen RAID5 esta disponible para guardar datos, puesto que siempre una de las bandas se destina a guardar los datos de paridad. El tamao disponible depender del nmero de discos que componen el RAID5, como siempre se destina una banda a la paridad, al incrementar el nmero de discos del RAID5 aumenta el espacio de almacenamiento til disponible. En la figura se puede observar una configuracin RAID5 con 3 discos. En cada disco, se utilizan porciones del mismo tamao ( 20 Mbytes ) . El tamao total del volumen es de 40 Mbytes, y no 60 Mbytes, pues una de las bandas se destina a paridad. Si el volmen estuviese formado por 4 discos y tambin con 20Mbytes por banda, el tamao de disco disponible hubiese aumentado hasta 60Mbytes, pues se seguirn ocupando 20Mbytes para la paridad. Los volmenes RAID5 slo pueden crearse en discos dinmicos y no pueden reflejarse ni extenderse. Adems, no se puede instalar el sistema en un volumen RAID5. Los volmenes RAID5 consumen mas memoria del sistema. Su uso es para informacin importante que en la medida de lo posible no sea muy cambiante, pues el rendimiento en escrituras es peor.

3.3. Utilidades
3.3.1. Diskpart
Diskpart es una utilidad que proporciona Microsoft para realizar la gestin de discos desde la lnea de comandos. Soporta, mediante comandos o mediante el paso de un script de comandos, operaciones sobre los discos del sistema.
diskpart [ /s script]

Los comandos de diskpart funcionan sobre: un disco, una particin,un volmen Los comandos emitidos se realizan sobre el foco , que es un objeto de uno de los tipos anteriores seleccionado mediante el comando Select. Por tanto, este es el primer comando que se debe utilizar para determinar donde se realizaran los comandos siguientes. La sintxis de Select es la siguiente:
Select [ volume | partition | disk ] [ = numero]

Todos los comandos requieren la seleccin del foco, a excepcin de: 24 List [disk | volume | partition ] :Lista los discos, volmenes y particiones.

Sistemas de Ficheros

Help: Visualiza la ayuda de la herramienta. Rem: Introducir comentarios en los scripts de diskpart. Exit: Salir de la consola. Rescan: Fuerza a volver a buscar discos en el sistema.

El resto de comandos que admite diskpart es siempre sobre el foco, de entre ellos podemos destacar: Active: Hacer activa la particin foco. Assign [letter=letra | mount=ruta ] [noerr]: Asignarle un punto de montaje. Remove [letter=letra | mount=ruta | all] [noerr]: Eliminarle un punto de montaje. Create: Crear una particin en el disco foco. Delete: Eliminar la particin foco. Extend [size=n] [noerr]: Extender el volumen foco. Add: Agregar un espejo al volumen simple foco. Break: Dividir o Romper el espejo del volumen foco. Convert: Para pasar de modo dinmico a bsico.

Los cdigos de error que puede dar diskpart son: 0: "Sin errores. Toda la secuencia de comandos se ejecut sin errores." 1: "Excepcin fatal. Puede haber un problema grave." 2: "Argumentos incorrectos especificados en una lnea de comandos de Diskpart." 3: "DiskPart no pudo abrir la secuencia de comandos o el archivo de salida especificados." 4: "Uno de los servicios que utiliza DiskPart ha devuelto un error." 5: "Error en la sintaxis de un comando. Error en la secuencia de comandos porque un objeto se seleccion incorrectamente o su uso no era vlido en dicho comando."

3.4. Sistemas de Ficheros

Cuando apareci Windows NT 3.1 en 1993, Microsoft utiliz las capacidades avanzadas del sistema de ficheros HPFS (High Performance File System) previamente utilizado en Microsoft/IBM OS/2, para crear el sistema de ficheros NTFS. La parte principal del modelo de seguridad que ofrece W2000 est basada en NTFS. Aunque los recursos compartidos se pueden configurar en W2000 sin tener en cuenta el sistema de ficheros subyacente, solo con NTFS se pueden asignar permisos a ficheros individuales. Aunque W2000 soporta varios sistemas de ficheros (FAT,FAT16,FAT32,NTFS), NTFS es el sistema preferido ya que permite utilizar todas las caractersticas de seguridad avanzadas.

Aviso
W2000 no utiliza NTFS para formatear un floppy disk, debido a la cantidad de informacin necesaria para crear el sistema de ficheros y que excedera la capacidad de un disquete 25

Copias de Seguridad

Un volmen NTFS almacena la informacin sobre descriptores de ficheros en una tabla de ficheros maestra (MFT), la cual es asu vez un fichero. A parte de varios registros que contienen informacin sobre la propia MFT, esta contiene un registro por cada fichero y directorio del sistema La MFT tambin contiene un fichero de log. Se mantiene en el propio sistema de ficheros una copia de la MFT. Enlaces a la MFT y su copia estn almacenados en el sector de inicio del disco. Una copia del sector de inicio se almacena en el centro del disco. Al mantener tanta informacin replicada, la recuperacin de los datos de un sistema de ficheros NTFS es mucho ms fcil. La estructura de un sistema NTFS se puede apreciar en la siguiente imagen:

3.5. Copias de Seguridad

La herramienta de copia de seguridad que viene instalada en la familia de servidores Windows 2000 proporciona al administrador las utilidades necesarias para copiar todos los datos importantes del sistema o el sistema entero. Con esta nueva versin, el administrador puede respaldar su sistema en un fichero en otro disco, en un recurso de red y por supuesto en cinta. La herramienta es fcil de usar y configurable, proporcionando wizards que guiarn al administrador en la complicada tarea de respaldar el sistema. Algunas de las caractersticas de ntbackup son ms tiles bajo windows 2000 Server, ya que permite copiar partes del Directorio Activo, por ejemplo. O tambin es posible habilitar el Servicio de almacenamiento remoto que permite planficar las copias de seguridad de una pequea red de area local. Entre las funciones bsicas de ntbackup estn: Creacin del disco de reparacin de emergencia Hacer copias del estado del sistema: registro, ficheros de arranque y bases de datos del Servicio de Certificados.

Como pasa con la mayora de herramientas de Windows 2000, el usuario debe de tener los privilegios necesarios para usarla. Para poder copiar y restaurar cualquier fichero o carpeta del sistema local el usuario debe pertenecer al grupo Administradores o al grupo Operadores de Copia de Seguridad. Si no eres miembro de uno de estos grupos, debers tener al menos los privilegios de Back up files and directories o Restore files and directories

3.5.1. Carpetas y ficheros

Para arrancar la aplicacin, desde una consola MS-DOS, ejecuta ntbackup y sigue las siguientes instrucciones: Para hacer una copia de seguridad del sistema, elige Backup Wizard y sigue las instrucciones de la pantalla. Para restaurar el sistema tenemos otro wizard

El administrador a la hora de hacer backups, tendra que tener en cuenta que: Como miembro del grupo Administradores u Operadores de Copia, puedes copiar todos los ficheros y carpetas aunque solo tengas permiso de lectura sobre ellas. Cuando los restauras en el mismo sistema o en otro, ntbackup mantiene los permisos originales y por tanto solo sers capaz de leer aquellos ficheros sobre los que tengas permiso. Ntbackup copia tambin los ficheros encriptados. El programa los almacena encriptados en cinta oen el medio apropiado. Por tanto no se puede utilizar ntbackup para desencriptar los ficheros por perdida de la clave.

Ntbackup no copia todos los ficheros de cada carpeta; la utilidad mantiene en el registro una lista de ficheros y 26

Estado del Sistema

carpetas a excluir. Las siguientes claves del registro FilesNotToBackup y FilesNotToRestore localizadas en HKLM\SYSTEM\CurrentControlSet\Control\BackupRestore es donde ntbackup almacena dicha informacin. Cada una contiene valores del tipo REG_MULTISZ cuyos contenidos indican un fichero o una carpeta a excluir. De forma similar ntbackup tiene definiciones similares de que claves del registro que no tiene que hacer respaldo. (KeysNotToRestore)

3.5.2. Estado del Sistema

Windows Backup coloca el registro y otros datos del sistema juntos, denominndo al conjunto Datos del Estado del Sistema. Estos datos incluyen el registro, la base de datos de clases COM+ y ficheros de arranque. El proceso de copia y restauracin del Estado del sistema es tratado como una nica operacin. Sin embargo, se puede restaurar el estado del sistema en un sitio alternativo y luego copiar partes de el manualmente. Here are the different ways to back up System State data: A continuacin se presenta una lista de los diferentes procedimientos para copiar el estado del sistema: Para copiar el estado del sistema como parte de un backup normal, hay que seleccionar Estado del Sistema en la lengeta de Copia de Seguridad. Para copiar una serie de ficheros, incluyendo el Estado del Sistema, hay que hacer click en Hacer copia de seguridad de archivos, unidades o datos de red seleccionados en el Wizard y despus seleccionar Estado del Sistema en la lengeta Copia de Seguridad. Para copiar todos los ficheros, incluyendo el Estado del Sistema, hacer click en Hacer Copiar de Seguridad de todo el contenido de mi equipo Para copiar solo el Estado del Sistema, haga click sobre Hacer copia de seguridad slo de los datos del sistema

A continuacin se muestra una imagen de la utilidad ntbackup:

27

28

Captulo 4. Servicios del Sistema

Tabla de contenidos
4.1. Introduccin ..................................................................................................................29 4.2. Servicios ......................................................................................................................29 4.2.1. Tipo de Inicio de un Servicio .........................................................................30 4.2.2. Dependencias entre Servicios .........................................................................31 4.2.3. Recuperacin de un servicio ..........................................................................32 4.3. Solucionando Problemas ..................................................................................................33

4.1. Introduccin
Un servicio es un programa que est ejecutndose indefinidamente para atender a peticiones de otros programas o del usuario. Como ocurra con Windows NT, Windows 2000 tambin utiliza los servicios. Por defecto W2000, ejecuta automticamente muchos servicios (necesarios o no) que consumen ms memoria que la necesaria para las funciones que est desempeando el sistema. Si nunca vas a utilizar el Servicio de Fax o el Programador de Tareas, por qu tienen que estar ejecutndose y consumiendo memoria.

4.2. Servicios
Para poder acceder a todos los servicios disponibles en un sistema Windows 2000, se debe de iniciar sesin como administrador. Para ejecutar la utilidad Servicios, hay que seleccionar Inicio->Programas->Herramientas Administrativas->Servicios.

Figura 4.1. Utilidad Servicios de Windows 2000

29

Tipo de Inicio de un Servicio

Esta utilidad muestra todos los serevicios disponibles en el sistema. Sobre todo hay que fiharse en la columna Tipo de Inicio, ya que este atributo define cuando se arrancar el servicio. Existen tres opciones a la hora de arrancar un servicio, que sern vistas ms adelante en este captulo.

4.2.1. Tipo de Inicio de un Servicio

Existen tres opciones a la hora de elegir el tipo de inicio de un servicio que est disponible en el sistema:

1.

Automtico: el servicio se inicia automticamente mientras se carga el sistema operativo (Windows 2000). Esta opcin puede incrementar el tiempo de inicio del sistema, as como el consumo de recursos, mientras que el servicio igual no es necesario. Manual: el servicio no se inicia de forma predeterminada trs la carga del sistema operativo, en cambio pude ser iniciado - manulamente - en cualquier instante. Deshabilitado: esta opcin en el tipo de inicio de un servicio, obliga al administrador a tener que habilitarlo antes de poder ejecutarlo.

2. 3.

Para poder cambiar el tipo de inicio de un servicio hay que editar las Propiedades de servicio respectivo. Para hacer esto, basta con apretar el botn derecho de nuestro ratn sobre el servicio en cuestin y seleccionar Propiedades. Una vista de la ficha propiedades se muestra a continuacin:

30

Dependencias entre Servicios

Figura 4.2. Ficha Propiedades de un Servicio

En el men desplegable Tipo de Inicio, se elige como se ha de iniciar el servicio en el arranque: Automtico, Manual o Deshabilitado. Una vez elegido el tipo de inicio, seleccionamos Aplicar para que los cambios surtan efecto. A veces es preferible dejar un servicio con un tipo de inicio Manual que deshabilitarlo.

4.2.2. Dependencias entre Servicios

Las relaciones de dependencia entre los servicios implican que a la hora de parar servicios, todos aquellos que dependan de el se vern afectados tambin y as sucesivamente, corriendo el peligro de dejar el sistema en un estado no utilizable. Para saber que servicios dependen de que otros, en la ficha de Propiedades del servicio, elige la lengeta Dependencias.

31

Recuperacin de un servicio

Figura 4.3. Interdepencias de Servicios

Esta vista muestra en el panel superior los servicios de los que depende el servicio seleccionado, y en el panel inferior se muestran los servicios dependientes de l.

4.2.3. Recuperacin de un servicio

Tambin se pueden personalizar las opciones de Recuperacin de un servicio ante un fallo o parada del servicio. En otras palabras, que hacer cuando falla un servicio. De nuevo en la ficha Propiedades eligiendo la lengeta Recuperacin podemos definir dicho comportamiento.

Figura 4.4. Acciones de Recuperacin de un Servicio

32

Solucionando Problemas

Las acciones posibles a tomar son: No realizar ninguna accin Reiniciar el servicio: el sistema intentar reinicar el servicio si este fall. Se puede definir el periodo de tiempo en minutos en que lo volver a intentar Ejecutar un archivo: tenemos la posibilidad de ejecutar un archivo de comandos para tomar de una forma ms granular las acciones adecuadas. Reinicar el equipo: si es un servicio importante y no hay forma de levantarlo, ya se sabe, botonazo ;-)

4.3. Solucionando Problemas

Puede suceder que al haber deshabilitado un servicio que era necesario para la carga del sistema operativo Windows 2000 o para el buen funcionamiento del sistema, nos encontremos con la desagradable situacin de que la utilidad de Servicios no nos permite devolver el estado a un servicio concreto. Una opcin para arreglar esto es editar la subclave del registro HKLM\SYSTEM\CurrentControlSet\Services 33

Solucionando Problemas

Es aqu donde se almacena el valor de tipo de inicio para cada servicio. Lo que hay que hacere es seleccionar el servicio apropiado y en el panel de la derecha cambiar el valor de la clave Start de tipo. Un valor DWORD hexadecimal o decimal determina el tipo de inicio del servicio. Los valores posibles de esta clave son:

1. 2. 3.

Un valor 2 significa un tipo de inicio Automtico Un valor 3 significa un tipo de inicio Manual. Un valor 4 significa que el servicio est deshabilitado.

Figura 4.5. HKLM\SYSTEM\CurrentControlSet\Services

34

Captulo 5. Proteccin Local

Tabla de contenidos
5.1. Introduccin ..................................................................................................................35 5.2. Concepto de usuario .......................................................................................................35 5.3. Grupos de Usuarios ........................................................................................................36 5.4. El modelo de proteccin ..................................................................................................37 5.5. Atributos de proteccin de los procesos ..............................................................................37 5.6. Derechos de usuario ........................................................................................................38 5.6.1. Otras directivas de seguridad ..................................................................................39 5.7. Atributos de proteccin de los recursos ...............................................................................39 5.7.1. Asociacin de permisos a recursos ..........................................................................40 5.7.2. Permisos estndar e individuales .............................................................................40 5.8. Reglas de proteccin .......................................................................................................43

5.1. Introduccin
Como ya sabemos, el Directorio Activo (o Active Directory) es una estructura jerrquica que almacena informacin sobre objetos (o recursos) en dominios Windows 2000. El Directorio Activo permite organizar lgicamente estos recursos en sus respectivos dominios, de forma que resulte fcil tanto localizar como administrar esos recursos desde cualquier ordenador en cualquier dominio de la organizacin. Sin embargo, antes de estar en condiciones de administrar eficazmente el Directorio Activo, es necesario adquirir una base en la administracin local de recursos de Windows 2000. Esta base incluye el modelo de proteccin que incorpora este sistema, que incluye los conceptos de usuario, grupo (local), derecho y permiso. En los siguientes captulos se ampla esta "administracin local" a la administracin de un dominio (o mltiples dominios) mediante el Directorio Activo.

5.2. Concepto de usuario

Como muchos otros sistemas operativos, Windows 2000 permite tener un riguroso control de las personas que pueden entrar en el sistema y de las acciones que dichas personas estn autorizadas a ejecutar. Windows 2000 denomina usuario a cada persona que puede entrar en el sistema. Para poder controlar la entrada y las acciones de cada usuario utiliza bsicamente el concepto de cuenta de usuario (user account). Una cuenta de usuario almacena toda la informacin que el sistema guarda acerca de cada usuario. De entre los numerosos datos que Windows 2000 almacena en cada cuenta de usuario, los ms importantes son los siguientes: Nombre de usuario. Es el nombre mediante el cual el usuario se identifica en el sistema. Cada usuario ha de tener un nombre de usuario distinto para que la identificacin sea unvoca. Nombre completo. Es el nombre completo del usuario. Contrasea. Palabra cifrada que permite autenticar el nombre de usuario. En Windows 2000 la contrasea distingue entre maysculas y minsculas. Slo los usuarios que se identifican y autentican positivamente pueden ser autorizados a conectarse al sistema. Directorio de conexin. Es el lugar donde (en principio) residirn los archivos personales del usuario. El directorio de conexin de cada usuario es privado: ningn otro usuario puede entrar en l, a menos que su propietario conceda los permisos adecuados. Horas de conexin. Se puede controlar a qu horas un usuario puede conectarse para trabajar en el sistema. Inclusive se puede especificar un horario distinto para cada da de la semana. 35

Grupos de Usuarios

Activada. Esta caracterstica permite inhabilitar temporalmente una cuenta. Una cuenta desactivada sigue existiendo, pero no puede ser utilizada para acceder al sistema, ni siquiera conociendo su contrasea.

Existe un dato especial que se asocia a cada cuenta, pero que a diferencia de todos los expuestos arriba, no puede ser especificado manualmente cuando se da de alta la cuenta. Se trata del identificador seguro (Secure Identifier, o SID). Este identificador es interno y el sistema lo genera automticamente cuando se crea una nueva cuenta. Adems, los SIDs se generan de tal forma que se asegura que no pueden existir dos iguales en todas las instalaciones de Windows 2000 del mundo (son identificadores nicos). Windows 2000 utiliza siempre el SID (y no el nombre de usuario) para controlar si un usuario tiene o no permisos suficientes para llevar a cabo cualquiera de sus acciones. La ventaja de este modelo es que el SID es un dato completamente interno del sistema operativo, es decir, ningn usuario puede establecerlo en ningn sitio (ni siquiera el administrador del sistema). Por tanto, nadie puede obtener un mayor grado de privilegio intentando suplantar la identidad de otro usuario. Cuando en un equipo se instala Windows 2000, existen de entrada las cuentas de dos usuarios preinstalados (built-in users): el Administrador y el Invitado. El primero es un usuario especial, el nico que en principio posee lo que se denominan derechos administrativos en el sistema. Es decir, tiene la potestad de administrar el sistema en todos aquellos aspectos en que ste es configurable: usuarios, grupos de usuarios, contraseas, recursos, derechos, etc. La cuenta de Administrador no puede ser borrada ni desactivada. Por su parte, la cuenta de Invitado es la que utilizan normalmente aquellas personas que no tienen un usuario propio para acceder al sistema. Habitualmente esta cuenta no tiene contrasea asignada, puesto que se supone que el nivel de privilegios asociado a ella es mnimo. En cualquier caso, el Administrador puede desactivarla si lo considera oportuno.

5.3. Grupos de Usuarios

La informacin de seguridad almacenada en una cuenta de usuario es suficiente para establecer el grado libertad (o de otro modo, las restricciones) que cada usuario debe poseer en el sistema. Sin embargo, resultara muchas veces tedioso para el administrador determinar dichas restricciones usuario por usuario, especialmente en sistemas con un elevado nmero de ellos. El concepto de grupo de usuarios permite agrupar de forma lgica a los usuarios de un sistema, y establecer permisos y restricciones a todo el grupo de una vez. Un usuario puede pertenecer a tantos grupos como sea necesario, poseyendo implcitamente la suma de los permisos de todos ellos. Esta forma de administrar la proteccin del sistema es mucho ms flexible y potente que el establecimiento de permisos en base a usuarios individuales. Considrese, por ejemplo, que en una empresa un sistema es utilizado por empleados de distinto rango, y que cada rango posee un distinto nivel de privilegios. Supongamos que se desea cambiar de rango a un empleado, debido a un ascenso, por ejemplo. Si la seguridad estuviera basada en usuarios individuales, cambiar los privilegios de este usuario adecuadamente supondra modificar sus privilegios en cada lugar del sistema en que estos debieran cambiar (con el consiguiente trabajo, y el riesgo de olvidar alguno). Por el contrario, con la administracin de seguridad basada en grupos, esta operacin sera tan sencilla como cambiar al usuario de un grupo a otro. Por ello, en Windows 2000 se recomienda que los permisos se asignen en base a grupos, y no en base a usuarios individuales. Al igual que existen cuentas preinstaladas, en todo sistema 2000 existen una serie de grupos preinstalados (builtin groups): Administradores, Operadores de Copia, Usuarios Avanzados, Usuarios, e Invitados. El grupo Administradores recoge a todos aquellos usuarios que deban poseer derechos administrativos completos. Inicialmente posee un solo usuario, el Administrador. De igual forma, el grupo Invitados posee al Invitado como nico miembro. Los otros tres grupos estn vacos inicialmente. Su uso es el siguiente: Usuarios. Son los usuarios normales del sistema. Tienen permisos para conectarse al sistema interactivamente y a travs de la red. Operadores de copia. Estos usuarios pueden hacer (y restaurar) una copia de todo el sistema. Usuarios avanzados. Son usuarios con una cierta capacidad administrativa. Se les permite cambiar la hora del sistema, crear cuentas de usuario y grupos, compartir ficheros e impresoras, etc.

El Administrador, al ir creando las cuentas de los usuarios, puede hacer que cada una pertenezca al grupo (o grupos) que estime conveniente. Asimismo, puede crear nuevos grupos que refinen esta estructura inicial, conforme a las necesidades particulares de la organizacin donde se ubique el sistema. 36

El modelo de proteccin

Finalmente, Windows 2000 define una serie de grupos especiales, cuyos (usuarios) miembros no se establecen de forma manual, sino que son determinados de forma dinmica y automtica por el sistema. Estos grupos se utilizan normalmente para facilitar la labor de establecer la proteccin del sistema. De entre estos grupos, destacan: Usuarios Interactivos (Interactive). Este grupo representa a todos aquellos usuarios que tienen el derecho de iniciar una sesin local en la mquina. Usuarios de Red (Network). Bajo este nombre se agrupa a todos aquellos usuarios que tienen el derecho de acceder al equipo desde la red. Todos (Everyone). Agrupa a todos los usuarios que el sistema conoce. Puede agrupar a usuarios existentes localmente y de otros sistemas (conectados a travs de la red). Usuarios autentificados (Authenticated Users). Agrupa a todos los usuarios que poseen una cuenta propia para conectarse al sistema. Por tanto, aquellos usuarios que se hayan conectado al sistema utilizando la cuenta de "invitado" pertenecen a "Todos" pero no a "Usuarios autentificados".

5.4. El modelo de proteccin

El modelo de proteccin de Windows 2000 establece la forma en que el sistema lleva a cabo el control de acceso de cada usuario y grupo de usuarios. En otras palabras, es el modelo que sigue el sistema para establecer las acciones que un usuario (o grupo) est autorizado a llevar a cabo. Este modelo est basado en la definicin y contrastacin de ciertos atributos de proteccin que se asignan a los procesos de usuario por un lado, y al sistema y sus recursos por otro. En el caso del sistema y sus recursos, Windows 2000 define dos conceptos distintos y complementarios: el concepto de derecho y el concepto de permiso, respectivamente. Un derecho o privilegio de usuario (user right) es un atributo de un usuario (o grupo) que le permite realizar una accion que afecta al sistema en su conjunto (y no a un objeto o recurso en concreto). Existe un conjunto fijo y predefinido de derechos en Windows 2000. Para determinar qu usuarios poseen qu derechos, cada derecho posee una lista donde se especifican los grupos/usuarios que tienen concedido este derecho. Un permiso (permission) es una caracterstica de cada recurso (carpeta, archivo, impresora, etc.) del sistema, que concede o deniega el acceso al mismo a un usuario/grupo concreto. Cada recurso del sistema posee una lista en la que se establece qu usuarios/grupos pueden acceder a dicho recurso, y tambin qu tipo de acceso puede hacer cada uno (lectura, modificacin, ejecucin, borrado, etc.). En los apartados siguientes se detallan los atributos de proteccin de los procesos de usuario (Apartado Seccin 5.5), los derechos que pueden establecerse en el sistema (Apartado Seccin 5.6) y los atributos de proteccin que poseen los recursos (Apartado Seccin 5.7). El Apartado Seccin 5.8 establece las reglas concretas que definen el control de acceso de los procesos a los recursos.

5.5. Atributos de proteccin de los procesos

Cuando un usuario es autorizado a conectarse interactivamente a un sistema Windows 2000, el sistema construye para l una acreditacin denominada Security Access Token o SAT. Esta acreditacin contiene la informacin de proteccin del usuario, y Windows 2000 la incluye en los procesos que crea para dicho usuario. De esta forma, los atributos de proteccin del usuario estn presentes en cada proceso del usuario, y se utilizan para controlar los accesos que el proceso realiza a los recursos del sistema en nombre de dicho usuario. En concreto, el SAT contiene los siguientes atributos de proteccin: SID SID de sus grupos Derechos El identificador nico del usuario. Lista de los SIDs de los grupos a los que pertenece el usuario. Lista de derechos del usuario. Esta lista se construye mediante la inclusin de todos los derechos que el usuario tiene otorgados por s 37

Derechos de usuario

mismo o por los grupos a los que pertenece (ver Apartado Seccin 5.6). Esta forma de construir la acreditacin introduce ya una de las mximas de la proteccin de Windows 2000: el nivel de acceso de un usuario incluye implcitamente los niveles de los grupos a los que pertenece.

5.6. Derechos de usuario

Un derecho es un atributo de un usuario o grupo de usuarios que le confiere la posibilidad de realizar una accin concreta sobre el sistema en conjunto (no sobre un recurso concreto). Como hemos visto, la lista de derechos de cada usuario se aade explcitamente a la acreditacin (SAT) que el sistema construye cuando el usuario se conecta al sistema. Esta lista incluye los derechos que el usuario tiene concedidos a ttulo individual ms los que tienen concedidos todos los grupos a los que el usuario pertenece. Windows 2000 distingue entre dos tipos de derechos: los derechos de conexin (logon rights) y los privilegios (privileges). Los primeros establecen las diferentes formas en que un usuario puede conectarse al sistema (de forma interactiva, a travs de la red, etc.), mientras que los segundos hacen referencia a ciertas acciones predefinidas que el usuario puede realizar una vez conectado al sistema. La Tabla~\ref{tab:derechos-2000} presenta los derechos ms destacados de cada tipo, junto con su descripcin.

Tabla 5.1. Derechos ms importantes en Windows 2000

DERECHOS DE CONEXIN Nombre Acceder a este equipo desde la red Inicio de sesin local Significado Permite/impide al usuario conectar con el ordenador desde otro ordenador a travs de la red. Permite/impide al usuario iniciar una sesin local en el ordenador, desde el teclado del mismo. PRIVILEGIOS Nombre Aadir estaciones al dominio Hacer copias de seguridad Restaurar copias de seguridad Atravesar carpetas Significado Permite al usuario aadir ordenadores al dominio actual. Permite al usuario hacer copias de seguridad de archivos y carpetas. Permite al usuario restaurar copias de seguridad de archivos y carpetas. Permite al usuario acceder a archivos a los que tiene permisos a travs de una ruta de directorios en los que puede no tener ningn permiso. Permite al usuario modificar la hora interna del ordenador.

Cambiar la hora del sistema

Instalar manejadores de dispositi- Permite al usuario instalar y desinstalar manejadores de vo dispositivos Plug and Play. Apagar el sistema Tomar posesin de archivos y otros objetos Permite al usuario apagar el ordenador local. Permite al usuario tomar posesin (hacerse propietario) de cualquier objeto con atributos de seguridad del sistema (archivos, carpetas, objetos del Directorio Activo, etc.).

Es importante hacer notar lo siguiente: cuando existe un conflicto entre lo que concede o deniega un permiso y lo que concede o deniega un derecho, este ltimo tiene prioridad. Por ejemplo: los miembros del grupo Operadores de Copia poseen el derecho de realizar una copia de seguridad de todos los archivos del sistema. Es posible (y muy probable) que existan archivos sobre los que no tengan ningn tipo de permiso. Sin embargo, al ser 38

Otras directivas de seguridad

el derecho ms prioritario, podrn realizar la copia sin problemas. De igual forma, el administrador tiene el derecho de tomar posesin de cualquier archivo, inclusive de aquellos archivos sobre los que no tenga ningn permiso. Es decir, como regla general, los derechos y privilegios siempre prevalecen ante los permisos particulares de un objeto, en caso de que haya conflicto.

5.6.1. Otras directivas de seguridad

En Windows 2000, los derechos son un tipo de directivas de seguridad. En este sentido, Windows 2000 ha agrupado un conjunto de reglas de seguridad que en versiones anteriores de NT estaban dispersas en distintas herramientas administrativas, y las ha incorporado a una consola de administracin nica denominada directivas de seguridad local). Dentro de esta herramienta de administracin podemos establecer, entre otras, los siguientes tipos de reglas de seguridad para el equipo local: Cuentas En este apartado podemos establecer cul es la poltica de cuentas o de contraseas que sigue el equipo para sus usuarios locales. Dentro de este apartado se pueden distinguir reglas en tres epgrafes: Contraseas, Bloqueo y Kerberos. Entre ellas, las dos primeras hacen referencia a cmo deben ser las contraseas en el equipo (longitud mnima, vigencia mxima, historial, etc.) y cmo se debe bloquear una cuenta que haya alcanzado un cierto mximo de intentos fallidos de conexin local. Dentro de este apartado se encuentra, por una parte, la Auditora del equipo, que permite registrar en el visor de sucesos ciertos eventos que sean interesantes, a criterio del administrador (por ejemplo, inicios de sesin local). Por otra parte, este apartado incluye los derechos y privilegios que acabamos de explicar. Este apartado permite administrar las opciones de seguridad de las claves pblicas emitidas por el equipo.

Directiva local

Claves pblicas

5.7. Atributos de proteccin de los recursos

En un sistema de archivos NTFS de Windows 2000, cada carpeta o archivo posee los siguientes atributos de proteccin: SID del propietario Inicialmente, el propietario es siempre el usuario que ha creado el archivo o carpeta, aunque este atributo puede ser luego modificado (esto se explica ms adelante). Esta lista incluye los permisos que los usuarios tienen sobre el archivo o carpeta. La lista puede contener un nmero indefinido de entradas, de forma que cada una de ellas concede o deniega un conjunto concreto de permisos a un usuario o grupo conocido por el sistema. Por tanto, Windows 2000 permite definir multitud de niveles de acceso a cada objeto del sistema de archivos, cada uno de los cuales puede ser positivo (se otorga un permiso) o negativo (se deniega un permiso). Esta segunda lista se utiliza para definir qu acciones sobre un archivo o carpeta tiene que auditar el sistema. El proceso de auditora supone la anotacin en el registro del sistema de las acciones que los usuarios realizan sobre archivos o carpetas1. El sistema slo audita las acciones especificadas (de los usuarios o grupos especificados) en la lista de seguridad de cada archivo o carpeta. Esta lista est inicialmente vaca en todos
1Las entradas de este registro (registro de seguridad) pueden consultarse ms

Lista de control de acceso de proteccin

Lista de control de acceso de seguridad

tarde mediante la herramienta administrativa Visor de Sucesos.

39

Asociacin de permisos a recursos

los objetos del sistema de archivos. La lista de control de acceso de proteccin se divide realmente en dos listas, cada una de ellas denominada Discretionary Access Control List (lista de control de acceso discrecional) o DACL. Cada elemento de una DACL se denomina Access Control Entry (entrada de control de acceso) o ACE. Cada entrada liga a un SID de usuario o grupo con la concesin o denegacin de un permiso concreto (o conjunto de permisos), tal como se ha descrito arriba. Los diferentes permisos que se pueden asignar a usuarios o grupos en Windows 2000 se explican en el Apartado Seccin 5.7.2. El hecho de que cada archivo o carpeta tenga dos DACL en vez de una tiene que ver con el mecanismo de la herencia de permisos que ha incorporado Windows 2000: cada archivo o carpeta puede heredar implcitamente los permisos establecidos para la carpeta que lo contiene y puede adems definir permisos propios (denominados explcitos en la jerga de Windows 2000). Es decir, que cada archivo o carpeta puede poseer potencialmente una DACL heredada y una DACL explcita (aunque no est obligado a ello, como veremos). De esta forma, si una cierta carpeta define permisos explcitos, stos (junto con sus permisos heredados) sern a su vez los permisos heredados de sus subcarpetas y archivos (y as sucesivamente). El mecanismo de herencia de permisos es dinmico, queriendo decir que la modificacin un permiso explcito de una carpeta se refleja en el correspondiente permiso heredado de sus subcarpetas y archivos.

5.7.1. Asociacin de permisos a recursos

La asociacin de permisos a archivos y carpetas sigue una serie de reglas: Cuando se crea un nuevo archivo o carpeta, este posee por defecto permisos heredados (de la carpeta o unidad donde se ubica) y ningn permiso explcito. Cualquier usuario que posea control total sobre el archivo o carpeta (por defecto, su propietario) puede incluir nuevos permisos (positivos o negativos) en la lista de permisos explcita. El control sobre la herencia de permisos (i.e., qu objetos heredan y qu permisos se heredan) se realiza a dos niveles: a. b. Cada objeto (archivo o carpeta) tiene la potestad de decidir si desea o no heredar los permisos de su carpeta padre. Es decir, cada carpeta/archivo puede desactivar la herencia de su carpeta padre. Cuando se define un permiso expltito en una carpeta, se puede tambin decidir qu objetos por debajo van a heredarlo. En este caso, se puede decidir entre cualquier combinacin de la propia carpeta, las subcarpetas y los archivos. La opcin por defecto es todos, es decir, la carpeta y todas las subcarpetas y archivos.

Copiar un archivo o carpeta a otra ubicacin se considera una creacin, y por tanto el archivo copiado recibe una lista de permisos explcitos vaca y se activa la herencia de la carpeta (o unidad) padre correspondiente a la nueva ubicacin. Mover un archivo distingue dos casos: si movemos una carpeta o archivo a otra ubicacin dentro del mismo volmen (particin) NTFS, se desactiva la herencia y se mantienen los permisos que tuviera como explticos en la nueva ubicacin. Si el volmen destino es distinto, entonces se acta como en una copia (slo se tienen los permisos heredados de la carpeta padre correspondiente a la nueva ubicacin).

5.7.2. Permisos estndar e individuales

Windows 2000 distingue entre los permisos estndar de carpetas (directorios) y los de archivos. Como ocurra en versiones previas de Windows NT, los permisos estndar son combinaciones predefinidas de permisos individuales, que son aquellos que controlan cada una de las acciones individuales que se pueden realizar sobre carpetas y archivos. La existencia de estas combinaciones predefinidas es el resultado de una agrupacin ``lgica'' de los permisos individuales para facilitar la labor del administrador (y de cada usuario cuando administra los permisos de sus archivos). 40

Permisos estndar e individuales

En la Tabla 5.2. Permisos estndar sobre carpetas y archivos en Windows 2000 se muestran los permisos estndar de carpetas y archivos junto con su significado cualitativo. La descripcin de las tablas hacen referencia a las acciones que cada permiso concede, pero no olvidemos que en Windows 2000 cada permiso puede ser positivo o negativo, es decir, que realmente cada permiso permite o deniega la accin correspondiente. Como puede verse en ambas tablas, muchos de los permisos estndar se definen de forma incremental, de forma que unos incluyen y ofrece un nivel de acceso superior que los anteriores. La herencia de permisos se establece de forma natural: las carpetas heredan directamente los permisos estndar establecidos en la carpeta padre, mientras que los archivos heredan cualquier permiso excepto el de Listar (slo definido para carpetas).

Tabla 5.2. Permisos estndar sobre carpetas y archivos en Windows 2000

CARPETAS Nombre
Listar Leer

Significado Permite listar la carpeta: ver los archivos y subcarpetas que contiene. Permite ver el contenido de los archivos y subcarpetas, as como su propietario, permisos y atributos (sistema, slo lectura, oculto, etc.). Permite crear nuevos archivos y subcarpetas. Permite modificar los atributos de la propia carpeta, as como ver su propietario, permisos y atributos. Permite moverse por la jerarqua de subcarpetas a partir de la carpeta, incluso si no se tienen permisos sobre ellas. Adems, incluye todos los permisos de Leer y de Listar. Permite eliminar la carpeta ms todos los permisos de Escribir y de Leer y Ejecutar. Permite cambiar permisos, tomar posesin y eliminar subcarpetas y archivos (aun no teniendo permisos sobre ellos), as como todos los permisos anteriores. ARCHIVOS Significado Permite ver el contenido del archivo, as como su propietario, permisos y atributos (sistema, slo lectura, oculto, etc.). Permite sobreescribir el archivo, modificar sus atributos y ver su propietario, permisos y atributos. Permite ejecutar el archivo ms todos los permisos de Leer. Permite modificar y eliminar el archivo ms todos los permisos de Escribir y de Leer y Ejecutar. Permite cambiar permisos y tomar posesin del archivo, ms todos los permisos anteriores.

Escribir

Leer y Ejecutar

Modificar Control Total

Nombre
Leer Escribir Leer y Ejecutar Modificar Control Total

Cuando la asignacin de permisos que queremos realizar no se ajusta al comportamiento de ninguno de los permisos estndar, debemos entonces ir directamente a asignar permisos individuales. La Tabla 5.3. Permisos individuales en Windows 2000 muestra cules son los permisos individuales en Windows 2000, junto con su significado concreto. Tambin en este caso debe entenderse que cada permiso puede ser concedido de forma positiva o negativa.

Tabla 5.3. Permisos individuales en Windows 2000

Nombre
Atravesar carpeta/ejecutar archivo

Significado Aplicado a una carpeta, permite moverse por subcarpetas en las que puede que no se tenga permiso de acceso. Aplicado a un archivo, permite su ejecucin. 41

Permisos estndar e individuales Nombre

Leer carpeta/Leer datos

Significado plicado a una carpeta, permite ver los nombres de sus ficheros y subcarpetas. Aplicado a un archivo, permite leer su contenido. Permite ver los atributos del fichero/carpeta, tales como oculto o slo lectura, definidos en NTFS. peta. (Estos atributos estn definidos por los programas y pueden variar).

Leer atributos

Leer atributos extendidos Permite ver los atributos extendidos del archivo o car-

Crear ficheros/escribir datos

Aplicado a una carpetas, permite crear archivo en ella. Aplicado a un archivo, permite modificar y sobreescribir su contenido.

Crear carpetas/anexar da- Aplicado a una carpeta, permite crear subcarpetas en tos ella. Aplicado a un archivo, permite aadir datos al

mismo.
Escribir atributos

Permite modificar los atributos de un archivo o carpeta.

Escribir atributos exten- Permite modificar los atributos extendidos de un archididos vo o carpeta. Borrar subcarpetas y archivos Borrar Leer permisos Cambiar permisos Tomar posesin

Slo se puede aplicar a una carpeta, y permite borrar archivos o subcarpetas de la misma, aun no teniendo permiso de borrado en dichos objetos. Permite eliminar la carpeta o archivo. Permite leer los permisos de la carpeta o archivo. Permite modificar los permisos de la carpeta o archivo. Permite tomar posesin de la carpeta o archivo.

La Tabla 5.4. Correspondencia de permisos estndar a individuales en Windows 2000 pone de manifiesto el subconjunto de los permisos individuales forman cada uno de los permisos estndar mencionados anteriormente. Como curiosidad, puede verse que los permisos individuales correspondientes a Listar y Leer y Ejecutar son los mismos. En realidad, lo que les distingue es cmo se heredan: el primero slo es heredado por carpetas, mientras que el segundo es heredado por carpetas y archivos.

Tabla 5.4. Correspondencia de permisos estndar a individuales en Windows 2000

Permiso
Atravesar carpeta/ejecutar archivo Leer carpeta/Leer datos Leer atributos Leer atributos extendidos Crear ficheros/escribir datos Crear carpetas/anexar datos Escribir atributos Escribir atributos extendidos Borrar subcarpetas y archivos Borrar Leer permisos C. Total Modificar Leer y Ej. Listar Leer Escribir

# # # # # # # # # # #

# # # # # # # #

# # # #

# # # # # # # # # # #

# # # # # #

42

Reglas de proteccin

Permiso
Cambiar permisos Tomar posesin

C. Total

Modificar

Leer y Ej.

Listar

Leer

Escribir

# #

5.8. Reglas de proteccin

Las principales reglas que controlan la comprobacin de permisos a carpetas y archivos son las siguientes: Una nica accin de un proceso puede involucrar varias acciones individuales sobre varios archivos y/o carpetas. En ese caso, el sistema verifica si el proceso tiene o no permisos para todas ellas. Si le falta algn permiso, la accin se rechaza con un mensaje de error genrico de falta de permisos. Los permisos en Windows 2000 son acumulativos: un proceso de usuario posee implcitamente todos los permisos correspondientes a los SIDs de su acreditacin (ver Apartado Seccin 5.5), es decir, los permisos del usuario y de todos los grupos a los que pertenece. La ausencia un cierto permiso sobre un objeto supone implcitamente la imposibilidad de realizar la accin correspondiente sobre el objeto. Si se produce un conflicto en la comprobacin de los permisos, los permisos negativos tienen prioridad sobre los positivos, y los permisos explcitos tienen prioridad sobre los heredados.

Estas reglas son ms fciles de recordar si se conoce el algoritmo que sigue Windows 2000 para conceder o denegar una accin concreta sobre un archivo o directorio concreto. Para ello, el sistema explora secuencialmente las entradas de las DACLs de proteccin de dicho objeto hasta que se cumple alguna de las condiciones siguientes: a. b. c. Cada permiso involucrado en la accin solicitada est concedido explcitamente al SID del usuario o de algn grupo al que el usuario pertenece. En ese caso, se permite la accin. Alguno de los permisos involucrados est explcitamente denegado para el SID del usuario o para alguno de sus grupos. En este caso, se deniega la accin. La lista (DACL) ha sido explorada completamente y no se ha encontrado una entrada (ni positiva ni negativa) correspondiente a alguno de los permisos involucrados en la accin para el SID del usuario o sus grupos. En este caso, se deniega la accin.

Este algoritmo realmente produce el comportamiento descrito por las reglas anteriores debido al orden en que Windows 2000 establece las entradas de las DACLs de cada objeto. Este orden es siempre el siguiente: permisos negativos explcitos, permisos positivos explcitos, permisos negativos heredados y permisos positivos heredados.

43

44

Captulo 6. Administracin Bsica de Dominios

Tabla de contenidos
6.1. Introduccin ..................................................................................................................45 6.2. Dominios en Windows 2000 .............................................................................................45 6.2.1. Concepto de dominio ............................................................................................45 6.2.2. Clientes y servidores ............................................................................................46 6.2.3. Modos de funcionamiento .....................................................................................46 6.3. Implementacin de dominios: el Directorio Activo ...............................................................47 6.3.1. El Directorio Activo .............................................................................................47 6.3.2. Concepto de dominio segn el Directorio Activo .......................................................48 6.3.3. Mltiples dominios en la misma organizacin ...........................................................48 6.4. Principales objetos administra un dominio ...........................................................................49 6.4.1. Usuarios globales .................................................................................................49 6.4.2. Grupos ...............................................................................................................50 6.4.3. Equipos .............................................................................................................51 6.4.4. Unidades Organizativas ........................................................................................51 6.5. Comparticin de recursos entre sistemas Windws 2000 ..........................................................52 6.5.1. Permisos y derechos .............................................................................................52 6.5.2. Comparticin dentro de un dominio .........................................................................53 6.5.3. Mandatos Windows 2000 para compartir recursos ......................................................53

6.1. Introduccin
Este captulo introduce los conceptos fundamentales sobre dominios Windows 2000, suficientes para poder unificar y centralizar la administracin de conjuntos de sistemas Windows 2000 de pequeo o medio tamao. En concreto, se explicar la administracin bsica del Directorio Activo, incluyendo los principales objetos que pueden definirse en el mismo (usuarios, grupos, equipos y unidades organizativas), as como la comparticin de recursos entre sistemas que forman parte de un dominio.

6.2. Dominios en Windows 2000

6.2.1. Concepto de dominio
Hoy en da, los ordenadores existentes en cualquier organizacin se encuentran muy frecuentemente formando parte de redes de ordenadores. En una red, los ordenadores se encuentran interconectados, de forma que pueden intercambiar informacin. No es necesario que un ordenador con Windows 2000 participe de una red. Sin embargo, si desea hacerlo, tiene que ser de alguna de las dos formas siguientes: a. En un grupo de trabajo (workgroup). Un grupo de trabajo es una agrupacin lgica de mquinas, sin ningn otro fin. Los ordenadores que forman parte del mismo grupo aparecen juntos cuando se explora el ``Entorno de Red'' (o red de ordenadores NetBIOS). En este caso, la administracin de cada ordenador es local e independiente del resto. Para poder acceder a los recursos que exporta un ordenador concreto, el usuario remoto tiene que disponer necesariamente de una cuenta en dicho ordenador, y permisos suficientes sobre el recurso que se comparte. Formando parte de un dominio (domain). Es la forma en que se recomienda que se defina una red de mquinas Windows 2000. En un dominio, la informacin administrativa se encuentra centralizada, y por ello resulta ms fcil y segura de gestionar. Todo este captulo se centra en definir y exponer los conceptos rela45

b.

Clientes y servidores

cionados con los dominios en Windows 2000. Intuitivamente, se puede definir dominio como una agrupacin lgica de servidores de red y otros ordenadores, que comparten informacin comn sobre cuentas (de usuarios, grupos, equipos, etc.) y seguridad. En el apartado siguiente veremos una definicin ms formal y completa de dominio. Es importante matizar que el trmino dominio no incluye ninguna informacin acerca de la ubicacin de los ordenadores. En realidad, no es necesario que los ordenadores que forman un dominio se encuentren fsicamente cercanos, ni que estn interconectadas mediante una red de algn tipo especfico. De hecho, las mquinas que forman un dominio pueden estar conectadas a travs de una red de rea amplia o WAN (Wide Area Network), aunque lo ms normal es que formen una red de rea local o LAN (Local Area Network). En general, Windows 2000 separa la agrupacin lgica de ordenadores, definida mediante el concepto de dominio, de su agrupacin fsica o topolgica, definida mediante los conceptos de subred y sitio. Una subred es un conjunto de ordenadores fsicamente conectados a una red de area local. Un sitio est formado por una o varias subredes que se encuentran ``bien conectadas''. Este trmino hace referencia a que la velocidad de interconexin entre dichas subredes es ``suficiente'' (a criterio del administrador) para dar soporte al trfico de la informacin del dominio concreto ubicado en dichas subredes. Un dominio Windows 2000 puede abarcar uno o varios de estos "sitios".

6.2.2. Clientes y servidores

Como sabemos, el sistema operativo Windows 2000 se distribuye en dos versiones alternativas: Windows 2000 Server (o "servidor Windows 2000") y Windows 2000 Professional (o "estacin Windows 2000"). Esta dualidad de versiones cobra sentido en el mbito de los dominios: por una parte, un servidor Windows 2000 se suele utilizar para proporcionar servicios centralizados de red en el dominio. Por otra parte, una estacin Windows 2000, aunque puede formar parte de un dominio, no proporciona ningn servicio al resto de ordenadores del mismo, siendo una estacin de trabajo de propsito general. Concretamente, en un dominio de Windows 2000: Existe necesariamente un servidor Windows 2000 con funciones de controlador de dominio (Domain Controller, o DC). Entre otros servicios, este servidor posee (y ofrece al resto) informacin centralizada sobre los recursos que posee el dominio y puede administrar al resto de ordenadores que pertenecen al mismo. Pueden existir otros servidores Windows 2000 con funciones de controlador de dominio, de forma que todos ellos replican la informacin de los recursos del dominio (proporcionando tolerancia a fallos) y se reparten la carga de proporcionar informacin y servicios de administracin al resto de ordenadores del dominio. En contraposicin a lo que ocurra en Windows NT 4.0, en Windows 2000 no existen controladores principales ni secundarios de dominio, sino que todos se encuentran en el mismo nivel de jerarqua. Sin embargo, s pueden distribuirse entre ellos los distintos servicios que puede proporcionar un DC. Pueden existir uno o varios servidores Windows 2000 sin funciones especiales de administracin dentro del dominio, es decir, sin ser controladores de dominio. A estos ordenadores se les llama servidores miembro (member servers). Habitualmente estos sistemas se utilizan para proporcionar algn servicio especfico dentro del dominio (servicios de impresin, servicios de acceso a datos, servidores web, servidores de correo electrnico, etc.), pero no guardan ninguna informacin administrativa del dominio. Pueden existir una o varias estaciones Windows 2000, que se utilizarn para trabajo habitual de los usuarios.

Por tanto, para crear un dominio en Windows 2000 necesitamos que al menos uno de los servidores Windows 2000 de la red se convierta en un DC. Para ello, una vez instalado el sistema operativo en el servidor, debemos ejecutar un asistente denominado dcpromo. Si queremos que en el dominio exista ms de un DC, hay que ejecutar el asistente en todos dichos servidores Windows 2000.

6.2.3. Modos de funcionamiento

Un dominio Windows 2000 puede encontrarse configurado en uno de dos modos alternativos:

46

Implementacin de dominios: el Directorio Activo

a.

Modo mixto. Este es el modo en el que los DCs se promocionan por defecto. Este modo ofrece compatibilidad (hacia atrs) a nivel de controlador con sistemas Windows NT anteriores (NT 4.0, normlalmente). En otras palabras, un dominio en modo mixto permite la coexistencia de controladores de dominio Windows 2000 y Windows NT 4.0 (todos comparten la informacin administrativa). Este modo resulta por tanto necesario si en nuestro dominio, alguno de los controladores es uno de estos sistemas. Este modo se ha diseado para permitir una migracin cmoda de dominios NT 4.0 a dominios 2000. En esencia, el mecanismo consiste en introducir progresivamente DCs de Windows 2000 en dominios previos (NT 4.0), de forma que mientras controladores Windows 2000 coexistan con otros NT 4.0, el dominio funcione exactamente igual que antes. En el momento en que todos los controladores son Windows 2000, podemos prescindir de este modo de funcionamiento.

b.

Modo nativo. Como se deduce de lo anterior, en este modo de funcionamiento todos los controladores del dominio deben ser sistemas Windows 2000. Este modo introduce todas las capacidades de administracin diseadas para Windows 2000, algunas de las cuales no estn disponibles en modo mixto. A lo largo del captulo se incidir en dichas capacidades.

Es muy importante tener en cuenta que un dominio en modo mixto puede pasarse a modo nativo mediante una simple accin del administrador, pero que la accin contraria no es posible. Es decir, el paso de un dominio en modo mixto a nativo es irreversible.

6.3. Implementacin de dominios: el Directorio Activo

6.3.1. El Directorio Activo
Tal como hemos visto, el concepto intuitivo de dominio es el de la centralizacin de la informacin (y las labores) de administracin de una red de ordenadores, de forma que la gestin de dichos ordenadores resulte ms cmoda y eficiente. Windows 2000 implementa el concepto de dominio mediante un concepto ms bsico, el de directorio. En el mbito de las redes de ordenadores, un directorio (o almacn de datos) es una estructura jerrquica que almacena informacin sobre recursos (o de forma ms general, objetos) en la red. El directorio se implementa normalmente como una base de datos optimizada para operaciones de lectura (soporta bsquedas de grandes cantidades de informacin) y con capacidades de exploracin. En concreto, el servicio de directorio que incorpora Windows 2000 se denomina Directorio Activo (Active Directory). El Directorio Activo es un servicio de red que almacena informacin acerca de los recursos existentes en la red y controla el acceso de los usuarios y las aplicaciones a dichos recursos. De esta forma, se convierte en un medio de organizar, administrar y controlar centralizadamente el acceso a los recursos de la red. El Directorio Activo se ha implementado siguiendo una serie de estndares y protocolos existentes, ofreciendo interfaces de programacin de aplicaciones que facilitan la comunicacin con otros servicios de directorio. Entre ellos, se pueden encontrar los siguientes: DHCP (Dynamic Host Configuration Protocol). Protocolo de configuracin dinmica de ordenadores, que permite la administracin desatendida de direcciones de red. DNS (Domain Name System). Servicio de nombres de dominio que permite la administracin de los nombres de ordenadores. Este servicio constituye el mecanismo de asignacin y resolucin de nombres (traduccin de nombres simblicos a direcciones IP) en Internet. SNTP (Simple Network Time Protocol). Protocolo simple de tiempo de red, que permite disponer de un servicio de tiempo distribuido. LDAP (Lightweight Directory Access Protocol). Protocolo ligero (o compacto) de acceso a directorio. Este es el protocolo mediante el cual las aplicaciones acceden y modifican la informacin existente en el directorio. 47

Concepto de dominio segn el Directorio Activo

Kerberos V5. Protocolo utilizado para la autenticacin de usuarios y mquinas.. Certificados X.509. Estndar que permite distribuir informacin a travs de la red de una forma segura.

6.3.2. Concepto de dominio segn el Directorio Activo

Desde el punto de vista del Directorio Activo, podemos ahora definir con ms propiedad el concepto de dominio en Windows 2000: un dominio es un conjunto de equipos que comparten una base de datos de directorio comn y que se identifica mediante un nombre de dominio DNS. En una red de sistemas Windows 2000, un dominio define: a. Lmite de seguridad. El administrador de un dominio posee los permisos y derechos necesarios para administrar los recursos de ese dominio nicamente (a menos que se le hayan concedido de forma explcita en otros dominios). Es decir, el dominio marca los lmites de la administracin (y de la seguridad). Unidad de replicacin. Todos los controladores de dominio (DCs) de un dominio poseen una copia completa de la informacin de directorio de dicho dominio. Para ello, las actualizaciones de dicha informacin en cualquier controlador se replican de forma automtica al resto.

b.

Como se ha comentado arriba, Windows 2000 ha incorporado el esquema de nombrado DNS para nombrar a los dominios y para publicar los servicios que cada ordenador ofrece al resto dentro del dominio. Es ms, existe una relacin biunvoca entre un dominio Windows 2000 y un dominio DNS, independientemente de que el dominio Windows 2000 forme parte o no de Internet. Precisamente es mediante este esquema de nombrado DNS como mejor se entiende la jerarqua en la que el Directorio Activo permite organizar los dominios de una organizacin. Esto se explica a continuacin.

6.3.3. Mltiples dominios en la misma organizacin

Existen muchos casos en los que es interesante disponer de varios dominios de ordenadores Windows 2000 en la misma organizacin (distribucin geogrfica o departamental, distintas empresas, etc.). El Directorio Activo permite almacenar y organizar la informacin de directorio de varios dominios de forma que, aunque la administracin de cada uno sea independiente, dicha informacin est disponible para todos los dominios. En concreto, los dominios de Windows 2000 se pueden organizar en dos unidades jerrquicas: a. Arboles. Un rbol es una jerarqua de dominios que comparten un sufijo DNS. El dominio situado en la raz del rbol se denomina principal y los posibles subdominios que se creen por debajo se denominan secundarios. Normalmente, al menos un controlador de dominio de un dominio principal es un servidor DNS. Por ejemplo, si en la UPV se quisiera tener un dominio Windows 2000 por cada departamento, debera existir un dominio principal denominado upv.es (en este caso, la raz del rbol) y tantos dominios secundarios como departamentos. En este caso, el dominio del departamento DSIC debera denominarse dsic.upv.es, ya que ese es el dominio DNS correspondiente a las mquinas del departamento. Si dentro del dominio del DSIC se quisieran crear subdominios Windows 2000, tendran que crearse necesariamente los subdominios DNS correspondientes en el servidor DNS de la universidad. b. Bosques. Pongmonos ahora en el caso de que no todos los dominios de una organizacin compartan el mismo sufijo DNS. En este caso, cada agrupacin de dominios con el mismo sufijo DNS formaran un rbol. Segn la organizacin del Directorio Activo, el conjunto de dichos rboles puede constituir una unidad jerrquica superior que se denomina (lgicamente) bosque. La informacin del directorio es accesible para todo el bosque de dominios. De hecho, la parte fundamental del directorio (denominada esquema) que define los tipos de objetos y atributos que se pueden crear en el directorio es nica para todo el bosque. Ello asegura que la informacin que se almacena en la parte del directorio de cada dominio del bosque es homognea.

48

Principales objetos administra un dominio

En resumen, cuando promocionamos un servidor Windows 2000 a controlador de dominio (mediante el asistente dcpromo, tenemos que decidir una de las siguientes opciones de instalacin: 1. 2. DC adicional de un dominio existente o de un dominio nuevo (creacin de un dominio). En el segundo caso, el dominio (nuevo) puede ser un dominio secundario de otro dominio existente (es decir, un subdominio de un arbol de dominios ya creado), o bien el dominio principal (raz) de un nuevo arbol de dominios. En este segundo caso, el dominio raz puede ser de un bosque existente o de un nuevo bosque.

3.

Por tanto, en una organizacin en donde an no existen dominios, la creacin del primer dominio ser en realidad la creacin de un nuevo bosque, con un solo rbol, cuya raz es el dominio que queremos crear. A partir de ah podemos aadir nuevos dominios como subdominios de la raz dentro del mismo rbol (y as sucesivamente), o bien anexionar una raz de un rbol de dominios nuevo al bosque.

6.4. Principales objetos administra un dominio

El Directorio Activo, tal como se ha visto en captulos anteriores, es en realidad una base de datos jerrquica de objetos, que representan las entidades que pueden administrarse en una red de ordenadores, o, ms correctamente en nuestro caso, en un dominio de sistemas Windows 2000. Esta base de datos de objetos de administracin es compartida, para consulta, por todos los ordenadores miembros del dominio y, para modificacin, por todos los controladores del dominio (o DC, Domain Controllers). Por tanto, en Windows 2000, la gestin de un dominio puede realizarse de forma centralizada, administrando nicamente el Directorio Activo. En este contexto, "administrar" significa crear y configurar adecuadamente los objetos del directorio que representan a las entidades o recursos que existen en el dominio (recursos como usuarios, grupos, equipos, etc.). Este apartado expone con detalle los principales tipos de objetos que pueden crearse en el Directorio Activo de Windows 2000, planteando en cada caso sus opciones de configuracin y su utilidad dentro de la administracin del dominio.

6.4.1. Usuarios globales

En el Captulo 5. Proteccin Local se ha visto cmo pueden crearse cuentas de usuarios y grupos en Windows 2000, y cmo se utilizan ambas para: a. b. identificar y autentificar a las personas (usuarios) que deben poder acceder al sistema, y administrar los permisos y derechos que permitirn aplicar el control de acceso adecuado a dichos usuarios en el sistema.

Por lo tanto, segn lo que sabemos hasta ahora, si una persona debe trabajar en varios ordenadores, necesita poseer una cuenta de usuario en cada uno de ellos. A continuacin explicaremos una alternativa a esto. En un dominio Windows 2000, cualquier servidor que acta como DC puede crear cuentas de usuario global. En este caso, el trmino "global" debe interpretarse como global al dominio. Los datos de una cuenta de usuario global se almacenan en el Directorio Activo y por tanto son conocidos por todos los ordenadores del dominio (en realidad, por todos los ordenadores de bosque). Em otras palabras, no es que se cree una cuenta para ese usuario en cada ordenador miembro, sino que existe una nica cuenta (con un nico SID) que es visible en todos los ordenadores del dominio. En este caso, cuando una persona se conecta a cualquiera de dichos ordenadores utilizando para ello su cuenta de usuario global, el ordenador en cuestin realiza una consulta al Directorio Activo (i.e., a alguno de los DCs) para que se validen las credenciales del usuario. El resultado de la validacin es enviado al ordenador miembro (y de ste al usuario), concediendo o rechazando la conexin.

49

Grupos

Los ordenadores miembros de un dominio que no sean DCs, adems de conocer a los usuarios globales del dominio, pueden crear tambin sus propios usuarios locales. En este caso, estos usuarios son nicamente visibles en el ordenador en el que han sido creados. Cuando una persona desea entrar en el sistema utilizando una cuenta local, dicha cuenta se valida contra la base de datos local de ese ordenador. Adems, es importante resaltar que a dicho usuario local no se le pueden asignar permisos sobre recursos que residan en otro sistema Windows 2000 (puesto que all no existe). Por el contrario, a un usuario global se le pueden conceder permisos sobre cualquier recurso (archivo, directorio, impresora, etc.) de cualquier ordenador miembro del dominio, puesto que es visible (y posee el mismo SID) en todos ellos.

6.4.2. Grupos
De forma anloga a los usuarios globales, existen grupos que son almacenados en el Directorio Activo y que por tanto son visibles desde todos los ordenadores del dominio (y, en algunos casos, tambin de otros dominios del bosque). En el directorio pueden crearse dos tipos de grupos: grupos de distribucin y grupos de seguridad. Los primeros se utilizan exclusivamente para crear listas de distribucin de correo electrnico, mientras que los segundos son los que se utilizan con fines administrativos. Por este motivo, a partir de ahora nos referiremos exclusivamente a los grupos de seguridad. En concreto, en dominios Windows 2000 se definen tres clases de grupos de seguridad (o, de forma ms precisa, se pueden definir grupos de tres mbitos distintos): Grupos locales del dominio En un dominio en modo mixto, pueden contener cuentas de usuario y grupo globales de cualquier dominio del bosque. En un dominio en modo nativo, pueden contener adems grupos universales y otros grupos locales del dominio. Slo son visibles en el dominio en que se crean, y suelen utilizarse para conceder permisos y derechos en cualquiera de los ordenadores del dominio (en modo mixto, slo son visibles por los DCs del dominio, y por tanto slo se pueden utilizar para administrar permisos y derechos en esos ordenadores). En un dominio en modo mixto, pueden contener cuentas de usuario globales del mismo dominio. En un dominio en modo nativo, pueden contener adems otros grupos globales del mismo dominio. Son visibles en todos los dominios del bosque, y suelen utilizarse para clasificar a los usuarios en funcin de las labores que realizan. Slo estn disponibles en dominios en modo nativo. Pueden contener cuentas de usuario y grupos globales, as como otros grupos universales, de cualquier dominio del bosque. Son visibles en todo el bosque.

Grupos globales

Grupos universales

En un ordenador miembro de un dominio tambin se pueden definir grupos locales. Los grupos locales pueden estar formados por cuentas de usuario locales y usuarios y grupos globales de cualquier dominio del bosque (en modo mixto) y adems por grupos universales (en modo nativo). Un grupo local no puede ser miembro de otro grupo local. Los grupos locales pueden utilizarse para conceder permisos y derechos en el equipo en que son creados. Por tanto, la administracin de la proteccin en cada ordenador del dominio puede realizarse mediante grupos locales del dominio o grupos locales del equipo en que reside el recurso a administrar. Por tanto, la recomendacin que se haca en el Captulo 5. Proteccin Local respecto a la asignacin de permisos en base a grupos locales sigue siendo vlida. En el caso ms general, la regla que recomienda Windows 2000 es la siguiente: 1. 2. Asignar usuarios globales a grupos globales, segn las labores que desempeen en la organizacin. Incluir (usuarios y/o) grupos globales en grupos locales (del equipo o del dominio) segn el nivel de acceso que vayan a tener.

50

Equipos

3.

Asignar permisos y derechos nicamente a estos grupos locales (del equipo o del dominio).

En relacin con esto, es importante saber que cuando un ordenador pasa a ser miembro de un dominio, el grupo global Administradores del dominio se incluye automticamente en el grupo local Administradores de dicho ordenador. De igual forma, el grupo global Usuarios del dominio se incluye dentro del grupo local Usuarios. De esta forma, los administradores y usuarios normales del dominio tienen en cada miembro los mismos derechos y permisos que los que tengan ya definidos los administradores y usuarios locales, respectivamente. El administrador local puede, si lo desea, invalidar esta accin automtica, extrayendo posteriormente los grupos globales de los locales.

6.4.3. Equipos
Como hemos visto, en el Directorio Activo de un dominio se conserva toda la informacin relativa a cuentas de usuarios y grupos globales. Esta misma base de datos de directoio recoge tambin una cuenta de equipo por cada uno de los ordenadores miembro de un dominio. Entre otras informaciones, en cada una de estas cuentas se almacena el nombre del ordenador, as como un identificador nico y privado que lo identifica unvocamente. Este identificador es anlogo al SID de cada cuenta de usuario, y slo lo conocen los DC s y el propio ordenador miembro. Es por tanto, un dato interno del sistema operativo, y ni siquiera el administrador puede cambiarlo. Windows 2000 puede utilizar distintos protocolos de comunicaciones seguros entre los ordenadores miembro de un dominio y los DCs. Entre ellos los ms importantes son NTLM (el protocolo utilizado por versiones anteriores de Windows NT, que se mantiene por compatibilidad hacia atrs) y Kerberos V5. Kerberos presenta numerosas ventajas respecto a NTLM, pero slo es viable en la prctica si todas las mquinas del dominio son Windows 2000. Estos protocolos se utilizan siempre que informacin relativa a aspectos de seguridad se intercambia entre mquinas 2000 pertenecientes a algn dominio y, en concreto, para autenticar usuarios (como se ha explicado arriba).

6.4.4. Unidades Organizativas

Una Unidad Organizativa (Organizational Unit, OU) es un objeto del Directorio Activo que puede contener a otros objetos del directorio. Es decir, es un contenedor de otros objetos, de forma anloga a una carpeta o directorio en un sistema de archivos tradicional. En concreto, dentro de una unidad de este tipo pueden crearse cuentas de usuario, de grupo, de equipo, de recurso compartido, de impresora compartida, etc., adems de otras unidades organizativas. Es decir, mediante unidades organizativas podemos crear una jerarqua de objetos en el directorio (lo cual se asemeja otra vez a un sistema de archivos tpico de Windows). Los objetos ubicados dentro de una unidad organizativa pueden moverse ms tarde a otra, si fuera necesario. Sin embargo, un objeto no puede copiarse: cada objeto es nico en el directorio, y su existencia es independiente de la unidad organizativa a la que pertenece. Por tanto, el objetivo de las unidades organizativas es estructurar u organizar el conjunto de los objetos del directorio, agrupndolos de foma coherente. En el Directorio Activo, las unidades organizativas permiten: a. Conseguir una estructuracin lgica de los objetos del directorio, de acuerdo con la organizacin de la empresa (por departamentos o secciones, sedes, delegaciones geogrficas, etc.). Entre otras ventajas, esta organizacin le permite al administrador del dominio una gestin ms lgica de usuarios, grupos, equipos, etc., pero tambin le permite a cualquier usuario una bsqueda de los objetos ms sencilla cuando explora el directorio buscando recursos (por ejemplo, se podra localizar fcilmente las impresoras compartidas del edificio central de la delegacin de Alicante). Delegar la administracin. Cada unidad organizativa puede administrarse de forma independiente. En concreto, se puede otorgar la administracin total o parcial de una unidad organizativa a un usuario o grupo de usuarios cualquiera. Esto permite delegar la administracin de subconjuntos estancos del dominio a ciertos usuarios que posean el nivel de responsabilidad adecuada. Establecer de forma centralizada comportamientos distintos a usuarios y equipos. A cada unidad organizativa pueden vincularse polticas de grupo, que aplican comportamientos (generalmente en forma de restricciones) a los usuarios y equipos cuyas cuentas se ubican en dicha unidad. De esta forma, podemos aplicar restricciones distintas a subconjuntos de usuarios y equipos del dominio, en funcin exclusivamente de la 51

b.

c.

Comparticin de recursos entre sistemas Windws 2000

unidad organizativa donde se ubican. Por ejemplo, podemos limitar a los usuarios del departamento de contabilidad para que slo puedan utilizar ciertas aplicaciones, pero que esto no se aplique a los usuarios del departamento de informtica. En muchos sentidos, el concepto de unidad organizativa se puede utilizar en Windows 2000 de la misma forma que se entenda el concepto de dominio en versiones anteriores de Windows NT, es decir, conjunto de usuarios, equipos y recursos administrados independientemente. En realidad, en Windows 2000 el concepto de dominio viene ms bien asociado a la distribucin de los sitios (topologa de red) y a la implementacin de DNS que exista (o quiera crearse) en la empresa. De este modo, en muchas organizaciones de pequeo o medio tamao resulta ms adecuado implementar un modelo de dominio nico con mltiples unidades organizativas que un modelo de mltiples dominios. Si es necesario, cada unidad puede administrarse independientemente, con uno o varios administradores delegados y comportamientos (polticas) diferentes.

6.5. Comparticin de recursos entre sistemas Windws 2000

Cuando un sistema Windows 2000 participa en una red (grupo de trabajo o dominio), puede compartir sus recursos con el resto de ordenadores. En este contexto, slo vamos a considerar como recursos a compartir las carpetas o directorios que existen en un sistema 2000. La comparticin de otros recursos (tales como impresoras, por ejemplo) queda fuera del mbito de este texto.

6.5.1. Permisos y derechos

Cualquier sistema Windows 2000 puede compartir carpetas, tanto si es un servidor como si es una estacin de trabajo. Para poder compartir una carpeta basta con desplegar su men contextual desde una ventana o desde el explorador de archivos, y seleccionar Compartir.... En la ventana asociada a esta opcin se determina el nombre que tendr el recurso (que no tiene por qu coincidir con el nombre de la propia carpeta), as como qu usuarios van a poder acceder al mismo. En relacin con esto, existe una gran diferencia entre que el directorio resida en una particin FAT y que resida en una NTFS. Si la carpeta reside en una particin FAT, este filtro de acceso ser el nico que determine los usuarios que van a poder acceder al contenido de la carpeta, puesto que no es posible determinar permisos sobre la misma o sus archivos. Es decir, el filtro slo se establece para poder acceder al recurso. Si un usuario tiene permisos suficientes para conectarse a un recurso, tendr acceso sobre todos los archivos y subcarpetas del recurso. Concretamente, el tipo de acceso sobre todos ellos ser el que le permita el permiso sobre el recurso (Lectura, Escritura o Control Total). Por el contrario, si la carpeta se encuentra en una particin NTFS, sta tendr unos permisos establecidos (as como sus subcarpetas y archivos), al margen de estar o no compartida. En este caso tambin es posible establecer permisos desde la ventana de Compartir..., pero entonces slo los usuarios que puedan pasar ambos filtros podrn acceder a la carpeta compartida y a su contenido. En este caso se recomienda dejar Control Total sobre Todos en los permisos asociados al recurso (opcin por defecto), y controlar quin (y cmo) puede acceder al recurso y a su contenido mediante los permisos asociados a dicha carpeta (y a sus archivos y subcarpetas). Esta recomendacin es muy til, si tenemos en cuenta que de esta forma para cada carpeta (y archivo) del sistema no utilizamos dos grupos de permisos sino uno solo, independientemente de que la carpeta sea o no compartida. Este forma de trabajar obliga al administrador a asociar los permisos correctos a cada objeto del sistema (aunque no est compartido), pero por otra parte se unifica la visin de la seguridad de los archivos, con lo que a la larga resulta ms segura y ms sencilla. Cuando compartimos recursos a otros usuarios en la red (especialmente en un dominio) hay que tener en cuenta no slo los permisos del recurso y su contenido, sino tambin los derechos del ordenador que comparte el recurso. En concreto, si un usuario ha iniciado una sesin interactiva en un ordenador Windows 2000 denominado A, y desea conectarse a un recurso de red que exporta otro Windows 2000 denominado B, adems de poseer suficientes permisos (sobre el recurso, sobre el propio carpeta y sobre su contenido), tiene que tener concedido en B el derecho Acceder a este equipo desde la red. De lo contrario, dicho usuario ni siquiera podr obtener la lista de los recursos que el ordenador A comparte. 52

Mandatos Windows 2000 para compartir recursos

6.5.2. Comparticin dentro de un dominio

Cuando la comparticin de recursos la realizan equipos que forman parte de un dominio Windows 2000, existen consideraciones que el administracin debe conocer. Primero, una vez se ha compartido fsicamente una carpeta en la red (segn el procedimiento descrito arriba), el administrador del dominio puede adems publicar este recurso en el directorio. Para ello debe crear un nuevo objeto, en la unidad organizativa adecuada, de tipo Recurso compartido. A este objeto se le debe asociar un nombre simblico y el nombre de recurso de red que representa (de la forma \\equipo\recurso). Es importante tener en cuenta que cuando se publica el recurso, no se comprueba si realmente existe o no, por lo que es responsabilidad del administrador el haberlo compartido y que su nombre coincida con el de la publicacin. Una vez publicado, el recurso puede localizarse mediante bsquedas en el Directorio Activo, como el resto de objetos del mismo. Y segundo, cuando un sistema Windows 2000 se agrega a un dominio, los siguientes recursos se comparten de forma automtica y por defecto (estas comparticiones no deben modificarse ni prohibirse):
letra_de_unidad$. Por cada particin existente en el sistema Windows 2000 (C:, D:, etc.) se crea un recurso compartido denominado C$, D$, etc. Los administradores del dominio, as como los operadores de co-

pia del domino, pueden conectarse por defecto a estas unidades.

ADMIN$. Es un recurso utilizado por el propio sistema durante la administracin remota de un ordenador

Windows 2000.
IPC$. Recurso que agrupa los tubos (colas de mensajes) utilizados por los programas para comunicarse en-

tre ellos. Se utiliza durante la administracin remota de un ordenador Windows 2000, y cuando se observa los recursos que comparte.
NETLOGON. Recurso que exporta un DC para proporcionar a los ordenadores miembros del dominio el servi-

cio de validacin de cuentas globales a travs de la red (Net Logon service).

SYSVOL. Recurso que exporta cada DC de un dominio. Contiene informacin del Directorio Activo (por

ejemplo, de directivas de grupo) que debe replicarse en todos los DCs del dominio. En relacin con los nombres de estos recursos, es interesante saber que aadir el carcter "$" al final de cualquier nombre de recurso tiene un efecto especfico: prohibe que dicho recurso se visualice dentro de la lista de recursos que una mquina exporta al resto. Es decir, convierte un recurso en ``invisible'' para al resto del mundo. En este caso, un usuario remoto slo podr conectarse al recurso si conoce su nombre de antemano (y tiene suficientes permisos, obviamente).

6.5.3. Mandatos Windows 2000 para compartir recursos

La comparticin de recursos en Windows 2000 puede realizarse en lnea de rdenes utilizando los mandatos net share y net use. La sintaxis de ambos mandatos es la siguiente: a. Mandato net share: Crea, elimina o muestra recursos compartidos.
net share net share recurso_compartido net share recurso_compartido=unidad:ruta_de_acceso [/users:nmero | /unlimited] [/remark:"texto"] net share recurso_compartido [/users:nmero | unlimited] [/remark:"texto"] net share {recurso_compartido | unidad:ruta_de_acceso} /delete

b.

Mandato net use: Conecta o desconecta un equipo de un recurso compartido o muestra informacin acerca de las conexiones del equipo. Tambin controla las conexiones de red persistentes. 53

Mandatos Windows 2000 para compartir recursos

net use

[nombre_dispositivo] [\\nombre_equipo\recurso_compartido[\volumen]] [contrasea | *]] [/user:[nombre_dominio\]nombre_usuario] [[/delete] | [/persistent:{yes | no}]] net use nombre_dispositivo [/home[contrasea | *]] [/delete:{yes | no}] net use [/persistent:{yes | no}]

54