Administracin y configuracin de Windows 2000/2003 Server.
1. Windows como sistema operativo servidor En la unidad dedicada a la introduccin a los sistemas operativos de Microsoft estudiaste que esta empresa dividi sus productos en dos lneas comerciales distintas, dedicadas a segmentos de mercado diferentes. Por un lado existe una lnea dedicada a desarrollar sistemas operativos de sobremesa, o lo que es lo mismo, sistemas pensados para ser utilizados por un usuario realizando tareas como: Trabajo con herramientas ofimticas (proceso de textos, hoja de clculo, etc.). Por ejemplo utilizando el paquete Microsoft Office u OpenOffice.Org. Conexin a redes locales para acceder a recursos remotos como impresoras o carpetas compartidas. Conexin a redes extensas (Internet) para acceso a Web, correo electrnico y otros servicios como FTP. Ejecucin de software variado con orientacin a usuario final, como aplicaciones de contabilidad, diseo grfico, acceso a bases de datos, etc. Esta lnea de sistemas operativos incluye los antiguos Windows 3.1, Windows 95, Windows 98 y Windows NT Workstation, as como los ms modernos Windows 2000 Workstation y Windows XP. Todos ellos son productos que han ido evolucionando para satisfacer las demandas del mercado y de los usuarios, algunas de sus caractersticas son: Facilidad de uso. Interface grfico intuitivo. Simples de administrar. Buen soporte multimedia. Sencillez para instalar perifricos. Amplsima base de software preparado y diseado para ellos. Todos estos sistemas operativos tienen una clarsima orientacin al usuario. Aunque pueden ofrecer algunas caractersticas de red en su funcionamiento como trabajo en grupo, esto no deja de ser un nivel muy bajo de prestaciones de servidor que no pasa de la posibilidad de compartir impresoras y archivos, con pocos requerimientos de rendimiento y seguridad. Por otra parte Microsoft abri una lnea de productos diseada para actuar como verdaderos sistemas operativos de red, esto es servidores de red. En los cuales se incorporaran cualidades tales como: Gestin centralizada de usuarios y grupos. Capacidad de proveer servicios de red como DHCP, Web, correo electrnico, DNS, etc. Implementacin de sistemas de seguridad, robustez, fiabilidad y recuperacin de fallos. Posibilidad de ofrecer servicios de red privada virtual (VPN). Acceso remoto. Y por supuesto, posibilidad de actuar como servidor de archivos e impresin. El primer producto de esta clase fue Windows NT Server, que supuso una revolucin y que fue rpidamente adoptado como un buen sistema operativo servidor. Ms tarde Windows NT Server fue sustituido por Windows 2000 Server y hoy da se encuentra disponible la ltima versin, Windows 2003 Server, de este se disponen varias ediciones enfocadas a resolver situaciones diferentes. Las ediciones disponibles son las siguientes: Microsoft Windows Server 2003 standard edition: sta es la edicin ms habitual para empresas pequeas y medianas. Puede soportar hasta 4 procesadores y es capaz de manejar hasta 4Gb de memoria RAM. Microsoft Windows Server 2003 enterprise edition: Diseada para satisfacer las necesidades de grandes empresas. Hasta 8 procesadores y hasta 64 Gb de RAM. Soporta clustering. Est disponible en versiones de 32 y 64 bits para aprovechar la potencia de los procesadores. Microsoft Windows Server 2003 datacenter edition: Hasta 64 procesadores en paralelo y versiones de 32 y 64 bits. El Windows 2003 Server ms avanzado en cuanto a escalabilidad, fiabilidad y rendimiento. Microsoft Windows Server 2003 Web edition: Especialmente diseado para funcionar como servidor de aplicaciones Web. En esta unidad nos centraremos en los sistemas Windows 2000 Server y Windows 2003 Server. Aunque este ltimo supone una evolucin e incorpora nuevas caractersticas, son en realidad dos productos bastante semejantes en su concepcin, apariencia y manejo. PARA SABER MS Un trabajo que describe muchos de los elementos que caracterizan a Windows 2003 Server. http://www.monografias.com/trabajos14/microsoftwindows/microsoftwindows.shtml Ya sabes que Windows 2008 Server es la ltima versin de los sistemas operativos de servidor desarrollada por Microsoft, aunque sigue la lnea de la versin anterior (Windows 2003 Server) aade nuevas caractersticas y funcionalidades. En el siguiente enlaces encontrars informacin sobre las mismas. http://www.microsoft.com/spain/windowsserver2008/default.mspx http://technet.microsoft.com/es-es/windowsserver/2008/bb405966.aspx http://www.microsoft.com/latam/technet/windowsserver/longhorn/evaluate/whitepaper.mspx http://technet.microsoft.com/es-es/library/cc731400.aspx Versiones de prueba de Windows 2008 http://technet.microsoft.com/es-es/evalcenter/default.aspx http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=b6e99d4c-a40e-4fd2- a0f7-32212b520f50 Ediciones de Windows 2008 http://www.microsoft.com/spain/windowsserver2008/editions/overview.mspx 2. Las redes en Windows 2000/2003 Server Ya hemos visto cmo Microsoft plantea dos modelos o esquemas de funcionamiento en red. Por un lado se tiene el modelo de trabajo en grupo y por otro el modelo de dominios. Windows 2000/2003 Server est orientado a hacer de servidor en el segundo modelo, pero tambin puede utilizarse integrado en un grupo de trabajo, aunque esto sera infrautilizar sus posibilidades. Vamos a estudiar en qu consisten estos dos enfoques. 2.1. El modelo Microsoft de trabajo en grupo Un grupo de trabajo es un conjunto de equipos en red que comparte recursos, como ficheros o impresoras. Un grupo de trabajo tambin se llama una red de igual a igual (peer to peer), porque todos los equipos del grupo de trabajo pueden compartir recursos por igual sin un servidor dedicado. Cada equipo en el grupo de trabajo tiene una base de datos local de seguridad; esto es, una lista de cuentas de usuario para el equipo en la que reside, donde se especifican las asignaciones de permisos a los recursos locales. Por consiguiente, la administracin de cuentas de usuario y recursos de seguridad en un grupo de trabajo se encuentra descentralizada. Esto reduce las labores de planificacin y administracin de la red y es el modelo que utilizan las versiones de Windows para ordenadores de sobremesa como Windows 3.1, Windows 95, Windows 98 o Windows XP. En redes pequeas (hasta 10 ordenadores) y con bajos requerimientos de rendimiento o seguridad, este modelo puede ser suficiente, pero si queremos implantar una red ms extensa y compleja empezaremos a encontrar las siguientes desventajas: Un usuario debe tener una cuenta en cada equipo al que quiera tener acceso. Cualquier cambio en las cuentas de usuario, como el cambio de la contrasea o la inclusin de nuevas cuentas de usuario, se debe realizar en cada equipo del grupo de trabajo. Si olvidamos aadir una cuenta de usuario en un equipo del grupo de trabajo, el nuevo usuario no ser capaz de iniciar la sesin en ese equipo y no podr acceder a los recursos que se encuentran en la misma. La administracin de los recursos compartidos (archivos e impresoras) se hace individualmente en cada equipo y por los usuarios individuales que tienen cuentas en esos equipos. Lo que no favorece la seguridad y hace muy laboriosa la administracin. 2.2. El modelo Microsoft de dominios Un dominio es una agrupacin de redes de ordenadores que comparten una base de datos de un directorio central. Una base de datos de directorio contiene cuentas de usuario e informacin de seguridad del dominio. Esto es as desde la aparicin de Windows NT Server y ha ido evolucionando en caractersticas y posibilidades desde entonces. En la actualidad, en Windows 2000 y 2003 Server, la base de datos que tiene toda la informacin del dominio, sus servicios, y recursos se llama Active Directory y es la diferencia principal entre Windows 2000/2003 y NT. En un dominio, el directorio est situado en el equipo que est configurado como controlador de dominio. Un controlador de dominio es un ordenador servidor con sistema operativo Windows 2000/2003 Server que gestiona todos los aspectos relativos a la seguridad en las interacciones de los usuarios del dominio. La seguridad y la administracin estn centralizadas. Slo los equipos con Windows 2000/2003 Server pueden ser designados como controladores de dominio, no sirven equipos del dominio que ejecuten otros sistemas operativos, aunque si pueden ser miembros del dominio y utilizar sus recursos. Implantar una red en base a un dominio tiene muchas ventajas en comparacin con el modelo de redes entre iguales, aunque implica una planificacin y administracin ms laboriosa y compleja. Podemos citar las siguientes ventajas: Un dominio permite una administracin centralizada, porque toda la informacin de usuarios se almacena centralmente. Si un usuario cambia su contrasea, el cambio se replica (extiende) automticamente en todo el dominio. Un dominio proporciona un proceso nico de entrada al sistema, para que los usuarios puedan acceder a los recursos de red, como archivos, impresoras y recursos de aplicaciones para los que tengan permiso. En otras palabras, un usuario puede entrar en un equipo y utilizar los recursos de otro equipo en la red siempre que tenga los privilegios adecuados para utilizar el recurso. Un dominio proporciona escalabilidad, de manera que el administrador puede crear redes que van aumentando de tamao y prestaciones con el paso del tiempo y a medida que surgen necesidades. En un dominio se pueden encontrar las siguientes clases de ordenadores: Controladores de dominio con Windows 2000/2003 Server. Cada controlador de dominio almacena y mantiene una copia del directorio. En un dominio se crean las cuentas de usuario una sola vez, y el sistema las almacena en el directorio. Cuando un usuario se registra en un equipo del dominio, un controlador de dominio comprueba el nombre de usuario en el directorio, la contrasea y las restricciones para autentificar al usuario. Cuando hay varios controladores de dominio, replican peridicamente su informacin de directorio sincronizndola. Servidores miembro con Windows 2000/2003 Server. Son equipos que sirven algn recurso a los dems pero no tienen copia del directorio. Por ejemplo proporcionan recursos compartidos como carpetas o impresoras. Equipos cliente. Los equipos cliente tienen un entorno de escritorio para el usuario que les permite acceder a los recursos del dominio. En estos equipos se puede instalar cualquiera de las versiones de sistemas operativos Windows para ordenadores de sobremesa. 3. Servicios de directorio en Windows 2000/2003 Server. Active Directory. En el punto anterior se ha introducido el concepto de dominio. Es importante que comprendas que la esencia del uso de dominios en una red de ordenadores es la centralizacin de la administracin de usuarios y recursos en ordenadores que acten como controladores de dominio. La base de esa centralizacin la constituye el directorio; o mejor, lo que Microsoft denomina Directorio Activo (Active Directory). Este elemento se introdujo a partir de Windows 2000 Server y supuso un gran cambio con respecto a versiones anteriores (Windows NT). Active Directory proporciona un mtodo para el diseo de la estructura de directorio que responde a las necesidades de cualquier organizacin. Posee numerosas ventajas, como por ejemplo la escalabilidad del sistema y la facilidad para localizar recursos a lo largo de una gran red. Active Directory permite un punto nico de administracin para todos los recursos pblicos, entre los que se pueden incluir archivos, dispositivos perifricos, conexiones a bases de datos, accesos Web, usuarios, servicios, etc. Utiliza el DNS de Internet como servicio de localizacin. Active Directory utiliza componentes para construir una estructura de directorio acorde con las necesidades de una organizacin. La estructura lgica de la organizacin se representa por medio de dominios, unidades organizativas, rboles y bosques. La estructura fsica est representada por sitios (subredes fsicas) y controladores de dominio. Active Directory separa completamente la estructura lgica de la fsica. 3.1. Estructuras lgicas En Active Directory, los recursos presentan una estructuracin que refleja la estructura lgica de la organizacin donde est instalado. Agrupar recursos lgicamente permite encontrar un recurso por su nombre en vez de por su localizacin fsica, esto es particularmente importante en grandes redes. Veamos las estructuras lgicas con que contamos a la hora de disear una red basada en el modelo de dominios. Dominio: La unidad central de la estructura lgica de Active Directory es el dominio, que puede almacenar millones de objetos. Los objetos que se almacenan en un dominio son por ejemplo: impresoras, documentos, direcciones de correo electrnico, bases de datos, usuarios, etc. Todos los objetos de la red existen en un dominio, y cada dominio almacena informacin exclusivamente sobre los objetos que contiene. Active Directory est compuesto por uno o ms dominios. Un dominio contiene listas de control de acceso (ACL-Access Control List), stas controlan el acceso a los objetos del dominio. Las ACL contienen los permisos asociados con los objetos que controlan los usuarios que pueden acceder a un objeto. Unidad organizativa: Una unidad organizativa (OU-Organizational Unit) es un contenedor que se utiliza para organizar objetos dentro de un domino en grupos que reflejan la estructura funcional de una organizacin. Por ejemplo, un dominio miempresa.com puede contener tres OU: ventas, pedidos y contabilidad. Si en un momento dado el nmero de pedidos recogidos se incrementa y la administracin de la empresa requiere la incorporacin de una persona que colabore con el responsable del departamento de pedidos, se puede asignar una cuenta de usuario a esa persona que slo tenga la capacidad de crear cuentas de usuario y proporcionar a los usuarios el acceso a los archivos del departamento de pedidos y a las impresoras compartidas. En vez de crear otro dominio, la situacin puede ser resuelta mediante la asignacin a la cuenta creada de los permisos apropiados dentro de la OU pedidos. rbol: Es una agrupacin o una ordenacin jerrquica de uno o ms dominios de Windows 2000/2003 que se pueden crear aadiendo uno o ms dominios secundarios a un dominio principal existente. Bosque: Un bosque es una agrupacin o configuracin jerrquica de uno o ms rboles de dominio distintos y completamente independientes entre s. 3.2. Estructuras fsicas Los componentes fsicos de Active Directory son los sitios y los controladores de dominio. Sitio: Un sitio es una combinacin de una o ms subredes que utilizan IP (Internet Protocol) conectadas por un enlace rpido y de alta fiabilidad que permite agrupar la mayor cantidad de trfico posible. Normalmente un sitio ser una red de rea local (LAN). Controlador de dominio: Un controlador de dominio es un equipo con Windows 2000/2003 Server que almacena una copia del directorio de dominio (base de datos local del dominio). Dado que un dominio puede contener uno o ms controladores de dominio, todos los controladores de dominio en un dominio tienen una copia completa del directorio. Cada controlador de dominio almacena una copia completa de toda la informacin de Active Directory para ese dominio, administra los cambios y replica (extiende) esos cambios a otros controladores de dominio del mismo dominio. El hecho de tener ms de un controlador de dominio en un dominio es importante porque provee tolerancia a fallos. Si un controlador de dominio est desconectado, otro controlador de dominio puede proporcionar todas las funciones necesarias. 3.3. Active Directory en la prctica La mejor y ms completa fuente de informacin sobre los sistemas operativos de Microsoft es, cmo no poda ser de otra forma, las propias pginas de Microsoft en Internet. Te proponemos tres enlaces que configuran una prctica de todo lo enunciado sobre Active Directory, sus elementos y organizacin. PARA SABER MS Active Directory es, ya lo sabes, la pieza clave en la configuracin de un servidor Windows 2000/2003. Extrado de las pginas en Internet de Microsoft te facilitamos un artculo con valiosa informacin y ejemplos del uso de Active Directory. Gua detallada para administrar Active Directory http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/admng.mspx 4. Instalacin de Windows 2000/2003 Server Vamos a detallar los pasos necesarios para instalar el sistema operativo Windows 2003 Server en un ordenador. No hay que olvidar que despus de esto vendr la fase de configurar el sistema segn lo visto en los apartados anteriores. Esto es, decidir si ser un controlador de dominio, configurar el Active Directory y configurar los servicios que se van a ofrecer. La instalacin de un sistema Windows 2000/2003 Server debera comenzar con una planificacin cuidadosa de nuestra red y nuestra organizacin. No hay que olvidar que estamos instalando un sistema operativo de red y que las decisiones tomadas afectarn no slo al propio servidor, sino a toda nuestra red. Por ello se deberan tener claras las ideas sobre qu estructura de dominios se utilizar, los servicios que se ofrecern, etc. La instalacin es slo el comienzo de nuestro trabajo, la buena o mala configuracin y administracin que hagamos despus harn de nuestro sistema algo til o no. Un administrador de sistemas es un puesto difcil que requiere mucha responsabilidad, experiencia y conocimientos. 4.1. Requisitos del sistema Lo primero que deberamos hacer es comprobar si el hardware que vamos a utilizar es compatible con Windows 2000/2003 Server. Microsoft proporciona en la carpeta Support del CD de instalacin una lista de hardware compatible (HCL, Hardware Compatibility List). No obstante y dado el continuo progreso del hardware y perifricos podemos acudir a la web de Microsoft para comprobar la compatibilidad de nuestro sistema. Hay que ser cuidadoso con esto, ya que un hardware no compatible podra impedir el fin de nuestra instalacin de forma correcta, por lo tanto antes de empezar hay que asegurarse de la compatibilidad. PARA SABER MS Es importante conocer de antemano si el hardware que vamos a utilizar est soportado por Microsoft para poder instalar en l el sistema operativo. Ya sabes que la propia Microsoft mantiene una lista actualizada conocida como HCL. Aqu tienes el enlace a dicha lista. Pgina de soporte de Microsoft para consultar la lista HCL http://support.microsoft.com/kb/314062/es http://www.microsoft.com/whdc/hcl/default.mspx 4.2. Planificacin de las particiones Lo siguiente es decidir cmo se desea dividir en particiones y configurar las unidades de almacenamiento. Microsoft recomienda utilizar el sistema de archivos NTFS en todo el sistema, a menos que se necesite mantener la compatibilidad con otro sistema operativo existente en el equipo. NTFS posee muchas ventajas, como eficiencia, fiabilidad, seguridad y compresin. Adems, muchas caractersticas o servicios de Windows 2000/2003 requieren forzosamente una particin NTFS. Por ejemplo, para utilizar el servidor como controlador de dominio o servidor de Active Directory debe estar en una particin NTFS. Por regla general, se utilizarn una o ms unidades de disco para datos, preferiblemente configuradas con algn sistema de tolerancia a fallos como RAID. Si se utiliza una unidad o unidades de disco diferentes para los datos, conviene convertirlas en discos dinmicos y darles formato con el sistema de archivos NTFS. Este enfoque permitir trabajar de forma sencilla con los volmenes y almacenar la informacin de forma segura y eficiente. PARA SABER MS Un servidor debera contar con medidas de prevencin y recuperacin de fallos hardware, sobre todo en lo relativo a almacenamiento masivo de datos. Ya hemos visto que una de las tecnologas ms extendidas es el RAID en sus varios niveles. Aqu tienes un enlace con informacin sobre esta tecnologa tan utilizada. Un enlace con la descripcin de los niveles RAID. http://www.smdata.com/NivelesRAID.htm http://www.sindominio.net/~apm/articulos/raid/niveles.html 4.3. Recogida de informacin de la red Despus de determinar cmo se quieren dividir en particiones las unidades de disco, hay que localizar todos los controladores para el hardware. Despus, hay que decidir los siguientes parmetros: Nombre en el Sistema de nombres de dominio (DNS, Domain Name System) del equipo: Este nombre puede contener letras maysculas o minsculas, nmeros y el carcter guin. El nombre DNS del servidor no debe sobrepasar los 15 caracteres si se pretende que el nombre NetBIOS sea el mismo que el DNS y mantener as la compatibilidad con clientes que no sean Windows 2000/2003. Nombre del dominio o grupo de trabajo al que debe unirse (si se encuentra en una red): Si se est creando un nuevo dominio Windows 2000/2003, este nombre debera ser compatible con el DNS: por ejemplo: midepartamento.miempresa.com. Direccin IP del equipo: Esto es necesario salvo que la red disponga de un servidor de Protocolo de Configuracin Dinmica de Host (DHCP, Dynamic Host Configuration Protocol). Modo de licencia de clientes y el nmero de clientes simultneos (si el modo de licencia es Por servidor) Windows 2000/2003 Server soporta licencias Por servidor y Por puesto. Si no se est seguro de qu modo de licencia utilizar, es mejor elegir Por servidor. Se puede cambiar de modo Por servidor a Por puesto una vez (sin coste adicional) pero no de modo Por puesto a modo Por servidor. Sera conveniente en este punto contactar con la empresa Microsoft para que se nos informara del mejor sistema de licencias para nuestro caso. Una vez que dispongamos de toda la informacin anterior podemos comenzar la instalacin del sistema. Esta tiene dos partes diferenciadas, una basada en pantallas en modo texto y una segunda parte basada en el interface grfico que caracteriza a Windows. Debemos disponer del CD de instalacin y la licencia del programa, recordamos que Windows 2000 Server no es software libre y se debe adquirir la licencia correspondiente para su instalacin y uso. 4.4. Instalacin de Windows 2000 Server. Primera parte (modo texto). Cuando se inicia desde el CD-ROM se entra en la fase de instalacin basada en texto en la cual el programa de instalacin copia los archivos necesarios para reiniciar en Windows 2000 para la parte de instalacin basada en interface grfico. Durante la fase basada en texto de la instalacin, hay que seguir los siguientes pasos: 1. Aparece la pantalla de Instalacin de Windows 2000 Server, en la que se presentan tres posibilidades: Instalar Windows 2000, actualizar una instalacin previa o salir del programa de instalacin. 2. Se debe leer el contrato de licencia de Windows 2000 Server. Podemos utilizar la tecla [Avance Pgina] para desplazarnos hacia abajo, y pulsar despus [F8] para continuar. Se buscarn instalaciones previas de Windows 2000 que se puedan actualizar y si se encuentran se nos pedir que confirmemos si queremos actualizar o realizar una instalacin nueva. 3. Despus, se pide elegir en qu disco y particin se quiere instalar Windows 2000. Se muestran todas las unidades de disco y particiones detectadas en el sistema, clasificadas por identificador SCSI o IDE y el nmero de bus. Hay que seleccionar una particin o espacio sin dividir en particiones utilizando las teclas de direccin del teclado. 4. Se pueden gestionar las particiones del disco. Si se elige crear una nueva particin, la instalacin preguntar si se quiere dar formato a la particin con el sistema de archivos NTFS o FAT. Si se escoge el sistema de archivos FAT en una particin mayor de 2 Gb, la particin se dar formato con el sistema de archivos FAT32. Si se quiere sacar el mximo partido a Windows 2000 Server y utilizar todas sus caractersticas hay que instalar en una particin NTFS. 5. Cuando se termine de modificar las particiones, hay que seleccionar la particin en la que se desea instalar Windows 2000. 6. La instalacin pedir confirmacin sobre la eleccin de la particin y se dar la opcin de formatear como FAT o como NTFS. Si hubiera una particin formateada previamente, aparecer una tercera opcin que nos permitir dejar la particin con el mismo sistema de archivos que ya tiene. 7. La instalacin comprueba la ausencia de errores en los discos duros y copia entonces los archivos apropiados en la recin creada carpeta de Windows 2000 (llamada \WINNT de forma predeterminada). Cuando la instalacin termina de copiar los archivos, pide que se extraiga cualquier disquete o CD-ROM, y entonces reinicia el sistema e inicia el Asistente para la instalacin de Windows 2000. 4.5. Instalacin de Windows 2000 Server. Segunda parte (modo grfico). Cuando la fase basada en texto de la instalacin concluya, el equipo se reiniciar y Windows 2000 se iniciar por primera vez, cargando el Asistente para la instalacin de Windows 2000. Para utilizar el Asistente para la instalacin hay que seguir los pasos que se indican a continuacin. Al final de cada paso hay que pulsar con el ratn el botn Siguiente o el botn Aceptar para continuar. 1. Pantalla de instalacin de dispositivos: el Asistente para la instalacin detecta y configura los dispositivos instalados en el equipo, ratn, teclado, tarjeta grfica, sonido, etc. Si la instalacin no puede detectar de forma apropiada un dispositivo, mostrar un cuadro de dilogo de configuracin de dispositivo para la configuracin manual. Esto es posible que ocurra en elementos hardware de reciente aparicin o que no estn en la HCL. 2. Configuracin regional: Despus de detectar el hardware, se solicitan los parmetros regionales. Estos parmetros afectan a factores tales como la disposicin del teclado y cmo se muestran las fechas y la moneda. Elegir la localizacin que se desea utilizar para la configuracin de nmeros, monedas y fecha y hora. Para configurar el sistema de forma que se puedan leer o escribir documentos en otros idiomas, hay que seleccionar la casilla de verificacin situada junto a los idiomas que se quieren activar para lectura y escritura. Las otras pestaas se utilizan para modificar el formato de los nmeros, monedas, fechas y horas. Para modificar la disposicin del teclado, hay que pulsar el segundo botn Personalizar en la ventana Configuracin regional, y utilizar entonces las opciones de Idiomas instalados para configurar el teclado para el idioma que se quiere utilizar. Hay que pulsar Siguiente. 3. Personalizacin del Software: Se debe introducir el nombre de la persona bajo la que se registrar el equipo adems de la empresa. No olvidemos que este sistema es un software con licencia. 4. Clave del Producto: Introducir el CD-KEY del producto que se est instalando. Lo obtendremos de la documentacin entregada al realizar la compra. 5. Modos de licencia: Hay que escoger el modo de licencia en la siguiente ventana, como Por servidor o Por puesto. Por defecto aparecern las licencias para las que tiene el producto. Si se escoge Por servidor, hay que especificar cuntas licencias de acceso de cliente se han adquirido. 6. Nombre del equipo: Hay que introducir el nombre del equipo. El nombre del equipo puede contener los nmeros del cero al nueve, letras en mayscula y minscula y el carcter guin, pero no espacios o puntos. El nombre debera ser compatible con DNS y puede tener un mximo de 63 caracteres de longitud, pero en inters de la compatibilidad con clientes anteriores a Windows 2000 (ver NETBIOS), debera ser menor de 15 caracteres. 7. Contrasea de administrador: Tras introducir el nombre del equipo, hay que introducir la contrasea de la cuenta del administrador de hasta 14 caracteres de longitud. 8. Componentes de Windows 2000: La siguiente ventana sirve para seleccionar los componentes a instalar en este momento. 9. Valores de fecha y hora: Hay que revisar la fecha, hora e informacin de la zona horaria, y realizar cualquier correccin necesaria. 10. Configuracin de Red: Existen dos posibilidades de configuracin, personalizada o tpica. Configuracin tpica: se instalan los siguientes protocolos y servicios de red usados comnmente: Cliente para redes Microsoft, Compartir impresoras y archivos para redes Microsoft y TCP/IP configurado para utilizar DHCP o Direcciones IP privadas. Configuracin personalizada: muestra la lista predeterminada de componentes de red que se puede modificar segn las necesidades. 11. Grupo de Trabajo y Dominio: Especificaremos el nombre del grupo de trabajo o dominio al que nos uniremos. 12. Si se est configurando un nuevo dominio, hay que escoger la primera opcin y teclear en el cuadro de texto Dominio o grupo de trabajo del equipo el nombre del dominio futuro. 13. Si se escoge unirse a un dominio, aparece un cuadro de dilogo pidiendo la introduccin de un nombre de usuario y una contrasea para un usuario con permisos suficientes para crear una nueva cuenta de equipo para el servidor. Hay que introducir el nombre de usuario y la contrasea y pulsar despus Aceptar. La instalacin inicia sesin en el dominio y configura una cuenta de equipo para el servidor. 14. Instalacin de componentes: El programa instala despus los componentes especificados y configura Windows 2000. Cuando finaliza ese proceso, se borran todos los archivos de instalacin temporales y se solicita la extraccin de cualquier CD-ROM o disquete que haya en las unidades. Hay que pulsar Finalizar para reiniciar el equipo. 15. Si se produce algn error durante el proceso de instalacin, el programa de instalacin muestra un mensaje de error y pregunta si se desea ver el archivo de registro setuplog.txt creado. Para hacer esto, hay que pulsar Aceptar. Conviene revisar el archivo y pulsar despus Cerrar para reiniciar el sistema. 16. Cuando la instalacin reinicie el equipo, se ver la ventana de inicio de sesin estndar de Windows 2000. Cuando se inicie sesin aparecer el Asistente para Configurar el Servidor que servir de gua durante la configuracin de los parmetros adicionales del servidor. 5. Directorio Activo (Active Directory). Una vez que haya concluido una instalacin de Windows 2000 Server es el momento de instalar, configurar y administrar el servicio de directorio activo (Active Directory). Ya hemos visto que ste es el elemento sobre el que recae toda la gestin administrativa del sistema operativo, un administrador de sistema deber conocer perfectamente su uso y funcionamiento. Cuando se tiene un sistema Windows 2000 recin instalado el directorio activo no se encuentra en uso, es despus de la instalacin cuando comienza el verdadero trabajo para el administrador del sistema, se debern establecer dominios, unidades administrativas, gestionar recursos compartidos, usuarios, servicios, seguridad, etc. En este apartado aprenderemos lo bsico sobre instalacin, configuracin y administracin del Directorio Activo de Windows 2000/2003 Server. 5.1. Instalacin de Active Directory (I) La instalacin de Active Directory se resuelve contestando a preguntas que aparecen en pantallas de asistentes. Se puede acceder a la instalacin en la pantalla principal de Configurar el servidor de Windows 2000. Lo primero que hay que hacer es instalar el controlador de dominio. Para instalar el Primer controlador de dominio deberemos seguir los siguientes pasos: 1. Ejecutar el comando dcpromo.exe. 2. Tipo de Controlador de Dominios: Despus de una pantalla de bienvenida, el Asistente para instalacin pregunta sobre la accin que se va a realizar, basndose en el estado actual de Active Directory 3. Si el servidor ya es un controlador de dominio, el asistente solo proporciona la opcin de degradar el sistema de nuevo a servidor independiente o miembro. En un equipo que no es un controlador de dominio, el asistente muestra la pantalla Tipo de controlador de dominios, la cual pide que se seleccione una de las siguientes opciones: Controlador de dominio para un nuevo dominio: Instala Active Directory en el servidor y lo designa como el primer controlador de dominio de un nuevo dominio. Controlador de dominio adicional para un dominio existente: Instala Active Directory en el servidor y replica la informacin del directorio desde un dominio existente. Para instalar el primer servidor Active Directory en la red, se selecciona la opcin Controlador de dominio para un nuevo dominio. Esto hace que el asistente instale los archivos de soporte de Active Directory, cree el nuevo dominio y lo registre en el DNS. 4. Crear rbol o dominio secundario. Deberemos elegir el tipo de dominio que queremos configurar de las dos opciones que se presentan en el siguiente cuadro. Crear un nuevo rbol de dominios: Configura el nuevo controlador de dominio para que aloje el primer dominio de un nuevo rbol. Crear un nuevo dominio secundario en un rbol de dominios existente: Configura el nuevo controlador de dominio para que aloje un hijo de un dominio de un rbol que ya existe. 5. Crear o unir bosque, que permite especificar una de las siguientes opciones: Crear un nuevo bosque de rboles de dominios: Configura el controlador de dominio para que sea la raz de un nuevo bosque de rboles. Situar este nuevo rbol de dominios en un bosque existente: Configura el controlador de dominio para que aloje el primer dominio de un nuevo rbol en un bosque que ya contiene uno o ms rboles. 6. Nombre de nuevo Dominio: Para identificar el controlador de dominio en la red se debe especificar un nombre DNS valido para el dominio que se est creando. Este nombre no tiene por qu ser el mismo que el del dominio de Internet que utiliza la empresa u organizacin donde se est instalando Windows 2000/2003 Server (aunque puede serlo). Sin embargo, el uso de un nombre de dominio registrado es una buena idea si los usuarios de la red van a acceder a los recursos de Internet al mismo tiempo que a los recursos de red locales, o si los usuarios externos a la organizacin accedern a los recursos de red locales va Internet. Cuando los usuarios acceden a los recursos de Internet al mismo tiempo que a los recursos de la red Windows 2000/2003, existe la posibilidad de que un nombre de dominio no registrado entre en conflicto con un dominio de Internet registrado que utilice el mismo nombre. 7. Nombre de dominio NetBIOS: Despus de introducir un nombre DNS para el dominio, el sistema solicita un equivalente NetBIOS para el nombre del dominio para que los utilicen los clientes que no soporten Active Directory. Los sistemas Windows 2000 todava utilizan el espacio de nombres NetBIOS para sus nombres de equipo, pero Active Directory utiliza la nomenclatura DNS para los dominios. Windows NT 4 y los sistemas Microsoft Windows 95/98 utilizan nombres NetBIOS para todos los recursos de la red, incluyendo los dominios. Si se dispone de clientes de nivel inferior en la red (esto es, Windows NT 4, Windows 95/98, Microsoft Windows para Trabajo en grupo o Cliente de red Microsoft para sistemas MS-DOS), estos slo sern capaces de ver el nuevo dominio por medio del nombre NetBIOS. La pantalla Nombre de dominio NetBIOS contendr una sugerencia para el nombre, basndose en el nombre DNS especificado, que se puede utilizar o bien se puede reemplazar con un nombre que se elija que tenga 15 caracteres o menos. 5.2. Instalacin de Active Directory (II) 8. Ubicacin de la base de datos de Active Directory: La base de datos de Active Directory contendr los objetos Active Directory y sus propiedades. Los directorios para estos archivos se especifican en la pantalla ubicacin de la base de datos. La ubicacin predeterminada tanto para la base de datos como para los registros es la carpeta %SystemRoot%\Ntds del volumen del sistema, pero se pueden modificar segn nuestras necesidades, siendo aconsejable que no residieran en el mismo disco que en sistema operativo. 9. Volumen del sistema compartido: Permite especificar la ubicacin de lo que se convertir en el recurso compartido Sysvol del controlador de dominio. El volumen del sistema es un recurso compartido que contiene informacin del dominio que se replica al resto de controladores de dominio de la red. De forma predeterminada, el sistema crea este recurso compartido en la carpeta %SystemRoot%\Sysvol en la unidad de disco del sistema. La base de datos, los registros y el volumen del sistema de Active Directory tiene que situarse en volmenes que utilicen el sistema de archivos NTFS 5. Si el asistente detecta que alguno de los volmenes escogidos no utiliza NTFS 5, habr que convertirlos o seleccionar otro volumen antes de poder completar el proceso de instalacin de Active Directory. Tambin resulta aconsejable situarlo en otro disco distinto al del sistema operativo 10. Instalacin de DNS: En este punto, el Asistente para instalacin de Active Directory tiene toda la informacin de configuracin necesaria para instalar Active Directory y promover el servidor a controlador de dominio. El sistema comprueba que los nombres de dominio suministrados no los utiliza ya en servidor DNS a otros equipos de la red. Si, por ejemplo, el nombre NetBIOS seleccionado ya lo esta utilizando un dominio Windows NT 4 en la red, el asistente pide que se seleccione otro nombre. 11. Finalizacin de la instalacin de Active Directory: Despus de que el asistente contacte con el servidor DNS que proporcionara el servicio localizador para el nuevo dominio, se completa la instalacin y configuracin de Active Directory sin ms introduccin de datos por parte del usuario. El asistente registra todas las actividades que se producen durante el proceso de instalacin en dos archivos llamados Dcpromo.log y Dcpromoui.log, localizados en la carpeta %SystemRoot%\debug. La instalacin puede durar varios minutos, despus de lo cual hay que reiniciar el sistema para que tengan efecto los cambios. El asistente crea una cuenta de administrador para el nuevo dominio utilizando la misma contrasea que tiene la cuenta de administrador local con la que se ha iniciado sesin antes de iniciar la instalacin de Active Directory. 5.3. Administracin de los dominios Una vez instalado el Active Directory es el momento de configurarlo para adaptarlo a las necesidades de nuestra organizacin. La herramienta bsica para realizar esta tarea es el complemento Usuarios y equipos de Active Directory. El complemento Usuarios y equipos de Active Directory es la principal herramienta de los administradores de Active Directory, y es la herramienta que se utilizar ms a menudo para el mantenimiento diario del directorio. Usuarios y equipos de Active Directory muestra todos los objetos de un dominio por medio de una pantalla con un rbol expandible al estilo del Explorador de Windows. Los cuadros de dilogo de cada objeto proporcionan acceso a las propiedades del objeto, que se pueden modificar para actualizar la informacin del usuario y las restricciones de la cuenta. Tambin se utiliza Usuarios y equipos de Active Directory para crear nuevos objetos. Para realizar muchas de las funciones que proporciona el complemento Usuarios y equipos de Active Directory es necesario iniciar sesin en el dominio utilizando una cuenta que tenga privilegios administrativos. 5.4. Objetos de Active Directory El cuadro de dilogo principal de Usuarios y equipos de Active Directory contiene muchos de los elementos estndar de las pantallas de la MMC. El rbol de la consola (a la izquierda) muestra un dominio Active Directory y los objetos contenedor dentro de una pantalla expandible. El panel de resultados (a la derecha) muestra los objetos del contenedor resaltado. El administrador incluye una barra de herramientas que proporciona acceso instantneo a las funciones ms comnmente utilizadas y una barra de descripcin que proporciona informacin sobre el estado del administrador o sobre el objeto resaltado actualmente. El programa muestra las acciones que se pueden realizar sobre cada objeto en el men Accin una vez que se han pulsado los objetos. Los objetos de la pantalla Usuarios y equipos de Active Directory representan tanto entidades fsicas (equipos y usuarios), como las entidades lgicas (grupos y unidades organizativas). Dominio: Objeto raz de la pantalla Usuarios y equipos de Active Directory; identifica el dominio que est administrando actualmente el administrador. Unidad organizativa: Objeto contenedor utilizado para crear agrupaciones lgicas de objetos equipo, usuario y grupo. Usuario: Representa un usuario de la red y funciona como un almacn de informacin de identificacin y autenticacin. Equipo: Representa un equipo de la red y proporciona la cuenta de mquina necesaria para que el sistema inicie sesin en el dominio. Contacto: Representa un usuario externo al dominio para propsitos especficos como envo de correo electrnico; no proporciona las credenciales necesarias para iniciar sesin en el dominio. Grupo: Objeto contenedor que representa una agrupacin lgica de usuarios, equipos u otros grupos (o los tres) que es independiente de la estructura del rbol de Active Directory. Los grupos pueden contener objetos de diferentes unidades organizativas y dominios. Carpeta compartida: Proporciona acceso de red, basado en Active Directory, a una carpeta compartida en un sistema Windows 2000. Impresora compartida: Proporciona acceso de red, basado en Active Directory, a una impresora compartida en un sistema Windows 2000. 5.5. Carpetas compartidas sta es una de acciones ms comnmente utilizadas en una red Windows. Permite compartir carpetas y sus contenidos entre los usuarios, tambin se podrn especificar permisos y privilegios para establecer un esquema de seguridad. Los objetos carpeta compartida permiten compartir directorios de red en Active Directory, lo que permite a los usuarios acceder a ellos directamente explorando el Entorno de red del objeto. Esto elimina la necesidad de que los usuarios conozcan la ubicacin exacta de la carpeta compartida. La creacin de un objeto carpeta compartida no crea realmente el recurso compartido; hay que hacer esto manualmente en la pestaa Compartir de la ventana Propiedades de la unidad de disco o de la carpeta en la ventana del Explorador de Windows o en la ventana Mi PC. Para crear un objeto carpeta compartida, hay que pulsar un objeto contenedor en Usuarios y equipos de Active Directory, escoger Nuevo en el men Accin y seleccionar Carpeta compartida. En el cuadro de dialogo Nuevo objeto, hay que especificar un nombre para el nuevo. Despus de que el administrador cree el objeto, es posible configurarlo utilizando las pestaas de la ventana Propiedades del objeto. 5.6. Impresoras compartidas Al igual que con las carpetas compartidas las impresoras constituyen uno de los elementos ms comunes entre los recursos compartidos de una red. La creacin de objetos impresora permite a los usuarios acceder a las impresoras a travs de Active Directory prcticamente de la misma forma en que acceden a las carpetas compartidas. Un objeto impresora se crea como se hara con un objeto carpeta compartida, seleccionando un contenedor y escogiendo Nuevo\Impresora en el men Accin y especificando la ruta de acceso a la impresora compartida 6. Usuarios
Cada persona que tenga acceso al sistema necesitar una cuenta de usuario. Una cuenta de usuario hace posible: Autentificar la identidad de la persona que se conecta a la red. Controlar el acceso a los recursos del dominio. Auditar las acciones realizadas utilizando la cuenta. Windows 2000 slo crea dos cuentas predefinidas: la cuenta Administrador, que otorga al usuario todos los derechos y permisos, y la cuenta Invitado, que tiene derechos limitados. El resto de las cuentas las crea un administrador y son cuentas de dominio (vlidas a lo largo de todo el dominio de forma predeterminada) o cuentas locales (utilizables slo en la mquina donde se crean). 6.1. Creacin de cuentas de usuario del dominio Para aadir una cuenta de usuario al dominio hay que seguir estos pasos: 1. Abrir Usuarios y equipos de Active Directory desde el men Herramientas administrativas. 2. Resaltar el nombre del dominio y, en el men Accin, seleccionar Nuevo y escoger despus Usuario. Despus se proporcionar la siguiente informacin. Nombre, Iniciales y Apellidos: Un nombre de usuario no puede coincidir con otro nombre de usuario o de grupo en el equipo que est administrando. Puede contener hasta 20 caracteres, en maysculas o minsculas, excepto los siguientes: " / [ ] : ; | = , + * ? < > Nombre completo: se rellena automticamente. El nombre completo debe ser nico en la OU donde se crea el usuario. Nombre de inicio de sesin de usuario: Hay que proporcionar el nombre de inicio de sesin de usuario basado en un convenio de denominacin que previamente se ha tenido que establecer. Este nombre debe ser nico en el Active Directory. El nombre de inicio de sesin anterior a Windows 2000 se rellena automticamente. ste es el nombre utilizado para iniciar sesin desde equipos que ejecutan sistemas operativos Windows como Windows NT. 3. Contrasea y Confirmar contrasea: Se puede escribir una contrasea que contenga hasta 127 caracteres. Sin embargo, si utiliza Windows 2000 en una red que tambin contiene equipos con Windows 95 Windows 98, hay que considerar el uso de contraseas con menos de 14 caracteres. Windows 95 y Windows 98 admiten contraseas de hasta 14 caracteres. Si la contrasea es ms larga no se podr iniciar sesin en la red desde estos equipos. Todos los usuarios deberan tener contraseas bien escogidas y se les debera requerir que las cambiaran peridicamente. Las cuentas deberan establecerse de forma que se bloquearan cuando se introdujeran contraseas incorrectas. (Se pueden permitir tres intentos, para dejar margen a errores tipogrficos.) Los administradores deberan tener dos cuentas en el sistema: una cuenta administrativa y una cuenta de usuario normal. Se debera utilizar la cuenta de usuario normal a menos que se estn realizando tareas administrativas. A causa de los privilegios asociados a las cuentas administrativas, son un objetivo primario para los ataques a la seguridad del sistema. 4. Directivas de contraseas: El usuario debe cambiar la contrasea en el siguiente inicio de sesin: Normalmente se selecciona para que el usuario controle la contrasea y no la conozca el administrador que le ha dado de alta. El usuario no puede cambiar la contrasea: Impide al usuario cambiar su propia contrasea. La contrasea nunca caduca: Si seleccionamos esta casilla, no se aplicarn las restricciones de caducidad de contrasea a esta cuenta. Cuenta deshabilitada: Deshabilita cuentas que momentneamente no se necesitan en la red. No hay que confundir con borrar una cuenta. 6.2. Administracin de las cuentas de usuario Especialmente en una red grande y compleja, la gestin de las cuentas de usuario es un proceso continuo de adiciones, eliminaciones y cambios. Aunque estas tareas no son difciles, pueden consumir tiempo y es necesario gestionarlas con cuidado. Existen opciones para facilitar estas tareas. Abrir Usuarios y equipos de Active Directory desde el men Herramientas administrativas. Seleccionar el Usuario que queremos administrar y pulsar el men Accin. Aparecern las siguientes opciones: 1. Copiar: Permite crear una cuenta basndose en los valores de otra. 2. Agregar miembros a un grupo: Si queremos hacer miembro de otro grupo ms al usuario deberemos pulsar esta opcin y seleccionar el grupo y despus Agregar. 3. Deshabilitar cuenta: Si es necesario desactivar una cuenta de usuario del dominio por algn periodo de tiempo, pero no eliminarla permanentemente, se puede deshabilitar. 4. Restablecer contrasea: Para restablecer contraseas olvidadas por los usuarios. 5. Mover: Cambia de grupo o unidad organizativa a un usuario. 6. Eliminar: Cada cuenta de usuario del dominio tiene un identificador de seguridad asociado que es nico y nunca se reutiliza, lo que significa que una cuenta eliminada se elimina completamente. Si se elimina la cuenta de Alberto y ms tarde se cambia de opcin, habr que volver a crear no slo la cuenta, sino los permisos, la configuracin, las pertenencias a grupos y el resto de propiedades que posea la cuenta de usuario original. Por esta razn, si existe alguna duda sobre si una cuenta podra necesitarse en el futuro, es mejor deshabilitarla y no realizar la eliminacin hasta que se este seguro de que no se necesitar de nuevo. 7. Cambiar el nombre: En ocasiones, es necesario cambiar el nombre de una cuenta de usuario. Por ejemplo, si se tiene una cuenta configurada con una coleccin de derechos, permisos y pertenencias a grupos para una posicin particular y una nueva persona se hace cargo de esa posicin se puede cambiar el nombre, los apellidos y el nombre de inicio de sesin de usuario para la nueva persona. 6.3. Propiedades de las cuentas de usuario Una cuenta de usuario tiene muchas propiedades que se pueden ver y editar en las pestaas de la ventana Propiedades. La mayora son obvias, otras necesitan una explicacin. Pestaa Perfil: Muestra la ruta de acceso al perfil del usuario, la ruta de acceso de cualquier archivo de comandos que se ejecuta en el inicio de sesin, la ruta de acceso al directorio principal y cualquier conexin automtica de unidades. o Perfil de Usuario: Ruta de acceso al perfil: Se debe especificar la ruta completa de acceso al perfil del usuario. o Archivos de comandos de inicio de Sesin: Se especifica el nombre de la secuencia de comandos de inicio de sesin que va a utilizar esta cuenta de usuario. Las secuencias de comandos de inicio de sesin estn almacenadas en el recurso compartido NETLOGON, que se encuentra en %systemroot%\SYSVOL\sysvol\[nombre de dominio DNS]\scripts. o Directorio principal: Los directorios o carpetas principales son almacenes de datos que pueden proporcionar los servidores de red para los archivos de los usuarios. Situar los directorios principales en un servidor de archivos de la red tiene como ventajas que la copia de seguridad de los documentos de usuario esta centralizada y los usuarios pueden acceder a sus directorios principales desde cualquier equipo cliente. Ruta de acceso local: Se debe introducir la ruta hacia la carpeta particular a la que el usuario puede tener acceso y que contiene archivos y programas de dicho usuario. Se puede asignar una carpeta particular de red a un usuario individual o la pueden compartir muchos usuarios. Conecta: Hay que especificar la letra de unidad que se le proporcionar a esa conexin.
Pestaa Miembro de: Enumera las pertenencias a grupos del usuario. Aqu se pueden especificar a qu grupos est adscrito el usuario. 6.4. Inicio de sesin en el dominio desde ordenadores cliente Hasta ahora hemos tratado las posibilidades que ofrece Windows 2000/2003 Server para gestionar los usuarios, pero estos mismos usuarios accedern al dominio desde ordenadores que muy posiblemente no estn ejecutando como sistema operativo Windows 2000/2003 Server, como por ejemplo Windows XP o Windows 98. En los ordenadores cliente de una red basada en Windows 2000/2003 Server habr que especificar que el inicio de sesin se haga en un dominio y no en modo local. Esto quiere decir que el usuario y contrasea no se comprobarn en forma local, sino contra la base de datos de Active Directory del controlador de dominio. Si esto no fuera as los equipos cliente no tendran acceso a los recursos compartidos y los servicios proporcionados por los servidores del dominio. Configurar los ordenadores clientes de una red para conseguirlo es muy sencillo y lo puedes comprobar en las animaciones que te proporcionamos. Slo deberemos ajustar las propiedades correspondientes en el entorno de red del ordenador cliente. 7. Gestin y Directivas de Grupos Por definicin, los grupos en Microsoft Windows 2000/2003 Server son objetos del servicio de directorio Active Directory o del equipo local que pueden contener usuarios, equipos y otros grupos. Sin embargo, en general, un grupo es normalmente una coleccin de cuentas de usuario. El objetivo de los grupos es simplificar la administracin permitiendo al administrador de la red asignar derechos y permisos por grupo en lugar de a usuarios individuales. Tipos de Grupos En Windows 2000 hay tres tipos de grupos: Grupos locales: Los grupos locales se definen en un equipo local. Se utilizan solamente en el equipo local. Grupos de Seguridad: Los grupos pueden tener descriptores de seguridad asociados con ellos. Grupos de distribucin: Los grupos se utilizan para las listas de distribucin de correo electrnico. No pueden tener descriptores de seguridad asociados. mbitos de grupo Cuando se crea un grupo, se le asigna un mbito de grupo que define cmo se asignaran los permisos. Las tres posibilidades de mbitos de grupo son: local de dominio, global y universal. Dominio Local: Se utilizan para garantizar permisos dentro de un nico Dominio. Los miembros de los grupos de dominio local pueden incluir solamente cuentas, tanto de usuarios como de grupos y grupos del dominio en el que se definen. Global: Se utilizan para otorgar permisos a objetos en cualquier dominio en el rbol de dominio o en el bosque. Los miembros de los grupos globales pueden incluir solamente cuentas y grupos del dominio en el que estn definidos. Universal: Se utilizan para otorgar permisos a gran escala en el rbol de dominio o en el bosque. Los miembros de los grupos universales son las cuentas y grupos de cualquier dominio en el rbol de dominio o en el bosque. 7.1. Grupos globales y locales de dominio Se debera planificar una estrategia para utilizar los diferentes grupos y hacer que los usuarios con responsabilidades laborales similares pertenezcan a un grupo global. Por ejemplo, se aadiran cuentas de usuario para todos los trabajadores del departamento de ventas a un grupo global llamado Ventas. Otros usuarios con necesidades comunes deberan asignarse a otros grupos globales. Despus, se deben identificar los recursos a los cuales necesitan acceder los usuarios y crear un grupo local de dominio para cada recurso. Si, por ejemplo, hay varias impresoras de color que se utilizan en departamentos especficos, se podra crear un grupo local de dominio llamado ImpresorasDeColor. Lo siguiente que se debera decidir es qu grupos globales necesitan acceder a los recursos identificados. Continuando con el ejemplo, se debera aadir el grupo global Ventas al grupo local de dominio ImpresorasDeColor, junto con el resto de grupos globales que necesiten acceder a las impresoras. El permiso para utilizar los recursos de ImpresorasDeColor debera asignarse al grupo local de dominio ImpresorasDeColor. No se debe olvidar que los grupos globales pueden complicar la administracin en situaciones de mltiples dominios. Los grupos globales de diferentes dominios han de tener sus permisos establecidos individualmente. Adems, la asignacin de usuarios a grupos locales de dominio y la concesin de permisos al grupo no dar a los miembros acceso a los recursos fuera del dominio. 7.2. Grupos locales predefinidos Los servidores miembros, los servidores independientes y los equipos que ejecutan Windows 2000 Profesional tienen grupos locales predefinidos que otorgan derechos para realizar tareas en un nico ordenador. Grupos locales predefinidos: Administradores: Sus miembros pueden realizar todas las tareas administrativas en el equipo. La cuenta predefinida Administrador que se crea cuando se instala el sistema operativo es un miembro del grupo. Invitados: Sus miembros slo pueden realizar tareas para las cuales el administrador haya concedido permisos. Los miembros slo pueden utilizar aquellos recursos para los que un administrador haya concedido permisos especficamente. Operadores de copia: Sus miembros pueden iniciar sesin en el equipo, hacer copia de seguridad y recuperar la informacin del equipo y apagar el equipo. Los miembros no pueden cambiar la configuracin de seguridad. No hay miembros predeterminados en el grupo. Usuarios: Los miembros de este grupo pueden iniciar sesin en el equipo, acceder a la red, almacenar documentos y apagar el equipo. Los miembros no pueden instalar programas o hacer cambios en el sistema. Cuando un servidor miembro o una mquina Windows 2000 Profesional se une a un dominio, el grupo Usuarios del dominio se aade a este grupo. Usuarios avanzados: Sus miembros pueden crear y modificar cuentas de usuario e instalar programas en el equipo local pero no pueden ver los archivos de otros usuarios. 7.3. Grupos locales de dominio predefinidos Los grupos locales de dominio predefinidos de Windows 2000 proporcionan a los usuarios derechos y permisos para realizar tareas en controladores de dominio y en el Active Directory. Los grupos locales de dominio tienen derechos y permisos predefinidos que estn concedidos a los usuarios y a los grupos globales que se aaden como miembros. Grupos locales de dominio predefinidos usados ms frecuentemente Administradores: Sus miembros tienen concedido automticamente cualquier derecho o permiso de todos los controladores de dominio y del propio dominio. La cuenta Administrador, el grupo Administracin de empresas y el grupo Admins. del dominio son miembros. Invitados: Sus miembros slo pueden realizar tareas para las cuales el administrador haya concedido permisos. Los miembros slo pueden utilizar aquellos recursos para los que un administrador haya concedido permisos especficamente. Los grupos Usuarios invitados a Invitados de dominio son miembros de forma predeterminada. Operadores de copia: Sus miembros pueden hacer copia de seguridad y recuperar informacin en todos los controladores de dominio utilizando Copia de seguridad de Windows 2000. Operadores de cuentas: Sus miembros pueden crear, eliminar y gestionar cuentas y grupo de usuarios. Los miembros no pueden modificar el grupo Administradores o cualquiera de los grupos Operadores. Operadores de impresin: Sus miembros pueden gestionar todos los aspectos de la operacin y configuracin de impresoras en el dominio. Operadores de servidores: Sus miembros pueden realizar la mayora de las tareas administrativas en los controladores de dominio, excepto la manipulacin de las opciones de seguridad. Usuarios: Sus miembros pueden iniciar sesin en el equipo, acceder a la red, almacenar documentos y apagar el equipo. Los miembros no pueden instalar programas o hacer cambios en el sistema. El grupo Usuarios del dominio es miembro de este grupo de forma predeterminada. 7.4. Grupos globales predefinidos Los grupos globales predefinidos se crean para englobar tipos de cuentas comunes. De forma predeterminada, estos grupos no tienen derechos heredados. Un administrador debe asignar todos los derechos del grupo. Sin embargo, algunos miembros se aaden automticamente a estos grupos, y se pueden aadir como miembros basndose en los derechos y permisos asignados a los grupos. Los derechos se pueden asignar directamente a los grupos o aadiendo los grupos globales predefinidos a grupos locales de dominio. Grupos globales predefinidos usados ms frecuentemente Administracin de empresas: Este grupo es para usuarios que tengan derechos administrativos en toda la red. Administracin de empresas es automticamente un miembro del grupo local de dominio Administradores en el dominio en el que se creo. Ser necesario aadirlo al grupo local de dominio Administradores de otros dominios. Administradores del dominio: Este grupo es automticamente un miembro del grupo local de dominio Administradores, por lo que los miembros de Administradores del dominio pueden realizar tareas administrativas en cualquier equipo del dominio. La cuenta Administrador es un miembro de este grupo de forma predeterminada. Controladores del dominio: Todos los controladores de dominio del dominio con miembros. Equipos del dominio: Son miembros todos los controladores y estaciones de trabajo del dominio. Invitados del dominio: La cuenta Invitado es un miembro de forma predeterminada. Este grupo es automticamente un miembro del grupo local de dominio Invitados. Propietarios del creador de directivas de grupo: Sus miembros pueden crear y modificar la directiva de grupo del dominio. Usuarios del dominio: Todos los usuarios del dominio y la cuenta Administrador son miembros. El grupo Usuarios del dominio es automticamente un miembro del grupo local de dominio usuarios.
PARA SABER MS Uno de los elementos ms utilizados en la configuracin de usuarios y grupos de Windows 2000/2003 Server son las directivas. A continuacin te presentamos un ejemplo del uso de directivas con una aplicacin prctica. Un ejemplo detallado del uso de directivas de grupo. http://www.monografias.com/trabajos16/directivas-de-grupo/directivas-de-grupo.zip 8. Servicios de Terminal Server En una red grande y que est compuesta por ubicaciones distantes entre s, es muy necesaria una forma de acceder de forma remota al servidor. Tambin ocurre que a veces los usuarios necesitan ejecutar aplicaciones que estn instaladas en el servidor y no pueden ser ejecutadas desde los ordenadores cliente. Una forma que tiene Windows 2000/2003 Server de dar solucin a estas situaciones es el servicio de Terminal Server, el cul hace que el servidor se comporte como un servidor de terminales remotas para los clientes. El Servicio de Terminal Server de Windows se introdujo para Microsoft Windows NT 4 Server con la edicin independiente Terminal Server Edition, pero en Microsoft Windows 2000/2003 es un componente integrado en todos los servidores de Windows 2000/2003, como un servicio instalable ms. Servicios de Terminal Server de Windows se puede utilizar como mecanismo para la gestin y el control de los servidores desde cualquier parte de la empresa o aprovechar su capacidad como servidor de aplicaciones para simplificar enormemente la implantacin y el mantenimiento de un amplio rango de aplicaciones para un conjunto de usuarios. Servicios de Terminal Server de Windows aporta a Windows capacidad multiusuario verdadera. Los sistemas UNIX han sido, de manera tradicional, principalmente sistemas multiusuario, con un nico servidor de gran tamao que atiende a muchas terminales. Cada usuario que se conecta a un servidor de Windows 2000/2003 Server mediante Terminal Server de Windows utiliza en realidad los recursos del propio servidor, no los del ordenador concreto en la que est trabajando. El usuario no depende de la velocidad de su ordenador, sino que, en realidad, comparte el procesador, la RAM y los discos duros del propio servidor. Esto es til tambin en situaciones en las que se desea aprovechar ordenadores antiguos como estaciones de trabajo. Cada usuario obtiene su propia sesin de Servicios de Terminal Server de Windows, y cada sesin est completamente aislada de las dems sesiones del mismo servidor. Un programa que falle en una sesin puede hacer que el usuario de esa sesin tenga un problema, pero ello no afecta a los dems usuarios. Como ya se ha especificado las ventajas de utilizar Terminal Server son: Acceso remoto: Terminal Server ofrece la solucin para que los usuarios puedan ejecutar aplicaciones a travs por ejemplo de la lnea telefnica a travs de un MODEM. Gestin centralizada: Como todas las aplicaciones de una sesin de Servicios de Terminal Server de Windows se ejecutan en el servidor, la gestin de las sesiones y de las aplicaciones se simplifica enormemente. Administracin remota: Al configurarse en el modo de administracin remota, Servicios de Terminal Server de Windows puede utilizarse tambin como herramienta de administracin. Al activarse en este modo los administradores pueden iniciar directamente una sesin en el servidor desde sus ordenadores de sobremesa para llevar a cabo el mantenimiento normal del sistema sin tener que desplazarse hasta la consola del servidor. Terminal Server puede instalarse en cualquier mquina que soporte Windows 2000/2003 Server. Necesita aproximadamente 14 Mb de espacio adicional de disco duro para albergar los archivos de instalacin del cliente, pero no necesita ningn espacio adicional para el sistema operativo. No obstante, los requisitos reales dependern del nmero de sesiones que se quieran atender de forma simultnea. En todos los equipos cliente ser necesario instalar el cliente para Terminal Server, ste es un pequeo software que se encarga de gestionar la comunicacin entre el servidor y el ordenador cliente de la red. 9. Copias de seguridad Ya sabes que realizar copias de seguridad es esencial en cualquier organizacin y que esta es una de las misiones de un administrador de sistemas. Microsoft Windows 2000 incluye una aplicacin para realizar esta tarea. Se puede utilizar esta aplicacin para hacer copias de seguridad de los datos que residen en el servidor u otros sistemas accesibles a travs de la red. En este apartado aprenders lo bsico sobre copias de seguridad en Windows 2000/2003 Server utilizando la aplicacin incluida en l. Adems de lo indicado aqu, hay que hacer notar que en el mercado existe una gran oferta de aplicaciones especializadas en sistemas de copia de seguridad que seguramente ofrecen ms prestaciones que la suministrada por el propio sistema. 9.1. Eleccin del medio para las Copias de Seguridad La primera decisin que se debe tomar cuando se plantea una estrategia de copias de seguridad consiste en decidir en qu medio fsico se pretenden almacenar los datos. En Windows 2000/2003 se pueden utilizar cintas magnticas, pero tambin se permite copiar los datos en un archivo de copia de seguridad existente en cualquier dispositivo al que se pueda acceder por el sistema, esto incluye discos compactos (como las unidades de Iomega Zip y Jazz), discos duros o incluso grabadoras de CD-ROM. El soporte que se elija depender del presupuesto, la cantidad de datos que se deseen grabar, as como del tiempo de que se disponga para crear las copias de seguridad. 9.2. Estrategias de Copia de Seguridad La realizacin de una copia de seguridad en una red de manera efectiva es una tarea compleja que se debe planificar. Para realizar una copia de seguridad en una red no basta con poner una cinta en la unidad y ejecutar el software. Una estrategia para la copia de seguridad debera tener en cuenta los siguientes aspectos: Cunta informacin se debe copiar? De cunto tiempo se dispone para realizar la copia de seguridad? Cada cunto tiempo se debe realizar una copia de seguridad de la informacin? Quin se encarga de verificar el acabado de las copias de seguridad? Cuntas cintas (u otros medios) se planea utilizar? Cada cunto tiempo se rescribirn las cintas (u otros medios)? De las respuestas a las preguntas anteriores se obtendr el criterio para elegir la estrategia ms adecuada. La aplicacin de copias de Windows 2000/2003 soporta cinco tipos de tareas de copia de seguridad que especifican cunta informacin se copia durante cada tarea. Si se selecciona el tipo de tarea apropiado, se puede minimizar el nmero de cintas (u otros medios fsicos), as como la cantidad de tiempo requerida para realizar las copias de seguridad sin perder la seguridad en la recuperacin de la informacin. La mayora de los tipos de copia de seguridad se basan en el atributo de archivo para determinar cundo han cambiado los archivos de un disco concreto y deben ser copiados de nuevo. El atributo de archivo en Windows 2000/2003 es el mismo que el de MS-DOS, independientemente del sistema de archivos que se utilice. El atributo es un nico bit que se incluye en la descripcin de cada archivo y que el software de copia de seguridad se encarga de marcar o borrar cuando se necesita. Normalmente, el programa de copia de seguridad pondr a cero los atributos de archivo de todos los archivos que se copien durante una tarea particular. Si se modifica un archivo posteriormente, el sistema marca automticamente el atributo cuando se grabe en disco. Esto permite que el software de copia de seguridad examine los atributos de archivo durante la siguiente tarea y realice una copia slo de aquellos archivos cuyo atributo se encuentre marcado, esto es, de los archivos que han cambiado desde la copia de seguridad anterior. Utilizando est tcnica se tienen los siguientes tipos de copia de seguridad. Copia de seguridad normal Una copia de seguridad normal, es en Windows 2000/2003, una copia de seguridad total de todos los archivos y directorios seleccionados en el software de Copia de seguridad de Windows 2000. Como parte de la tarea, el programa borra el bit de modificado de cada archivo. Este tipo de copia de seguridad es la base para futuras tareas que slo realizan copias de seguridad de los archivos modificados. Copia de seguridad incremental Durante una copia de seguridad incremental, el programa examina el bit de modificado y hace una copia de seguridad slo de los archivos que han cambiado desde la ltima copia de seguridad incremental o normal. Al igual que con la copia de seguridad normal, esta tarea borra el bit de modificado de cada archivo que copia. Las copias de seguridad incremental utilizan la mnima cantidad de espacio fsico y adems ahorran tiempo puesto que no copian todos los archivos que no han cambiado durante la tarea. La restauracin se debe hacer en el orden inverso a la copia. Por ejemplo, si se hace una copia normal y sobre ella se hacen tres copias incrementales se debern restaurar las copias en el orden inverso al que se hicieron. Copia de seguridad diferencial Una copia de seguridad diferencial es lo mismo que una copia de seguridad incremental exceptuando que el programa no elimina el bit de modificacin de los archivos que copia al medio fsico. Esto significa que durante una copia de seguridad diferencial se copian todos los archivos que han cambiado desde la ltima copia de seguridad normal o incremental. Se necesita ms espacio y tiempo que el utilizado en las copias incrementales, pero su ventaja radica en que cuando se realiza una restauracin, se necesitan slo los archivos de copia de seguridad normal y el ms reciente de tipo diferencial. Conclusin: Una estrategia de copia de seguridad de red utilizar normalmente, adems de tareas de copia normal, copias de seguridad incrementales o diferenciales, pero no ambas. Otro aspecto a tener en cuenta es la rotacin de medios, un esquema de rotacin de medios prev cuntas cintas (u otro tipo de medios fsicos) se utilizarn para realizar las copias de seguridad. Por ejemplo, una pequea red podra utilizar un total de cinco cintas para realizar copias de seguridad integrales a lo largo de la semana y reutilizar las mismas cintas cada semana. En cambio, una gran empresa con altos requerimientos de seguridad podra utilizar cintas nuevas para cada copia de seguridad y archivar de forma permanente todas las cintas usadas. Un esquema de rotacin popular se conoce como el mtodo del abuelo-padre-hijo ya que utiliza tres "generaciones" de cintas que representan respectivamente copias de seguridad mensuales, semanales y diarias. En este esquema de rotacin se realiza una copia de seguridad completa cada mes y se guarda la cinta durante un ao (preferentemente en algn sitio seguro ajeno a la empresa); sta es el "abuelo". Adems se realiza una copia de seguridad completa semanalmente que se guarda durante un mes; sta es el "padre". Las copias de seguridad que representan el "hijo" se realizan diariamente y se guardan durante una semana. 9.3. Programa de Copias de seguridad en Windows 2000/2003 El programa Copia de seguridad de Windows 2000 dispone de varios mtodos para crear y ejecutar tareas de copia de seguridad. Una vez iniciada la aplicacin de copa de seguridad se muestra la pantalla de bienvenida desde la que se puede seleccionar un asistente para crear una copia de seguridad o restaurar un trabajo. No slo se pueden crear trabajos de copia de seguridad de Windows 2000/2003 con los asistentes y la aplicacin, tambin se puede hacer utilizando el programa en lnea de comando Ntbackup.exe. Independientemente del mtodo que se utilice, la creacin de un trabajo de copia de seguridad implica los siguientes pasos bsicos: 1. Seleccionar las unidades, directorios y archivos de los que se quiera hacer una copia de seguridad. 2. Especificar el medio de almacenamiento destino de la copia de seguridad. 3. Configurar las opciones de copia de seguridad como tipo de copia de seguridad, registro y exclusin de archivos. 4. Especificar cundo se producir la copia de seguridad. Para realizar una copia de seguridad de los archivos y carpetas, la cuenta utilizada para ejecutar la tarea debe tener los permisos de acceso apropiados para acceder a dichos archivos y carpetas. Los usuarios miembros del grupo de Operadores de Copia de seguridad local as como del grupo de Administradores tienen automticamente los permisos necesarios para realizar copias de seguridad de todos los archivos y carpetas del servidor local. Los miembros del Grupo de operadores de copia de seguridad del dominio pueden realizar copias de seguridad de todos los archivos y carpetas de cualquier ordenador del dominio. Se puede programar en el tiempo la copia de seguridad de Windows 2000/2003. Por ejemplo, se puede seleccionar semanalmente para ejecutar un trabajo slo durante los das de la semana, y entonces seleccionar todos los das exceptuando sbado y domingo. Lo ideal sera que nunca hubiera que necesitar restaurar las copias de seguridad, pero como es una labor que posiblemente haya que realizar en algn momento te sugerimos que observes la siguiente animacin donde se muestra la restauracin de la copia hecha anteriormente. 9.4. Copias de seguridad del sistema Tan importante como realizar copia de los datos es hacer lo propio con la configuracin de nuestro sistema, es decir los archivos de configuracin como el registro y la base de datos de Active Directory, ya que una prdida de ste nos hara perder toda la configuracin de nuestro sistema servidor Usuarios, grupos, permisos, carpetas e impresoras compartidas, etc.). Realizar una copia de seguridad del estado del sistema es tan simple como seleccionar el cuadro apropiado en la pestaa de copia de seguridad, pero su restauracin puede resultar un poco ms complicada. El proceso de restauracin no debe slo sobrescribir los datos vitales del sistema actualmente en uso, como por ejemplo el registro, sino que debe tambin (en el caso de controladores de dominio) restaurar la base de datos Active Directory. Este problema resulta un tanto difcil porque en un dominio con mltiples controladores de dominio, el sistema de rplica puede sobrescribir los nuevos datos restaurados debido a sus anticuados nmeros de secuencia de actualizacin. Por ello, para restaurar de forma efectiva el estado del sistema con un controlador de dominio, se deben realizar dos procedimientos especiales durante el proceso de restauracin: iniciar el servidor en el modo de restauracin de servicios de directorio y realizar una restauracin autoritaria de la base de datos Active Directory. Slo es posible restaurar el estado del sistema en el sistema local. El programa copia de seguridad de Windows 2000/2003 determina automticamente la ubicacin correcta de los datos restaurados, basndose en la ubicacin del directorio raz del sistema (normalmente C:\Winnt), y sobrescribe los datos del estado del sistema actual en la computadora. Restauracin autoritaria: Cuando se restaura el estado del sistema en un controlador de dominio, los objetos restaurados de Active Directory tienen los mismos nmeros de secuencia de actualizacin que cuando se les aplic la copia de seguridad. Estos nmeros son necesariamente ms antiguos que aquellos que se encuentran actualmente en uso en el Active Directory y por ello se les considerar anticuados y se sobrescribirn durante el siguiente ciclo de rplica. Para evitar que esto ocurra, se debe realizar una Restauracin autoritaria de los datos del Active Directory almacenados como parte del estado del sistema en el medio donde se ha realizado la copia de seguridad. Una restauracin autoritaria es aqulla que indica los objetos restaurados del Active Directory como autoritarios, lo cual significa que durante el siguiente suceso de rplica, estos sobrescribirn los objetos equivalentes de los controladores de dominio que contienen las rplicas. Para realizar una restauracin autoritaria, se debe ejecutar despus de restaurar el estado del sistema y antes de reiniciar la computadora el programa de Windows 2000 Ntdsutil.exe, el cual modificar los nmeros de secuencia de actualizacin de los objetos restaurados para que hagan parecer a las rplicas que contienen los ltimos datos disponibles. PARA SABER MS Ntdsutil.exe es una herramienta de la lnea de comandos que proporciona facilidades de administracin para Active Directory. Se debe utilizar para las restauraciones autoritarias de copias de seguridad de sistema y en otros casos. Comprueba la informacin que ofrece Microsoft sobre esta herramienta en las pginas TechNet. Informacin proporcionada por Microsoft sobre el programa ntdsutil.exe. http://www.microsoft.com/technet/prodtechnol/windowsserver2003/es/library/ServerHelp/91559a2b-b666-442c- bdd2-df4b7c46983c.mspx 10. Microsoft y el mantenimiento del sistema. Cuando se tiene en marcha una instalacin de Windows 2000/2003 Server apreciaremos que constantemente necesitamos informacin para realizar tareas y que tambin el sistema necesita ser actualizado para corregir defectos y aumentar sus capacidades, por ejemplo introduciendo elementos de seguridad que corrijan vulnerabilidades que puedan ser explotadas por programas maliciosos como gusanos, troyanos o virus. Adems de la gran cantidad de informacin impresa de la que disponemos en libreras especializadas (no olvidemos que este sistema es el ms extendido en la actualidad). Internet proporciona la mayor fuente de informacin, en concreto Microsoft pone a disposicin de los administradores y usuarios varios sitios dedicados a proporcionar nuevas tcnicas, resolver dudas, etc. Uno de estos sitios es Microsoft TechNet, el cul te sugerimos que visites. Peridicamente la empresa Microsoft proporciona actualizaciones del sistema que es muy conveniente instalar para asegurar que disponemos de un sistema seguro y robusto. Algunas veces las actualizaciones del sistema se agrupan en lo que se conoce como Service Packs. Microsoft propone el sitio Windows Update y el Microsoft Download Center como los referentes para actualizar nuestros sistemas de una forma oficial. PARA SABER MS TechNet es un sitio web organizado por Microsoft con valiosa y completa informacin tcnica sobre toda la gama de productos y soluciones ofrecidas por esta empresa. TechNet, el sistema de consulta de Microsoft. http://www.microsoft.com/spain/technet Microsoft pretende proporcionar actualizaciones en lnea para sus productos. Esto es conocido como Windows Update, aqu tienes un enlace a este sistema. Windows Update, el sistema de actualizaciones de Microsoft. http://www.windowsupdate.com/ Cmo quitar datos en Active Directory despus de una degradacin sin xito de un controlador de dominio http://support.microsoft.com/default.aspx?scid=kb;ES;216498